- 2017-11-06 13:53
- 作者:佚名
- 来源:HC3i中国数字医疗网
· 企业名称
福建星瑞格软件有限公司
· 企业简介
福建星瑞格软件有限公司(以下简称星瑞格软件)是福建省电子信息集团控股的国有控股企业,公司成立于2015年底,注册资金1.5亿,是专业从事国产数据库、数据库安全、大数据等业务的国有控股高新技术企业。
为了深化产品线的深度,星瑞格软件更进一步引进IBM Informix源代码,以IBM Informix数据库源代码为基底打造出自主可控的Sinoregal 国产数据库软件。该产品已经通过中国信息安全认证中心的安全可靠认证以及质量管理体系的认证,目前,公司产品在高可用性、灾备、空间数据、时序数据等方面拥有非常大的技术优势,同时,公司产品支持主流厂商的硬件平台及操作系统平台,对国产操作系统平台支持更佳。
· 申报项目名称
Sinoregal dbAudit 星瑞格数据库安全审计系统
· 项目基本信息
【用户范围】政府、金融、保险、电信、军工、医疗等信息系统的数据库监控与审计
【适用平台】Windows、linux
· 申报项目详情概述
【项目背景】
产品开发目及意义
根据近年来Verizon Business资料外泄调查报告,企业信息外泄其中92%资料外泄确认是来自于数据库系统,48%的信息窃取来自于内部员工。由此可见企业资料外泄最大威胁来自于数据库,加强数据库的安全及审计势在必行,基于以上,星瑞格软件从2015年开始研发基于数据库的安全防护软件。
数据安全
星瑞格已有多年对安全技术的研发为基础,我们认为数据安全的实践可以分为4个方面:
1. 数据存储 :
加密是技术实施上对于数据安全最有效的关卡,Sinoregal DS提供直接对数据加密的功能。提供了加密函数和解密函数,这样就能以加密的方式来存储敏感数据,具备不同层面的加密,列级(column-level)和单元级(cell-level)加密,列级加密使用同一个密码来对同一个列的数据进行加密; 单元级(cell-level)加密使用不同的密码来对同一个列的不同单元进行加密。
2. 数据传输
网络安全是保证数据安全传输和交换的基础。确保各级网络以及设备之间的有效隔离是确保数据安全的首要关键控制。网络中构建出的一个隔离的安全网络环境,包括选择自有IP地址范围、划分网段、配置路由表、防火墙和网关等可提升掌控网络传输安全。Sinoregal DS在数据库传输上提供SSL(Secure Socket Layer)传输方式,通过加密技术在网络上的两个节点之间建立可靠的端到端的安全连接,保证了数据通信的私密性和完整性。
3. 数据访问管控
Sinoregal DS在数据库的访问控制可以从用户名和密码开始管控,一直到角色与访问权限的控制,另外也提供LBAC(Label-Based Access Control)的管控方式,LBAC是叫基于标签的访问控制方式,可通过以下方式对数据加上标签,用户也可被授予标签,对数据的标签和用户的标签进行比较,从而判断数据可否被用户访问,LBAC 可用来防止未经授权的访问。
4. 数据保护
星瑞格对数据的保护可以从两方面著手,一个是从数据库审计的角度,监控与记录数据库的访问,另一个是从操作系统层管控敏感数据的访问权限,对敏感数据做到审计加上保护,不仅可以防堵黑客窃取敏感信息,也可以阻止内部人员盗卖信息。敏感数据的保护可以使用星瑞格数据库审计产品DBAUDIT加上操作系统加固产品sysGUARD来完成。
产品阐述
Sinoregal dbAudit是一套独立运作的数据库活动监控系统(Database Activity Monitoring, DAM),可记录并审计所有造访数据库的存取轨迹,并可在不修改应用程序的前提下追踪终端用户的真实身分,达到人、事、时、地、物(5W)五个面向的追踪。dbAudit是企业预防数据库数据外泄与遵循法规的最佳选择。
【项目管理方案】
电信运营商
某电信运营商的行动计费系统主要是针对手机计费,该计费系统拥有数据库服务器20台,应用服务器60台,数据库线上访问最大联机数共3万个联机数以上,每秒执行SQL次数60万次。本案整体系统架构规划,遵循全面性、自动化方式监控、不使用inline模式而是使用侧录封包方式收录,不更改现行网络架构为特点,另提供备援机制。数据库审计即采用星瑞格DBAUDIT,进行持续且实时的数据库行为监控(Database Activity Monitoring, DAM),透过人、事、时、地、物完整监控数据库访问轨迹纪录。
电信运营商的行动计费系统架构示意图:
因为该系统拥有大量用户敏感信息,包括手机号,姓名,生日,地址,邮箱,…等,所以对访问敏感数据的监控与追踪至关重要,必需追踪到应用系统前端用户的访问轨迹,前端用户于应用服务器完成登录动作时,DBAUDIT会自动识别用户名称,并进一步关连比对该用户对数据库的访问,所以可以清楚追踪前端用户的行为,一旦某个客户的信息被泄漏,可以清楚查出是谁曾经访过过该客户的信息,追查出犯罪嫌疑人。这个功能非常受到该运营商肯定,因为过往他们根本无法知道谁曾经调用过敏感信息,另外该运营商也利用DBAUDIT每天产出数据库特权用户,DBA对数据库的访问的报表,通过每天的报表可以审计DBA是否有提权或不法的行为,当然也配置了一些告警通知,一旦发现违反安全政策,告警短信与邮件实时发送给安全管理员,及时处理防止资安事件发生。
数据库监控架构图:
金融证券
某证券公司除了经营柜台证券交易外,也经营网上证券交易,网上交易量是柜台交易的数十倍,拥有百台数据库负责各项证券业务,数据库服务器储备援服务器外主要是集中管理在数据中心机房。该公司因为并购了数个中小型证券公司,因此有数十位系统管理员与数据库管理员依业务别负责管理部同服务器,总公司管理单位非常头痛不知道这些管理员做了哪些事无从审计,上级监管机关也会定期要求各系统审计报表,总公司管理单位总是无法如期交付,因此为了解决这些问题该公司引进星瑞格数据安全解决方案,用DBAUDIT监控数据库管理员登录纪录与访问轨迹,定期产制五大报表发送给审计管理员,五大报表包括1.数据库用户登入注销纪录报表,2.数据库对象结构更报表,3.数据库登入失败报表,4.数据库权限变更报表,5.DBA访问轨迹报表。另外每个服务器都安装星瑞格操作系统加固sysGUARD,除了限制一些敏感文件访问权限外,对于系统管理员的登入与指令操作都可以完整记录下来,并可以定期产制系统管理员登入与操作轨迹审计报表,导入星瑞格数据安全解决方案,不但可以监控系统管理员与数据库管理员,也可以自动定期产制审计报表提供公司内部审计与满足监管机关要求。
数据安全解决方案架构图:
电信运营商
某电信公司运营的行动漫游业务系统需要建构一个加强数据安全的运营平台,计画于既有行动宽带数据漫游系统提供数据安全功能,建立日志收集机制与数据安全监控机制,建置范围包含数据库服务器与应用服务器共13台,除了监控数据库访问外,还需要提供系统管理员账号监管功能与系统配置文件,敏感信息文件,日志文件,应用程序文件防窜改功能。
该公司采用星瑞格数据安全解决方案,对数据库访问采用DBAUDIT侧录封包方式收录所有数据库访问轨迹,并配置安全管理政策,如发现违反安全政策行为及发送告警通知,对于每个服务器系统监管方面于每个服务器都安装星瑞格操作系统加固sysGUARD,监控与纪录系统管理员的操作指令,并配置系统配置文件,敏感信息文件,日志文件,应用程序文件的访问权限避免没有授权的用户窜改数据。该公司于数据安全监控平台建置完成后每天都可自动产制审计报表,也可以发现违反安全政策的不当操作,的确加强了该系统运营上数据安全。
数据安全的运营平台架构图:
· 项目创新情况简述
数据库审计虽然不是企业安全市场的新面孔,但近年来它的重要性却在快速提升。一是因为《网络安全法》的实施将数据安全上升为前所未有的高度,二是云计算、大数据技术的发展让数据集中的程度越来越高,进而也加剧了数据泄露的风险和损失。
Sinoregal dbAudit是星瑞格软件自主研发的一套独立运作的数据库安全审计系统,产品结合星瑞格软件在数据库领域的多年研究与实践经验,符合各类法律法规对数据库安全的要求; 基于网络通讯协议精确分析与SQL完全解析技术, 客户可以通过Sinoregal dbAudit记录并审计所有数据库的访问轨迹,同时在不修改应用程序、不加装任何软件于应用系统与用户端环境下,即可识别应用系统终端用户及其访问数据库的行为,达到人、事、时、地、物(5W)五个面向的追踪。Sinoregal dbAudit是企业遵循法律法规,保护敏感数据, 预防数据泄漏的最佳选择。
推荐阅读: