数据库安全之金融

近年来，随着Internet的快速发展，各个行业均已进入信息化时代，金融业在中国20世纪70年代就已起步；20世纪80年代已经进入推广应用阶段，陆续引进了美国、日本等先进的信息设备；90年代各大专业银行等信息系统纷纷升级，紧跟国际信息化脚步，引进国外先进技术，不断提高自身信息化水平；到90年代末，整个世界进入一个信息技术高速发展的互联网时代，而金融行业作为中国信息化先进水平的代表则面临着前所未有的机遇和挑战。

金融行业正常业务范围概括起来主要有以下四大部分，分别是银行业，证券业，保险业及其他金融服务。其中银行业包括中央银行，商业银行，其他银行。证券业主要有股票、债券、期货及其他有价证券的投资交易活动。保险业，包括人寿保险，非人寿保险，保险辅助服务。其他金融业务是上述三种业务之外的业务，主要有金融信托、金融管理、金融租赁、财务公司、邮政储蓄、典当以及其他未列明的金融活动。

随着人们生活水平不断提高，经济上行，银行业务量不断增长，持续涌现一些新兴业务，银行企业网络内部的应用行为愈加趋向复杂，而银行中的数据往往涉及公众的敏感信息。银行通信网一般是以总行为中心、各省分行为分中心，覆盖各地市行的分级式骨干网络系统，整个网络负责着银行综合业务数据（包括对公、储蓄、办公自动化以及语音等多种业务）的实时传输任务。在这样需要高可靠性、高保密性的网络中，却存在着针对银行核心数据库操作的安全隐患，例如非工作时间访问核心业务表、非工作场所访问数据库、第三方软件开发商远程访问等等行为，都可能存在着重大安全隐患。

为了保证银行网络、业务系统稳定、可靠，国家管理部门从银行行业的实际安全需求出发，颁布了以下相关指引、法规：2010年，中国人民银行发布了《网上银行系统信息安全通用规范（试行）》中指出网络架构、数据安全需审计；2009年，银监会发布《商业银行信息科技风险管理指引》；2007年，全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》；2006年，银监会发布《电子银行业务管理办法》、《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引（试行）》、《保险公司风险管理指引（试行）》；2002年，《商业银行内部控制指引》。

在这样的信息化背景下，金融行业紧跟潮流，在信息化设备采购上一直保持着国际先进水平，但仅保持硬件及软件系统的先进性还是不够的。数据库作为金融行业信息系统的核心和基础，承载着越来越多的关键业务系统，整个业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中，保存着客户的个人资料以及资金等各类信息。信息一旦被篡改或者泄露，不仅损害到公民自身利益，银行的品牌形象，甚至影响到公共秩序和国家利益。

针对网络中的威胁，金融行业也采取了很多防御措施，比如在金融信息系统最外层部署了网络防火墙，在应用层部署了IDS、IPS、WAF、堡垒机等一系列安全产品，在客户终端上也部署了相应的防病毒软件，但在数据库层面安全措施做得不够。

针对银行业八大应用系统集群的业务和数据库安全的保障需求，中安威士提出了面向业务系统和数据库系统的“纵深防御”安全加固方案（图1）。该方案采用数据库行为审计、业务系统审计、数据库防火墙和透明加密技术，可以有效监控针对数据库和业务系统的各种操作，及时发现违反数据库安全策略事件并进行阻断，该方案支持对核心数据的加密，层层设防，确保银行信息系统的业务和数据安全。

图1 中安威士针对业务和数据库安全“纵深防御”方案

中安威士业务和数据库安全“纵深防御”方案中的主要功能模块如下：

数据库风险扫描。可以对数据库的系统漏洞、用户弱口令、权限分配、宿主操作系统漏洞等内容进行定期扫描，发现漏洞风险及不合理的配置项，及时通知管理员。通过数据库风险扫描功能可以减少、弱化大多数人为与非人为造成的数据库风险，提高数据库的安全性，减少数据库被攻击的风险。

数据库状态监控。监控数据库系统的内存使用状况、缓冲区管理统计、用户连接统计、Cache信息、锁信息、SQL统计信息、数据库信息、计划任务、线程信息、键效率、缓冲区命中率等信息来判断数据库系统运行是否正常，保证数据库系统的可用性和响应能力。

数据库操作审计。采用智能语法分析技术，对发往数据库的语句进行分析，并将SQL语句还原为对数据库的操作行为。进行细粒度的记录、审计及报表展现，对高风险的SQL操作进行告警甚至阻断。对于业务系统的特殊部署（比如应用系统与数据库系统同台部署）或运维操作（比如直接在服务器操作数据库、远程桌面访问数据库等），常规数据库审计方法是无法监控到的。中安威士的数据库审计系统可以提供本地探针的部署方式，全面审计到对数据库的本地访问行为，确保审计信息360度无死角。数据库审计可以对违规操作数据库的行为进行记录、追踪和取证，这对内部网络犯罪是一种强大的威慑。

业务系统及三层关联审计。目前银行很多业务系统都是基于三层架构部署，即采用前台浏览器、中间件或Web服务器及后台数据库服务器的三层部署方式。在这种部署方式中，所有对后台数据库访问都是通过Web应用服务器或中间件来执行的，前端用户并不会直接对数据库进行操作。而目前主流的数据库审计类产品通常都是针对后台数据库的访问行为进行记录和审计，这就产生了一个问题，即在定位数据库操作的具体执行者时，无法关联到Web前台的访问者。

图2 三层架构下的审计需求

中安威士的数据库审计产品支持“全业务流程审计”，可同时监控Web应用系统前台发生的业务行为和后台数据库发生的操作行为。通过将用户登录Web页面后所进行的业务操作（包括用户登录、退出、业务信息的增、删、查、改等）和对数据库的操作（数据的增、删、查、改等）进行关联分析，准确定位数据库的操作源头。

数据库防火墙。数据库防火墙以直联的方式部署于数据库服务器的前端，实时监控应用系统以及管理员对数据库的一切访问活动。数据库防火墙采用了创新的语法分析技术，检查发往数据库的每一条SQL语句，并根据预先制定的策略决定是否让该SQL语句通过，这些策略包括：

主体、客体授权规则：实现粗粒度的访问控制，比如根据操作人员、IP、应用程序、操作时间、数据库表、指定操作等信息实现访问控制；

请求分类规则：通过对业务系统中的数据库访问操作进行自动学习，对事件进行分类，识别普通操作和高危操作；

多关键字匹配：通过关键字及关键字组合快速匹配某条SQL语句，实现对敏感内容的识别和过滤；

正则表达式：可以根据业务系统的实际情况，自定义任意规则对数据操作进行识别和控制。

通过部署数据库防火墙，可以屏蔽掉高危的SQL操作，防止注入攻击以及对敏感信息的无授权访问，有效避免因外部攻击、内部非法操作以及误操作所带来的数据被窃取、删除、篡改等风险。

数据库透明加密。通过数据库状态监控、业务和数据库行为审计、数据库防火墙，已经能够确保核心数据资产的安全。对于极端情况，比如DBA权限泄漏、直接复制文件等情况造成的数据泄密，可以通过数据库的透明加密来给数据加上最后一道“锁”。部署了数据库加密以后，数据库管理员获得的信息无法进行正常脱密，从而保证了用户信息的安全。同时，通过加密，数据库的备份内容成为密文，从而能减少因备份介质失窃或丢失而造成的损失。

通过上述数据库“纵深防御”方案，可以将相关业务人员访问应用系统和数据库的行为进行合规审计，对外部用户（比如网银接入的用户、网站访问用户）访问数据库的行为进行安全防护，对银行系统的核心敏感数据进行加密，从而实现银行信息系统的业务和数据库资源的纵深防御和细粒度审计。

上述方案涉及的安全产品包括中安威士的数据库审计、数据库防火墙以及数据库透明加密产品，这三个产品所包含的功能如下表所示：

满足来自人行及银监等部门的合规性安全检查要求；维护和提升银行机构的形象和公信力；解决运维人员专业安全分析能力不足问题；协助安全事件取证以及事后追溯；防止敏感信息丢失或泄露。数据库漏扫通过对银行数据库的漏洞评估和配置检查，降低非法入侵的机率；审计产品有效记录来自互联网接入区的非法行为、数据库入侵行为、并对违规访问行为进行及时预警和行为回溯；数据库防火墙防范“越权使用、权限滥用、权限盗用”等安全威胁，提升数据库安全整体防御效果，有效抵御各类攻击。