网御星云推出数据安全防护方案

数据安全形式分析

2013年中美国 “棱镜计划”曝光，促使各国政府以维护国家安全策略手段来保护信息安全。各种以人为核心的数据安全也成为公众关注的焦点。其实，就在我们周围也正在发生着各类数据泄露事件。例如：运营商的用户数据被篡改，黑客将篡改的充值卡信息倒卖谋取暴利;我们经常收到各类垃圾短信，时间往往是在银行、培训机构、汽车4S店等机构注册之后;群众希望曝光更多的 “房叔”、“房嫂”事件中的腐败行为，却担心自己的房产信息泄露;快递公司的用户信息泄露，存在不法分子利用单号伪造包裹诈骗用户的可能……

数据的泄露，使公民的权益受到严重威胁。面对严峻的安全形势，我国各主管部门为维护公民合法权益提供了政策依据，也陆续出台法律法规，例如：工信部公布了《电信和互联网用户个人信息保护规定》和《电话用户真实身份信息登记规定》;国家邮政总局联合六部委发布了《关于切实做好寄递服务信息安全监管工作的通知》。

数据安全作为信息安全的组成部分。无论是国家、个人对其重要性的认识被提到了前所未有的高度。

数据安全需求分析

通常，机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据库以及运行数据库的各类访问行为。随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的数据泄露问题变得日益突出起来。

机构在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地规范设备厂商和代维人员的操作行为,是各类机构面临的一个关键问题。

数据安全解决方案

通常业内对信息安全防护的思路有两个：一是控制，二是审计。控制通常采用的是安全边界、身份认证、访问控制、攻击防护等技术手段。

控制技术应用于产品，产生了防火墙、防病毒、入侵检测系统等安全产品。这些产品虽可以解决一部分安全问题，但对于违规操作数据库等行为却无能为力。

而审计通常采用的是记录、分析等技术。侧重于事后追溯。通过对事件的追根溯源，完善业务流程与机制，最终形成安全的闭环管理。针对数据库的安全防护，审计技术成为最佳实践。

针对数据库审计的技术分具体分为以下三类：

1、 数据库自身审计

多数的商用数据库都提供自身审计功能，但是在实际应用中，开启此功能的实际案例较少。主要原因为：1)审计结果不直观，读懂日志需要资深技术人员的支持。2)难以集中管理，用户通常应用了多个数据库的后，需要分别登录到各数据库中进行查看。3)更为关键的原因是，自身审计并非第三方审计。能提供对操作审计结果的人，往往是操作人员自己。审计结论不够权威。

2、 安装监控软件

此种技术是在数据库服务器上安装监控软件，并且将审计日志进行统一管理。该技术虽属第三方的审计技术，在实际环境中仍较少。主要原因为：安装软件之后会占用数据库服务器的计算资源，导致数据库性能下降。再者，其软件的兼容性是产品是否成功较为关键的因素。软件需要与多种数据库、多种服务器应用软件、多种操作系统的各种版本兼容，需要进行海量的研发与测试工作。稍有不慎，会对数据库的运行造成严重影响。

3、 网络侦听分析

这类技术通常采用部署网络侦听设备的方式，收集网络中传输的访问数据进行分析并存储。此种技术在实际应用中被较多采用。其主要原因在于：1)此种技术属于第三方的审计技术，审计结果可信赖;2)设备的部署对原有网络、应用无影响;3)设备所侦听到的信息较为完整，除了针对数据库的访问之外，还可侦听到访问服务器操作系统的操作行为。该技术能使用户更全面的了解到网络中的业务状态。

网御星云所采用的就是第三种技术路线。

针对用户的数据安全防护需求，网御星云自主研发了网御网络审计系统。该系统以硬件设备的形态部署于用户网络中，采集分析处理网络中的各类操作。其部署只需在交换机上对被审计业务流量进行镜像，通过对镜像流量的分析而得到审计日志。如下图所示：

系统特别针对数据库操作进行了细粒度的分析。能对各类对数据库的操作行为进行记录、分析。它的审计功能明显优于数据库自身审计或安装监控软件的审计方式。

· 与目标系统的状态无关

无论目标系统是否遭到入侵，安全机制是否正常运转，网御网络审计系统的审计结果仍然是可信的;

· 审计到更细的粒度

网御网络审计系统审计的最小粒度为命令级，而一般操作系统提供的日志受日志来源限制，往往只能到进程级或者会话级;

· 灵活的自定义审计

用户可根据需求的不同自定义审计策略。自定义的对象包括：数据库类型、操作类型、操作来源、操作结果、操作时间。用户还可自定义策略对审计到的事件进行告警，并且，用户可自定义告警级别。

网御星云方案特色

1、 分析全面，审计结果精准。

网御网络审计系统可对多类型商用数据库、开源数据库、国产数据库等进行细粒度审计;可对操作、结果、时间等多种对象进行审计。系统审计结果完整呈现了网络事件全貌，管理人员可对各类因人员操作导致的数据库泄密行为进行精准识别。

2、 静默安装，对业务系统无影响。

设备部署采用旁路部署的方式，可在不中断业务的情况下进行安装。且在运行过程中对业务系统、对网络均无影响。

3、 性能强劲，稳定运行。

系统采用专有硬件与专用软件结合的设计，其软件系统针对硬件平台进行内核级优化。使得硬件性能得到最大化的发挥。且网御在审计高端产品线中采用分体式设计。设备分为数据中心和审计引擎，审计引擎负责捕包分析，数据中心负责数据写入。这样，消耗性能的两类操作得到分开处理。使得“术业有专攻”，实践证明系统性能提升明显，产生1+1远大于2的效益。

4、 易于扩展，弹性适应业务发展。

随着用户业务的发展，机构用户的组织架构、业务流程会作出调整，如：1)扩充业务部门设立分支机构;2)开展新的业务;业务系统需要随着业务的发展而变化，审计系统也需要与业务系统同步升级。用户可根据业务扩展续采引擎设备或软件授权的方式，升级原有审计系统。使之与业务系统始终保持匹配。同时保护了用户原有投资。