王彥文

摘要：隨著客戶信息保護的國家法律出臺，電信運營商均致力于對客戶信息泄露的防范，但對于如何實時掌握敏感信息的操作行為，及時發(fā)現(xiàn)違規(guī)風險則是客戶信息保護的重點和難點。本文通過分析，對如何解決繞行訪問，竊取客戶信息的問題進行了說明，并通過對技術(shù)手段的分析，研究如何使用網(wǎng)絡(luò)流量抓包方式，更好的保護客戶信息安全。

關(guān)鍵詞：數(shù)據(jù)庫審計；客戶信息保護；安全監(jiān)控中國移動歷來重視客戶信息保護工作，從2009年開始發(fā)布規(guī)范，建設(shè)4A系統(tǒng)，對系統(tǒng)操作進行控制和記錄。經(jīng)過4年4A管理平臺的建設(shè)，實現(xiàn)了帳號、認證、授權(quán)和審計的統(tǒng)一管理。應(yīng)用、系統(tǒng)管理人員已經(jīng)能夠通過4A管理平臺對支撐系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、統(tǒng)一認證和集中審計，從技術(shù)上保證了安全策略的實施，提升了業(yè)務(wù)支撐網(wǎng)的整體安全水平。

1系統(tǒng)建設(shè)背景

核心數(shù)據(jù)庫在審計方面還存在一些問題和風險：

1.1 終端采用未知協(xié)議和端口或使用未知客戶端直接訪問數(shù)據(jù)庫

如果終端使用了未知協(xié)議和端口或使用未知客戶端對數(shù)據(jù)庫進行訪問，將無法在技術(shù)上強制要求通過4A系統(tǒng)和堡壘機操作，也就無法記錄操作日志，對這類操作無法進行審計及危險操作的實時告警和阻斷。

1.2 利用應(yīng)用系統(tǒng)的未知漏洞直接訪問數(shù)據(jù)庫無法記錄完整操作日志

個別應(yīng)用系統(tǒng)在上線后可能存在未知的風險漏洞，破壞分子可能利用這些漏洞直接訪問和使用數(shù)據(jù)庫，但應(yīng)用系統(tǒng)操作日志均通過對界面點擊按鈕的解析完成記錄，通過漏洞對數(shù)據(jù)庫操作將無法記錄操作日志。

1.3 外圍系統(tǒng)直接對數(shù)據(jù)庫的訪問

圍了業(yè)務(wù)發(fā)展，部分外圍系統(tǒng)需要通過接口使用中國移動的客戶信息和消費數(shù)據(jù)，但外圍系統(tǒng)對數(shù)據(jù)的操作無法記錄和審計。

1.4 個別應(yīng)用系統(tǒng)未作審計或?qū)徲嫻δ懿煌晟?/p>

個別老舊系統(tǒng)由于日志記錄對系統(tǒng)性能重大影響的原因，或在建設(shè)時未考慮日志記錄的安全設(shè)計，導(dǎo)致操作日志記。

2客戶信息保護的目標

為了防范用戶通過合法或者非法的方式登錄數(shù)據(jù)庫主機之后，在本地執(zhí)行違規(guī)的數(shù)據(jù)庫操作，增強客戶信息保護能力，實現(xiàn)監(jiān)控的規(guī)范化，審計分析的可靠化。提出建設(shè)目標：

2.1 防護不再有遺漏

能夠?qū)?shù)據(jù)庫訪問的行為進行全面監(jiān)控，對使用原手段未進行記錄的敏感操作進行日志記錄。

2.2 安全分析及時高效

能監(jiān)控數(shù)據(jù)庫里面的各類訪問和操作，用戶在數(shù)據(jù)庫中做什么操作，對于數(shù)據(jù)庫可用性和數(shù)據(jù)安全產(chǎn)生何種風險。

2.3 違規(guī)操作及時阻斷

對于數(shù)據(jù)庫的違規(guī)訪問、操作和導(dǎo)出（下載）行為進行控制，阻止偽用戶的登錄，防止用戶惡意的破壞和導(dǎo)出（下載），防止用戶誤操作。

2.4 定位準確，解決思路明確

發(fā)生了數(shù)據(jù)安全和泄漏問題后，能夠協(xié)助定位原因和用戶，及時制定解決方案。

3客戶信息保護原則

為了完善客戶信息保護能力的需要，確定數(shù)據(jù)庫操作的事前事中事后原則。

3.1 事前規(guī)范

具備業(yè)務(wù)行為發(fā)生前的行為規(guī)范策略制定功能。

能夠?qū)I(yè)務(wù)行為中各步驟的動作作出定義，能夠?qū)I(yè)務(wù)行為中步驟、分枝和流向作出定義。從而形成完整的規(guī)范的業(yè)務(wù)行為策略。

針對標準的業(yè)務(wù)行為提供“開箱即用”的動作規(guī)范處理，針對非標準的業(yè)務(wù)行為在提供最佳實踐定義，針對特殊業(yè)務(wù)行為允許用戶自定義規(guī)范。通過這些規(guī)范定義，能夠為業(yè)務(wù)的正常執(zhí)行提供防護。

3.2 事中記錄、阻斷

具備對各業(yè)務(wù)行為的操作主體、操作動作以及操作客體進行記錄的功能。

能夠?qū)崟r對業(yè)務(wù)行為進行合法性判定并在發(fā)現(xiàn)有不符合行為規(guī)范策略的動作發(fā)生時，阻斷行為動作，并發(fā)出告警。

針對惡意用戶對數(shù)據(jù)庫的違規(guī)操作，能夠采用強制手段直接斷開會話，并產(chǎn)生完整的審計記錄。

3.3 事后回顧

具備對業(yè)務(wù)行為進行統(tǒng)計、分析并以報表形式展現(xiàn)的功能。發(fā)生了數(shù)據(jù)安全和泄漏問題后，能夠協(xié)助定位原因和用戶，及時制定解決方案。

4實施方法

通過技術(shù)手段建設(shè)，實現(xiàn)客戶信息保護的目的。

4.1業(yè)務(wù)行為定義

定義規(guī)范的業(yè)務(wù)行為，其中包括業(yè)務(wù)行為動作定義、業(yè)務(wù)行為分枝定義、業(yè)務(wù)行為合法流向定義和業(yè)務(wù)行為操作客體定義。

4.2業(yè)務(wù)行為授權(quán)

將規(guī)范的業(yè)務(wù)行為授權(quán)給合法的主體，例如，授權(quán)給某些應(yīng)用系統(tǒng)用戶名或數(shù)據(jù)庫帳戶。該類主體除可以采用用戶名和/或帳戶外，還可以采用其它屬性（例如IP地址/MAC地址/IP地址段等參數(shù)）作為識別條件。

4.3 業(yè)務(wù)行為采集

對主體正在進行中的業(yè)務(wù)行為實現(xiàn)采集，采集的數(shù)據(jù)有行為主體、操作動作、操作客體。

包括：源IP，源MAC,源端口，目標IP,目標MAC,目標端口，用戶賬號，用戶名，連接數(shù)據(jù)庫名，數(shù)據(jù)庫對象，操作表名，操作時間，操作SQL語句及詳細內(nèi)容（存儲過程需要解析開）?？紤]不同的SQL語句種類。

4.4 違規(guī)行為阻斷

對試圖進行不符合業(yè)務(wù)行為定義的操作動作實現(xiàn)阻斷，提示操作者操作不合法。

4.5 違規(guī)行為告警

對試圖進行不符合業(yè)務(wù)行為定義的操作動作實現(xiàn)阻斷的同時，不僅提示操作者操作不合法，且發(fā)出違規(guī)行為告警。告警可以以郵件報表等方式發(fā)送。

4.6 多維度分析、多角度展示

業(yè)務(wù)行為統(tǒng)計、分析及報表展現(xiàn)對業(yè)務(wù)行為實現(xiàn)按業(yè)務(wù)執(zhí)行主體、執(zhí)行類型等維度進行行為的多層次分析，并能以餅圖、直方圖、趨勢圖等圖標形式展現(xiàn)分析。提供模板化的展示形式（如發(fā)生在特定IP或IP段的行為記錄、特定執(zhí)行主體的業(yè)務(wù)行為記錄等）

5技術(shù)實現(xiàn)

審計系統(tǒng)主要依靠網(wǎng)絡(luò)旁路偵聽的手段，對引自應(yīng)用層和數(shù)據(jù)庫層的網(wǎng)絡(luò)流量進行解包分析，抓取原始的數(shù)據(jù)庫操作行為，并根據(jù)預(yù)定義或數(shù)據(jù)庫安全評估（靜態(tài)審計）產(chǎn)生的安全策略和審計規(guī)則，進行各種類型的告警或阻斷，同時通過安全事件回放和審計報表提供針對身份（Who）、時間（When）、地點（Where）、內(nèi)容（What）等關(guān)鍵要素的審計。其系統(tǒng)功能示意如下圖：

5.1 采集解析

采集解析模塊是數(shù)據(jù)庫審計系統(tǒng)的數(shù)據(jù)來源，主要包括流量采集和協(xié)議解析兩個子模塊。

5.1.1 流量采集

流量采集子模塊主要完成數(shù)據(jù)流量的采集功能，根據(jù)網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)庫接入方式不同，有多種流量采集方式，包括旁路鏡像模式、分流器模式和TAP模式（分流器和TAP是一種專用的流量采集工具，可以串聯(lián)在網(wǎng)絡(luò)中，實現(xiàn)流量的復(fù)制）。

5.1.2 協(xié)議解析

協(xié)議解析子模塊主要是完成數(shù)據(jù)庫流量的協(xié)議還原，識別包括Oracle、SQL Server、DB2、Informix、MYSQL等主流數(shù)據(jù)庫的所有行為動作，實時記錄各類數(shù)據(jù)庫DDL/DML操作，還原存儲過程、綁定變量的實際內(nèi)容，還原數(shù)據(jù)庫響應(yīng)內(nèi)容和數(shù)據(jù)庫批量導(dǎo)入導(dǎo)出操作，并將不同數(shù)據(jù)庫的行為記錄以一種統(tǒng)一的、標準的、易懂的格式進行保存。解析的內(nèi)容要包括數(shù)據(jù)庫的原始SQL語句、SQL語句的執(zhí)行結(jié)果、執(zhí)行時間、返回內(nèi)容、客戶端工具、操作系統(tǒng)用戶名、源IP地址、數(shù)據(jù)庫用戶名、實例名等詳細的信息。

協(xié)議分析子模塊還用來進行應(yīng)用層流量的協(xié)議還原（http協(xié)議），并將應(yīng)用層行為統(tǒng)一記錄保存。解析的內(nèi)容包括Web用戶名、用戶源IP、發(fā)起數(shù)據(jù)庫操作的URL、http請求類型、請求時間、向數(shù)據(jù)庫服務(wù)器傳遞的請求參數(shù)、返回結(jié)果等詳細的信息。

5.2 審計分析

審計分析模塊是數(shù)據(jù)庫審計系統(tǒng)的核心模塊，主要包括事前安全評估、事中實施監(jiān)控、事中雙向?qū)徲?、事中Web業(yè)務(wù)審計、事中三層審計、事中告警方式豐富、事后回放追溯、高效行為檢測、細粒度審計規(guī)則等子模塊。

5.3 報表展現(xiàn)

報表展示模塊是數(shù)據(jù)庫審計系統(tǒng)分析結(jié)果的展示模塊，主要包括綜合視圖、審計報表、模型分析共三個子模塊。

5.4 網(wǎng)絡(luò)部署思路

數(shù)據(jù)庫審計設(shè)備采用選取兩個節(jié)點，分布式部署采集機，統(tǒng)一建設(shè)服務(wù)器。網(wǎng)絡(luò)部署圖如下所示：

6主要技術(shù)和管理創(chuàng)新點

⑴對客戶信息保護保護工作提出了新的解決思路，通過數(shù)據(jù)庫操作分析告警機制，及時發(fā)現(xiàn)泄露風險加以處理。

⑵通過網(wǎng)絡(luò)流量鏡像和數(shù)據(jù)包解析整合手段，解決了操作日志難以記錄和難以定位操作人員的問題。

⑶通過定期操作分析和通報考核，強化了人員安全風險意識，很大程度上避免了主動泄露客戶信息的風險。

[參考文獻]

[1]陳煒.基于網(wǎng)絡(luò)的數(shù)據(jù)庫審計和風險控制研究.

[2]李晶媛.網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)審計跟蹤研究.