文/龚昕
随着信息技术在社会政治、经济和军事各个领域的广泛应用,信息技术的重要性日益突出,数据在经济、政治和军事发展中的作用也越来越明显,大数据的应用和发展,海量数据的存储、交换和挖掘,已经成为未来大数据重要组成部分,数据中心建设方兴未艾。试验数据中心通过网络系统向服务对象提供各种试验数据,利用信息技术并依托各种标准协议,完成试验数据计算、存储、传输等一体化的信息管理和服务体系。在用户需求转型和变化的情况下,如何保证试验数据交换中数据资源的安全已成为制约试验数据中心发展的一个重要问题。
试验数据交换平台是指将分散建设的若干试验信息系统进行整合,通过计算机网络构建的数据交换平台,保证分布异构系统之间互联互通,建立数据中心试验数据资源池,完成试验数据的抽取、集中、加载、展现,构造统一的数据处理和交换,并对外提供数据产品和服务。试验数据安全威胁来源包括内部威胁和外部威胁,试验数据交换平台中的数据为涉密数据,内部的运维人员,管理人员在使用系统过程中可能由于权限过高、蓄意越权访问、误操作、或是介质窃取等方式,导致数据泄露;外部的攻击者通过恶意软件、非法入侵等方式绕过前端防护系统或者穿透应用程序直接访问数据库,窃取涉密数据。试验数据所面临的具体安全威胁主要包括以下几个方面:
试验数据交换平台中的涉密数据分布在各个模块中,管理人员对涉密数据的种类和数据量不清楚,分布情况缺乏可视化的管理手段,同时对涉密数据的检索、下载等流向缺乏详细的管控。
平台运维人员拥有权限较大,甚至是超级管理权限,系统权限被滥用,对系统造成严重威胁。
图1:试验数据交换平台安全架构
内部人员使用试验数据过程中权限设置违反了“权限最小原则”,拥有超高的管理权限,同时有些用户认证方式主要为单一的口令方式,权限盗用容易发生,极易发生涉密数据泄漏事件。
外部人员通过Web/APP访问系统,利用插入恶意语句或者利用连接工具发动缓冲区溢出攻击,数据库本身不具备SQL注入攻击检测能力,攻击者便有机会获得整个数据库的访问权限。
在试验数据流转过程中,包括试验数据上报过程和试验数据交换过程,如果在试验数据接收方发生数据泄露,流转的试验数据没有进行标记,则无法追溯试验数据来源,确定试验数据泄露责任人。
对数据的访问和活动情况缺乏必要的监控和记录,如果发生泄密事件则无法审计和追查,同时也不能发现试验数据的异常活动情况和风险。
通过有效的层级结构划分可以全面展现试验数据交换平台安全架构设计思路,平台架构设计分为4个层级,分别是包含安全对象层、数据采集层、数据管理层、数据呈现层。试验数据交换平台安全架构如图1所示。
安全对象层是指平台中基础安全设备或系统,包括应用系统、防火墙、数据库、数据库审计和其它数据安全设施,为用户提供透明的数据和磁盘安全服务,通过认证、审计和鉴权措施对数据实施保护;
数据采集层通过安全对象实现试验数据的采集,采用过滤、清洗、监控、规则校验、安全行检测等方式对采集的试验数据进行处理;
数据管理层对采集的试验数据进行分析,主要包括涉密数据定级、数据安全入侵检测、数据加密、数据溯源、数据访问控制等安全功能;
数据呈现层利用数据可视化展现工具,对试验数据进行加工和处理,形成可视化界面和报表,提供给试验数据监管部门和运维人员供系统安全分析使用。
试验数据交换平台对所有数据访问的主体和访问点进行全程监视和访问控制,建立风险分析模型,及时发现试验数据的异常风险并预警或阻断,平台安全设计方案如图2所示。
在试验数据交换平台安全设计中,数据提供方提供数据到前置机,在该过程中,数据提供方根据实际共享需求和共享方式,对原始数据进行必要批量处理,进行查询同态等外发安全控制,对数据做外发加工;试验数据进入交换平台中间库后,共享平台对提供的数据进行合规性和有效性检查,对数据进行标注;数据进入共享平台资源中心,需要根据试验数据的密级,进行相应的防护,防护手段包括:用户认证和权限管理、数据加密、数据访问审计与入侵检测等;交换的试验数据安全,由数据提供方、共享平台和接收方共同负责,对所有数据安全设备的工作状态,以及每个节点和终端上数据的流动情况进行监控,进行人工智能分析,及时发现数据风险点,形成数据安全的态势感知,从全局把控数据安全状态。
根据预先设置的数据规则对接收的试验数据进行有效性检查,防止违规的试验数据或者恶意代码被上传到共享中心。具体实现以下功能:
(1)问题数据检测:扫描ΙP及端口范围,根据问题数据发现规则发现问题数据。
(2)有效性检查:设定有效性规则,包括正则表达式约束规则、重复数据约束规则、SQL约束规则、关联性约束规则和算法约束规则等,对试验数据进行检查。
全方位的监控和记录试验数据访问和活动有关情况进行,及时发现试验数据的异常活动情况和风险,产生报警,最后通过输出可视化的报表,便于事后审计和追查分析。具体实现以下功能:
(1)数据库入侵检测:及时发现针对试验数据访问的违规操作行为,并进行记录、报警。一旦发生威胁,可迅速判断是内部人员的越权操作,还是外部人员的入侵行为,事后追责,满足合规审计要求。
(2)业务审计:实时监控试验数据活动情况,自动学习并建立用户和系统对试验数据的访问行为模式,生成不同粒度的访问规则。进而根据设置的规则评估访问操作的风险等级,并根据风险等级产生告警。
(3)数据接口管理:管理员可以通过接口配置页面简单快速地将新的对外服务数据接口纳入审计范围,支持常见类型的数据传输格式的解析和核心数据的提取和结构化处理。
(4)数据接口数据流出审计:从数据提供者的视角,对试验数据流动情况进行审计。利用趋势图,热力图,地理分布图等数据可视化技术提供多视角的试验数据流动情况分析,包括试验数据接口数量趋势变化,各接口数据流出量趋势变化,流出数据类型分布,数据接收方分布。
(5)数据接口数据接收者行为审计:从数据接收者的视角,对试验数据流动情况进行审计。利用趋势图,热力图等数据可视化技术提供多视角的试验数据接收者访问数据的行为分析,包括访问所有数据接口和对每个数据接口的访问行为的刻画。
(6)数据流动追溯:对于需要追溯的数据内容,试验数据追溯功能可以快速定位该数据的历史流动轨迹和所有数据接收者,再结合数据接收者行为审计功能,进而判断可能存在的风险。
(7)检索与报表:系统记录访问日志,并提供可视化的日志检索功能,生成可读性高的报表,达到提高数据库及业务系统的安全性的目的。提供大量报告模板,包括各种审计报告、安全趋势等。
图2:试验数据交换平台安全设计
通过集中统一的访问控制和细粒度的命令级授权策略,确保用户拥有的权限是完成任务所需的最小权限,实现集中有序的操作管理,防止非法、越权访问事件发生。同时基于自动学习,生成细粒度的访问控制规则,阻断异常的查询和访问,防止试验数据泄漏。阻断异常的和违规的数据修改和删除操作,防止试验数据被非法篡改。具体实现以下功能:
(1)屏蔽直接访问数据库的通道:系统部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击。
(2)隐藏数据库端口:系统可以部署于数据库之前,提供端口映射功能,隐藏实际的数据库端口,攻击者难以根据端口扫描得到数据库信息。数据库的隐通道和其他端口也相应被屏蔽,避免被攻击者直接利用。
(3)访问授权认证:通过ΙP地址、MAC地址、时间段、用户名、客户端等条件对访问人员进行授权限制;可以根据通过对增、删、改、查等动作进行权限划分,对有权访问数据库的人员进行二次限制,防止人员进行超出权限的动作。
(4)攻击检测和入侵保护:实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的记录攻击操作发生的时间、来源ΙP、用户名、攻击代码等信息。
(5)自动建立访问模型:系统开启学习功能,生成白名单规则,并手工添加黑名单规则,解决详细设置数据库防火墙规则困难的问题。
试验数据安全态势感知是获取全部的试验数据并进行综合安全态势呈现,该过程动态持续。通过连续的信息采集分析不断更新对目标网络安全态势的认知理解,掌握安全状态、识别发展规律、认识威胁预警。帮助用户从全局的角度把控全网数据的安全状态。具体实现以下功能:
(1)数据资产的安全态势感知:通过采集对试验数据的分布情况、访问情况、风险状况、数据流量等进行关联分析,并进行态势可视化呈现,识别其发展规律,正确预测,提前发现异常情况。
(2)数据接口安全态势感知:通过对数据接口的所有试验数据流动进行分析,全面感知试验数据的流动情况,以及数据流动中的风险行为。进而基于UBA的思路,建立用户行为基线,并利用前沿的异常检测技术,从访问的数据类型,访问的数据量,访问数据时间,访问数据方式,访问数据频次以及长期历史等多个维度来识别发现数据使用和流向的异常。
(3)数据库的安全态势感知:监控数据库运行状态及漏洞高危告警影响度,高危漏洞影响程度,高危攻击影响度以及告警在数据库中的总覆盖率和随时间变化趋势。提前防止业务瘫痪,保障业务系统的连续可用性。
(4)预警管理:支持针对各种安全数据自动生成预警通报,提早发现并进行及时整改,同时对未发现的数据异常情况及已发现的数据异常情况联动,进行通报预警。同时通过数据可视化技术,提供方便直观的风险分析能力,帮助安全管理人员快速确认风险。
通过上述设计的试验数据中心数据交换平台安全架构能够有效解决试验中心数据交换所需的安全问题,提高试验数据资源的安全性、稳定性以及可用性。最大程度的保证不会因外部与内部攻击、有意与无意的危险操作、密级数据被直接拷贝等原因带来的信息泄露、篡改、删除等后果,真正达到数据“拿不走,看不懂,改不了,跑不了”的安全目标,该研究对试验数据安全管控工作具有参考意义。