数据库审计系统是客户信息保护的利器

王彦文

摘要：随着客户信息保护的国家法律出台，电信运营商均致力于对客户信息泄露的防范，但对于如何实时掌握敏感信息的操作行为，及时发现违规风险则是客户信息保护的重点和难点。本文通过分析，对如何解决绕行访问，窃取客户信息的问题进行了说明，并通过对技术手段的分析，研究如何使用网络流量抓包方式，更好的保护客户信息安全。

关键词：数据库审计；客户信息保护；安全监控中国移动历来重视客户信息保护工作，从2009年开始发布规范，建设4A系统，对系统操作进行控制和记录。经过4年4A管理平台的建设，实现了帐号、认证、授权和审计的统一管理。应用、系统管理人员已经能够通过4A管理平台对支撑系统的用户和各种资源进行集中管理、集中权限分配、统一认证和集中审计，从技术上保证了安全策略的实施，提升了业务支撑网的整体安全水平。

1系统建设背景

核心数据库在审计方面还存在一些问题和风险：

1.1 终端采用未知协议和端口或使用未知客户端直接访问数据库

如果终端使用了未知协议和端口或使用未知客户端对数据库进行访问，将无法在技术上强制要求通过4A系统和堡垒机操作，也就无法记录操作日志，对这类操作无法进行审计及危险操作的实时告警和阻断。

1.2 利用应用系统的未知漏洞直接访问数据库无法记录完整操作日志

个别应用系统在上线后可能存在未知的风险漏洞，破坏分子可能利用这些漏洞直接访问和使用数据库，但应用系统操作日志均通过对界面点击按钮的解析完成记录，通过漏洞对数据库操作将无法记录操作日志。

1.3 外围系统直接对数据库的访问

围了业务发展，部分外围系统需要通过接口使用中国移动的客户信息和消费数据，但外围系统对数据的操作无法记录和审计。

1.4 个别应用系统未作审计或审计功能不完善

个别老旧系统由于日志记录对系统性能重大影響的原因，或在建设时未考虑日志记录的安全设计，导致操作日志记。

2客户信息保护的目标

为了防范用户通过合法或者非法的方式登录数据库主机之后，在本地执行违规的数据库操作，增强客户信息保护能力，实现监控的规范化，审计分析的可靠化。提出建设目标：

2.1 防护不再有遗漏

能够对数据库访问的行为进行全面监控，对使用原手段未进行记录的敏感操作进行日志记录。

2.2 安全分析及时高效

能监控数据库里面的各类访问和操作，用户在数据库中做什么操作，对于数据库可用性和数据安全产生何种风险。

2.3 违规操作及时阻断

对于数据库的违规访问、操作和导出（下载）行为进行控制，阻止伪用户的登录，防止用户恶意的破坏和导出（下载），防止用户误操作。

2.4 定位准确，解决思路明确

发生了数据安全和泄漏问题后，能够协助定位原因和用户，及时制定解决方案。

3客户信息保护原则

为了完善客户信息保护能力的需要，确定数据库操作的事前事中事后原则。

3.1 事前规范

具备业务行为发生前的行为规范策略制定功能。

能够对业务行为中各步骤的动作作出定义，能够对业务行为中步骤、分枝和流向作出定义。从而形成完整的规范的业务行为策略。

针对标准的业务行为提供“开箱即用”的动作规范处理，针对非标准的业务行为在提供最佳实践定义，针对特殊业务行为允许用户自定义规范。通过这些规范定义，能够为业务的正常执行提供防护。

3.2 事中记录、阻断

具备对各业务行为的操作主体、操作动作以及操作客体进行记录的功能。

能够实时对业务行为进行合法性判定并在发现有不符合行为规范策略的动作发生时，阻断行为动作，并发出告警。

针对恶意用户对数据库的违规操作，能够采用强制手段直接断开会话，并产生完整的审计记录。

3.3 事后回顾

具备对业务行为进行统计、分析并以报表形式展现的功能。发生了数据安全和泄漏问题后，能够协助定位原因和用户，及时制定解决方案。

4实施方法

通过技术手段建设，实现客户信息保护的目的。

4.1业务行为定义

定义规范的业务行为，其中包括业务行为动作定义、业务行为分枝定义、业务行为合法流向定义和业务行为操作客体定义。

4.2业务行为授权

将规范的业务行为授权给合法的主体，例如，授权给某些应用系统用户名或数据库帐户。该类主体除可以采用用户名和/或帐户外，还可以采用其它属性（例如IP地址/MAC地址/IP地址段等参数）作为识别条件。

4.3 业务行为采集

对主体正在进行中的业务行为实现采集，采集的数据有行为主体、操作动作、操作客体。

包括：源IP，源MAC,源端口，目标IP,目标MAC,目标端口，用户账号，用户名，连接数据库名，数据库对象，操作表名，操作时间，操作SQL语句及详细内容（存储过程需要解析开）。考虑不同的SQL语句种类。

4.4 违规行为阻断

对试图进行不符合业务行为定义的操作动作实现阻断，提示操作者操作不合法。

4.5 违规行为告警

对试图进行不符合业务行为定义的操作动作实现阻断的同时，不仅提示操作者操作不合法，且发出违规行为告警。告警可以以邮件报表等方式发送。

4.6 多维度分析、多角度展示

业务行为统计、分析及报表展现对业务行为实现按业务执行主体、执行类型等维度进行行为的多层次分析，并能以饼图、直方图、趋势图等图标形式展现分析。提供模板化的展示形式（如发生在特定IP或IP段的行为记录、特定执行主体的业务行为记录等）

5技术实现

审计系统主要依靠网络旁路侦听的手段，对引自应用层和数据库层的网络流量进行解包分析，抓取原始的数据库操作行为，并根据预定义或数据库安全评估（静态审计）产生的安全策略和审计规则，进行各种类型的告警或阻断，同时通过安全事件回放和审计报表提供针对身份（Who）、时间（When）、地点（Where）、内容（What）等关键要素的审计。其系统功能示意如下图：

5.1 采集解析

采集解析模块是数据库审计系统的数据来源，主要包括流量采集和协议解析两个子模块。

5.1.1 流量采集

流量采集子模块主要完成数据流量的采集功能，根据网络环境和数据库接入方式不同，有多种流量采集方式，包括旁路镜像模式、分流器模式和TAP模式（分流器和TAP是一种专用的流量采集工具，可以串联在网络中，实现流量的复制）。

5.1.2 协议解析

协议解析子模块主要是完成数据库流量的协议还原，识别包括Oracle、SQL Server、DB2、Informix、MYSQL等主流数据库的所有行为动作，实时记录各类数据库DDL/DML操作，还原存储过程、绑定变量的实际内容，还原数据库响应内容和数据库批量导入导出操作，并将不同数据库的行为记录以一种统一的、标准的、易懂的格式进行保存。解析的内容要包括数据库的原始SQL语句、SQL语句的执行结果、执行时间、返回内容、客户端工具、操作系统用户名、源IP地址、数据库用户名、实例名等详细的信息。

协议分析子模块还用来进行应用层流量的协议还原（http协议），并将应用层行为统一记录保存。解析的内容包括Web用户名、用户源IP、发起数据库操作的URL、http请求类型、请求时间、向数据库服务器传递的请求参数、返回结果等详细的信息。

5.2 审计分析

审计分析模块是数据库审计系统的核心模块，主要包括事前安全评估、事中实施监控、事中双向审计、事中Web业务审计、事中三层审计、事中告警方式丰富、事后回放追溯、高效行为检测、细粒度审计规则等子模块。

5.3 报表展现

报表展示模块是数据库审计系统分析结果的展示模块，主要包括综合视图、审计报表、模型分析共三个子模块。

5.4 网络部署思路

数据库审计设备采用选取两个节点，分布式部署采集机，统一建设服务器。网络部署图如下所示：

6主要技术和管理创新点

⑴对客户信息保护保护工作提出了新的解决思路，通过数据库操作分析告警机制，及时发现泄露风险加以处理。

⑵通过网络流量镜像和数据包解析整合手段，解决了操作日志难以记录和难以定位操作人员的问题。

⑶通过定期操作分析和通报考核，强化了人员安全风险意识，很大程度上避免了主动泄露客户信息的风险。

[参考文献]

[1]陈炜.基于网络的数据库审计和风险控制研究.

[2]李晶媛.网络数据库系统审计跟踪研究.