中安威士数据安全管理解决方案之xx银行敏感数据动态模糊化建设方案.docx
《中安威士数据安全管理解决方案之xx银行敏感数据动态模糊化建设方案.docx》由会员分享,可在线阅读,更多相关《中安威士数据安全管理解决方案之xx银行敏感数据动态模糊化建设方案.docx(17页珍藏版)》请在冰豆网上搜索。
中安威士数据安全管理解决方案之xx银行敏感数据动态模糊化建设方案
____________________________
xx银行
敏感数据动态模糊化
建设方案____________________________
文档密级
文档编号
创建日期
版本
3.2.方案设计思路5
5.3.模糊化策略设计20
文档信息表
文档基本信息
项目名称
文档名称
敏感数据动态模糊化方案
创建者
创建时间
文档修订信息
版本
修正章节
日期
作者
变更记录
2015-11
创建文档
第1章背景
随着企业信息化的发展,信息系统越来越多的使用于日常工作,成为不可或缺的工具和手段。
企业信息化大大提高了生产效率,成熟的企业已经越来越依赖于信息系统而运行发展并壮大,信息化离不开信息安全的保证,安全保证了了信息传送的实时性、可靠性、保密性。
xx银行作为以地方信用社为基础建设的地方股份制商业银行,其信息系统建设正处于高速发展之中,随着信息的集中程度不断提高,导致中小银行信息科技风险管理面临着新的形势、新的情况和新的问题。
如:
银行业因业务属性产生大量如敏感资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密资料
据Verizon2015年发布的数据泄露调查分析报告和对发生的信息安全事件技术分析,排名在前4的攻击模式(各种失误、犯罪软件、内部人员/权限滥用、物理偷窃/丢失)涵盖了90%的数据泄密事件,而这4种类型中有3种类型是人为的因素导致的数据泄露。
数据泄露也常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地。
“摩根大通”、“花旗银行”等数据泄露事件让数据安全在金融行业迅速升温,数据安全成为企业越来越关注的焦点。
针对以上问题,国内大部分金融机构还没有一套完善的数据安全保护方法,无法根据业务需要进行适度的敏感信息防护。
我们针对商业银行这一群体的数据防护问题进行了研究,并提出了有针对性的数据模糊化方案。
第2章需求与目标
2.1.安全需求
由于数据的集中化,数据安全的重心在于如何保证数据库的安全。
我们在传统的安全建设中对数据库安全的防护和重视的还远远不够。
主要因为在传统的信息安全防护体系中数据库处于被保护的核心位置,不易被外部黑客攻击,同时数据库自身已经具备强大安全措施,表面上看足够安全,但这种传统安全防御的思路,存在致命的缺陷。
数据库受到的威胁大致有这么几种:
1.内部人员的错误
数据库安全的一个潜在风险就是“非故意的授权用户攻击”和内部人员错误。
这种安全事件类型的最常见表现包括:
由于不慎而造成意外删除或泄漏,非故意的规避安全策略。
在授权用户无意访问敏感数据并错误地修改或删除信息时,就会发生第一种风险。
在用户为了备份或“将工作带回家”而作了非授权的备份时,就会发生第二种风险。
虽然这并不是一种恶意行为,但很明显,它违反了公司的安全策略,并会造成数据存放到存储设备上,在该设备遭到恶意攻击时,就会导致非故意的安全事件。
2.客户隐私信息的泄密威胁
在当前的交易系统中,有大量客户的住址、电话等个人隐私信息。
数据库维护人员、外部黑客攻击者都有机会利用数据库存在的漏洞以及自身拥有的高权限,直接获取敏感客户隐私信息。
3.缺乏有效追踪排查手段
缺乏有效的审计追踪手段,不能对可疑的违规操作,及时进行分析。
包括对违规篡改操作发生的时间、地址、操作者、数据修改前的值等信息项,当前都缺乏有效手段进行追踪。
2.2.建设目标
根据银行业务发展需要,数据安全保护的两个核心目标是:
Ø保证系统环境中相关的敏感信息的安全性
Ø与数据应用相关的业务能够持续运行等
敏感信息保护是紧迫性高、影响程度大的风险管理工作,直接影响到银行的商业声誉和业务开展。
金融行业监管部门也专门针对敏感信息保护提出了相关要求。
银行的系统使用中涉及到行内各类敏感信息,敏感信息的保护应合理地在“保密性、完整性、可用性、可审计性”几个方面符合达到银行的管理要求,使银行数据安全风险可控,能够稳定持续地支撑业务运行、保障数据安全。
敏感信息的保护要求明确了在未有实际生产运营使用需求或未得到敏感授权的情况下,需要对可获取或查询敏感信息的业务系统相关处理过程,应按照一定的规则进行防泄漏保护。
数据库敏感数据动态模糊化方案从源头对数据进行保护,使得经过模糊化后的敏感信息无法单独或与其他信息结合而准确识别该敏感,从而不会对敏感信息隐私权造成泄露等安全隐患。
通过调查和研究,可将商业银行的数据分为以下几类:
Ø银行用户基本信息:
如用户姓名、联系方式、企业背景信息
Ø银行用户账户信息:
如账号、各类密码、资金余额、理财产品情况
Ø应用源码:
如银行应用程序的二进制文件
Ø系统运维护资料:
如本机或其他系统的用户名和密码
Ø系统交付及规划资料:
如软件硬件清单或说明书
Ø系统配置信息及维护说明书:
如银行应用程序的配置说明及维护手册
Ø人力资源信息:
如员工数量、员工个人背景、薪资体系、人员工资明细
Ø网络建设及规划资料:
如网络拓扑图、IP地址清单
Ø网络运维资料:
如安全设备的告警和自动生成的报告、日志
Ø中心机房维护资料:
如机房或办公环境说明
Ø财务信息:
例如财务报表、银行详细账目
Ø需求说明书:
如银行应用程序的系统功能需求说明书
Ø设计说明书:
如银行应用程序的系统设计说明书
Ø管理决策支撑信息:
如银行经营状况分析报表、某分行业务经营报告、风险管理报告
Ø业务活动信息与日志:
如市场推广活动情况、后督工作记录、拆借操作记录、贷款审批与发放记录、会议纪要
Ø业务数据:
由结构化数据中导出的业务交易数据,形成的非结构化数据。
例如生产数据查询、业务报表
Ø产品与业务企划相关信息:
如产品设计、业务模式设计、业务计划、业务需求
Ø业务操作指南:
如电子汇票处理工作流程说明、SWIFT系统操作指南、安全巡查手册
Ø战略与规划:
如银行五年规划战略书、合作战略合作书
Ø行政办公指南:
如办公用品领用规定、会议室预定指南、内部各类通知
Ø脱敏数据:
如业务数据导出到开发网的数据
Ø供应商资料:
如应用系统开发外包项目经理姓名、联系资料
Ø银行基本信息:
如股东信息、组织架构、发展历史、业务方向
在数据安全防护方案全面实施之前,会对需要保护的数据,需要防护的方式,以及具体实现的形势再进行更深一层次的调研。
第3章方案概述
3.1.方案设计原则
我们在方案设计、实施过程中遵循如下原则要求:
1、处理源头化原则:
选择在后台数据库端进行模糊化处理。
2、最少够用原则:
对后台数据库进行敏感数据模糊化,只提供与业务需求有关的最少信息。
3、最大化原则:
在不影响使用的情况下,尽可能多的模糊化敏感信息。
4、可持续改进性原则:
方案具备良好的扩展性,在完成本期工程之后可以以之为基础灵活地扩展功能,可与其他安全系统灵活对接。
3.2.方案设计思路
由于无论用户是通过哪种应用、哪种工具进行数据库访问,到数据库端都将转化成数据库通信协议。
因此在本方案中,我们通过部署数据库敏感数据动态屏蔽产品,从数据源头上实现敏感信息等敏感数据的模糊化。
数据库敏感数据动态屏蔽产品是在数据库层面对数据进行屏蔽、加密、隐藏、审计或封锁访问途径的方式。
该产品作为一个数据库网关或代理部署,所有需要进行敏感数据模糊化的应用系统需通过该产品实现对数据库的访问。
当应用程序请求通过敏感数据动态屏蔽产品时,该产品对其进行实时筛选,并依据用户角色、职责和其他IT定义规则对敏感数据进行模糊化。
模糊化的方式包括如下几种形式:
Ø数据替换-以虚构数据代替真值
Ø截断、加密、隐藏或使之无效-以“无效”或*****代替真值
Ø随机化-以随机数据代替真值
Ø偏移-通过随机移位改变数字数据
Ø字符子链屏蔽-为特定数据创建定制屏蔽
Ø限制返回行数-仅提供可用回应的一小部分子集
Ø基于其他参考信息进行屏蔽-根据预定义规则仅改变部分回应内容(例如屏
蔽VIP敏感姓名,但显示其他敏感)
从而保证用户根据其工作所需和安全等级,恰如其分地访问敏感数据。
上图展示了敏感数据动态屏蔽产品的运作方式,图中有三名用户对一个内部工资管理系统进行访问。
左侧为HR经理,该经理获得授权,可查看姓名、账户信息和薪资等全部详细个人信息。
中间为兼职的工资管理系统雇员,该雇员仅被授权查看以屏蔽形式显示的数据,以便执行管理任务。
右侧则是开发人员、DBA或生产支持人员,他们出于IT方面的用途而需要以相应格式显示的信息,而敏感数据动态屏蔽产品将向他们提供加密过的数值。
3.3.数据动态屏蔽原理
动态数据屏蔽产理,以确定如何处理该请求。
下图显示了数据动态屏蔽的逻辑架构:
品充当应用程序和数据库之间的安全层,以保护存储在数据库中的敏感数据。
动态数据屏蔽产品截取发送到数据库的SQL请求,并送到规则引擎进行处
敏感数据动态屏蔽产品提供配置管理工具,可以用它来管理敏感数据动态屏蔽产品的策略配置并建立连接和安全规则。
敏感数据动态屏蔽产品通过改写应用系统发送的SQL请求实现数据库敏感数据动态屏蔽,处理流程如下:
1、动态数据屏蔽产品侦听并转发应用程序发送到数据库SQL请求。
2、当应用程序发送一个请求到数据库时,动态数据屏蔽产品收到该请求并可以识别发起SQL请求的程序名、主机名、操作系统用户、端口、SQL语法等信息,根据规则引擎的策略配置来确定转发该请求到数据库前需执行的动作。
3、动态数据掩蔽产品根据规则对应用程序发送的SQL进行改写,并发送修改后的请求发送到数据库中。
4、数据库处理该请求,并发送回给应用程序的结果。
在上图示意中,授权使用者和非授权使用者分别向数据库发送(selectnamefromcustomer)SQL指令用以查询当前敏感名称,敏感数据动态屏蔽产品根据规则引擎中的策略配置,对授权使用者发生的SQL进行完全放行(不改写),对非授权使用者发送的SQL请求按照策略进行改写(selectCONCAT(SUBSTRING(name,1,1),'O',SUBSTRING(name,3))asnamefromcustomer),因此非授权使用者从数据库获取的敏感名称即为模糊化后的名称。
3.4.产品部署模式
数据库敏感数据动态屏蔽产品可以采用网关代理部署模式。
敏感数据动态屏蔽产品部署在后台数据库服务器同网段的一台专用服务器上,同时需要修改应用软件原有的数据库访问配置,将数据库访问IP和端口修改为敏感数据动态屏蔽产品的IP和监听的端口,数据库实例名、数据库账号和密码保持不变。
安全人员通过使用敏感数据动态屏蔽产品的控制台工具进行安全规则的配置。
部署示意如下图所示:
3.5.与周边系统的集成
数据动态屏蔽产品与本地应用的集成可以分如下三种情况:
✓图形堡垒机系统可以与本产品集成实现根据运维人员主账号进行敏感信息查询的动态模糊化处理;
✓与各种应用的结合,可以在不修改应用代码,直接利用本产品实现所有敏感信息动态模糊化处理;
✓与应用的深度集成,实现针对应用用户权限进行动态模糊化处理。
3.5.1.与图形堡垒机系统集成
⏹集成目标
实现与图形堡垒机的完美结合,即便运维人员通过图形堡垒机对数据库进行访问操作,也可以根据安全策略对其中的非授权访问用户进行模糊化控制。
⏹需配合事项
需要图形堡垒机已实现与AD域的结合:
1、所有运维人员的主账号与AD域账号一一对应;
2、运维人员使用图形堡垒机提供的
升级会员 