7X24h服务热线:400-116-9959

运营商行业数据库安全解决方案

发布时间:2017-12-14

数据库安全需求

客户个人信息及通讯数据的窃取和倒卖等不法行为一直困扰着运营商行业用户,因其数据量之庞大,蕴含价值之高,这种现象屡禁不止,其中相当一部分安全事件源于数据库的安全防护弱点。我们将运营商用户面临的数据库安全隐患分为三类:

(1)正规访问途径,窃取敏感数据

目前运营商内部人员普遍存在数据库管理账号权限过高的情况,绝大多数账号的权限超出其工作职责所必须的权限范围,可以随时随地登录数据库、轻易获取敏感信息。一旦被他人利用或者账号被他人获取,可能造成批量数据泄露风险。

(2)服务器存储层拷贝数据库文件

运维人员对硬件设备拥有高权限,可以从存储层直接拷贝数据库文件,如果没有有效的运维管控手段,可能导致整库数据泄露。

(3)黑客利用漏洞进行攻击,窃取敏感数据

数据库系统和WEB系统普遍存在代码级以及逻辑设计上的缺陷,即系统漏洞。外部黑客可以利用这些漏洞发起攻击,入侵数据库,达到窃取、篡改数据的目的。

(4)行业监管要求

除了安全隐患,中国电信《CTG-MBOSS 安全规范总册》、《企业内部控制规范----基本规范的内部审计机制》以及《电信网与互联网安全等级保护实施指南》、《移动通信网安全防护要求》等均对数据库安全审计提出了明确要求。 


 

方案概述

结合运营商安全现状和相关政策要求,安华金和通过“主动防御+审计监控+数据加密”三种技术手段构建立体、全面的运营商数据库安全解决方案。

数据加密-数据库加密系统

使用数据库加密系统对数据库中最核心的客户姓名、电话、证件号码等信息进行存储加密,保证备份、存储设备丢失或数据文件被盗也不会引起客户隐私信息的明文泄漏。同时,对密文数据提供访问授权功能,防止高权限的数据库账号越权访问敏感数据。

访问控制-数据库加密+数据库防火墙

对主客体账号进行授权,分离账号权限。限制任意数据库账号访问数据库的访问时间、访问地点(IP+MAC)、访问对象、执行操作(增删改查)等,从而避免高权限账号的违规操作或误操作。

对数据库查询行为的返回行数进行限制,防止数据批量泄露。

对数据库的更新和删除动作的影响行数进行限制,防止数据批量损坏。

主动防御-数据库防火墙

安全体系提供攻击保护功能,能够实时发现并阻断外部黑客的攻击。能够实时嗅探出合法用户对数据库系统进行的SQL注入、缓冲区溢出攻击和其他恶意操作,一经发现立即实施阻断并告警。

虚拟补丁-数据库防火墙

数据库系统本身存在的安全漏洞为攻击者提供了渠道。虚拟补丁功能,为数据库外的网络层创建了一个安全层,使用户在无需打补丁的情况下,完成数据库漏洞防护。

行为审计-数据库监控与审计系统

数据库监控与审计系统全面记录对数据库服务器的连接情况,记录会话相关的各种信息和原始SQL语句。通过语句解析及风险模型匹配判断访问行为是否存在安全威胁。

 

 

方案价值

通过上述的解决方案能够有效解决电信行业目前所面临的数据安全问题,提高数据库的安全性、机密性、稳定性以及可用性。最大程度的保证不会因外部与内部攻击、有意与无意的危险操作等原因带来的信息泄露、篡改、删除等后果。

有效减少核心数据的破坏和泄漏

通过数据库防火墙系统,能够加强对运营商数据库的保护,避免违反安全的事件发生,并且及时告警,通知相关负责人,从而有效地减少对核心数据的破坏泄漏。

准确追踪定责 

通过数据库审计系统,能够帮助电信人员进行事后追查原因与界定责任。审计系统提供三层关联审计功能,准确定位安全事件源头,包括人、时间、地点、事件、方法。

防止无关业务人员访问核心数据

对访问核心数据的人员建立权限体系,使核心数据流通在少数的、合规的人员内部,完全屏蔽无关人员与无关业务系统的访问行为。 

防御为主、审计为辅 

在主动防御的同时,依然对访问行为进行全程的审计监控,便于时刻分析问题可能发生的时间、地点、人物,以便设置更合理的防御策略。

应用改造零代价

对于现有应用系统及数据库系统无需进行任何改造。

安全防护客户隐私信息,维护运营商高端行业形象

方案通过存储层、数据访问层以及应用层的数据防护完成了客户隐私保密任务的“关键的最后一公里”,避免客户信息泄露风险,提升运营商公信力。

满足电信行业相关安全法律法规

本方案对客户信息的安全防护,符合电信领域数据加密相关安全管理规范;符合国家宪法第38条和40条,对通讯领域中的隐私信息保密要求。

 

 

典型用户

移动.jpg 中国联通.jpg 歌华有线.jpg

分享到: 更多
关于我们
新闻动态
产品中心
解决方案
400-116-9959 关注我们

Copyright ©2001-2021 北京创盛思博科技有限公司 京ICP备10218927号-1