中国工商银行数据中心安全运营部
高子俊周家明
近年来,随着《数据安全法》、《个人信息保护法》、《金融数据安全等级保护指南》等法律法规的密集出台,国家对数据安全保护的重视程度被提升到了前所未有的高度。俗话说“春暖花开鸭子先知”,作为对数据安全极为敏感的行业,银行业无疑成为数据安全领域的领头羊。尤其对于大型国有银行来说,数据库是其信息系统中存储核心数据的关键基础设施,几乎所有重要敏感数据都存储在其中。这使得数据库安全保护和监控审计工作的重要性尤为突出和紧迫。
本文以数据库安全审计为切入点,探讨大型国有银行在规划建设数据库安全防护体系过程中遇到的困难及应对策略,在保证业务连续性的基础上,通过全员审计数据库运维、实时监控数据库安全风险模型等措施完善大型国有银行现有的数据安全防护体系。
1.数据库安全防护困难
大型国有银行的数据库规模庞大、类型多样、运维场景复杂,以往依赖数据库日志文件的审计方式存在诸多弊端,例如开启数据库审计功能会影响数据库本身的性能,甚至影响业务连续性,让安全审计工作“不敢操之过急”。数据库日志文件本身也存在被恶意篡改、删除的风险,难以保证审计信息的真实性和完整性。传统安全设备产品(防火墙、IPS等)无法对数据库的非授权访问、数据篡改、敏感信息泄露等行为进行检测并报警。针对以上难点,业界正逐步采用部署数据库安全审计防护系统(以下简称“数据审计系统”)来解决。
2.数据库安全审计的部署与运行
1.数字化审计系统的部署
目前业界传统的数据审计系统一般采用归档日志分析和网络流量分析两种方式对数据库操作行为进行审计。基于归档日志分析的方式在审计要素的完整性上存在明显劣势,无法精准追溯风险行为;基于网络流量分析的方式在部署方式上一般采用旁路镜像,实现对各类数据库访问和操作行为的记录和审计。但大型国有银行的数据库规模庞大,运维方式多样,单纯对旁路镜像的网络流量进行审计监控会丢失生产系统本地数据库访问操作的记录,无法保证审计监控的完整性。
在此场景下,国有大型银行采用在数据库操作系统上部署Agent插件的模型架构来解决上述问题。部署模型为三层架构(如图1所示):第一层为日志采集层,即通过在数据库服务器中部署Agent插件实现访问流量的采集和转发;第二层为日志集中层,即通过日志集中节点将多个Agent采集的日志进行集中存储和管理;第三层为总控层,管理和运维人员主要通过总控节点制定策略、确认报警、统一部署Agent插件等。此部署模型不仅解决了审计监控日志完整性问题,还将策略配置的粒度细化到单个数据库,充分展现了Agent部署架构的优越性。
图1 大型国有银行数字化审计系统部署架构
2. 规划和建设数字化审计体系面临的困难及解决方案
虽然部署数据审计系统可以解决数据库安全审计防护的问题,但是在规划部署系统实现“全覆盖”时遇到了一些技术难题,经过反复讨论和实验论证,作者团队针对不同的问题采用了不同的解决方案。
(1)难以区分运维操作与应用及解决方案的流量
大量应用之间的正常访问流量与日常运维流量混杂在一起,严重干扰运维操作的审计。结合应用特点,针对访问来源、用户、访问工具等设置多维度的流量过滤策略,精准区分访问数据库的操作行为,过滤掉大量不需要关注的日志,避免不必要的资源浪费和人力消耗(如图2所示)。
图2 Agent插件及本地审计插件模式部署
(2)本地服务器访问数据库源地址难以追溯问题及解决方案
当运维人员在数据库服务器本地访问数据库时,日志通常只记录服务器的IP地址作为源地址,而无法记录运维终端的地址。通过使用高级源地址采集功能,审计人员可以真实看到初次登录的终端地址,精准追溯运维人员从服务器直接访问数据库后的运维场景。
(3)容器化环境部署中性能与功能的平衡难题及解决方案
当数据库采用容器等虚拟化部署架构时,通常要求容器尽量轻量化,以充分保证数据库的性能消耗。通过在宿主机集中部署 Agent 插件,通过解析不同网卡流量来精准区分不同容器中数据库的访问日志,解决了容器侵入式部署的问题,实现了便捷高效的系统架构。
3、大型国有银行数据审计系统运维监控
在确定数字化审计系统总体架构部署后,大型国有银行不仅要实现全面、准确的记录数据库操作行为,还要在保障业务连续性的前提下,实现实时有效的数据库安全风险监控,提高风险预警处置效率。
在保障业务连续性方面,大型国有银行的审计系统对生产系统服务器的性能指标和自身的资源支出设置监控阈值和熔断策略,防止审计系统占用过多的系统资源,对生产系统的性能造成业务影响。同时,审计系统还具备定时自启动机制,当监控到资源支出指标低于阈值,生产系统性能恢复正常稳定后,审计系统可以自动重启,最大程度保障审计工作的正常运行。
在建立数据库安全风险模型方面,我们团队对数据库访问行为特征进行了深入分析,形成了适合大型国有银行实际业务需求的监控体系,可实现对数据库攻击及各类风险操作的实时监控和全面覆盖,包括疑似攻击风险、批量拖库风险、高敏感数据泄露、变更操作风险、敏感信息篡改五大领域。针对银行业高度关注的“短信验证码查询异常”、“账户相关数据库变更”、“数据库用户登录异常”、“数据库内所有数据库及表导出”、“客户敏感身份信息查询”等一系列风险操作,我们进行了细化策略定制,不断提升数字化审计系统在事中监控的实时性和有效性。
在数据库风险预警处置方面,作者团队通过将数字化审计系统与银行资管系统对接,实现风险预警中服务器IP的联动搜索,并收集涉及的应用名称、数据库类型、负责人、SQL语句操作的源地址、目标地址等详细信息,进一步丰富了相关预警的信息量,帮助监控人员精准追溯源头,快速定位相关预警,及早介入处理,充分发挥数字化审计系统的作用,防止事态进一步恶化。同时通过机器学习比对分析,生成“安全语句”模板,对可疑“新语句”进行审计监控和风险预警自动分类,大大降低了误报频率,从而有效提升了数据库安全风险预警处置效率。
3.数字化审计体系未来发展的愿景
建设数字中国是数字时代推进中国式现代化的重要引擎,是构建国家竞争新优势的有力支撑。在数字化转型与数据安全治理齐头并进的过程中,部署数字化审计系统是银行业大势所趋。随着ChatGPT、文心易言等AI产品的发布,各行各业都将迎来新一轮产业革命。对于大型国有银行来说,数据库安全防护既是机遇,也将面临更多挑战。未来,大型国有银行不应止步于部署数字化审计系统,而应应用好数字化审计系统,进一步提升机器学习在数字化审计系统中的检测能力,覆盖各类数据库风险场景,优化提升策略监测报警的时效性和有效性,更好地为大型金融银行构建可靠可控的数字化安全屏障。
本文刊登于《中国金融计算机》2023年第6期
特别说明
《中国金融计算机杂志》不向作者收取版面费,更不会以所谓“代理商/本刊编辑部”或“出版押金”、“手续费”等名义收取费用。购买杂志的付款账户为对公账户,请勿向任何个人账户转账。此外,本刊不收取任何开具发票的额外费用。如有任何异常,请立即与本刊编辑部联系,以免给自己带来风险或损失。