【IT168 方案】

  　一. 背景概况

　　为提高企业运作效率，防范企业风险，很多企业集团纷纷设立了财务公司以处理企业内部往来银行业务和结算业务，逐步推行资金集中化管理。资金管理平台作为财务公司核心业务系统，在此进程中起到了至关重要的作用：它帮助企业实现了集团内部资金的统一计划、统一调度、统一结算和统一借贷;另一方面，它能够实时监控全部成员企业的资金情况，准确了解资金余额，实时监控资金收支，并可以随时发现、查看成员企业大额资金的来源、去向。可以分析，系统中交易信息、结算信息、信贷信息以及成员单位信息等是平台的核心业务数据，尤其是成员单位信息更为敏感，一旦泄露将直接暴露企业的资金状态，给竞争对手创造了商业打击的机会。

　　当前，为保障核心数据不被非法篡改和集中泄密，各财务公司围绕着网络防护、主机防护和应用防护展开了一些列的安全建设，已建立起相对安全的数据应用环境，但由于技术局限和相关安全产品匮乏等原因，数据库安全建设一直未能得到有效开展，近期花旗银行、汇丰银行、索尼PSN、移动联通等发生数据库泄密事件表明，当前数据库的安全防护仍是信息安全防护的薄弱环节。

　　二. 安全风险评估

　　在金融资金管理平台中，目前至少存在以下数据库安全漏洞，可能导致数据泄密或非法篡改行为发生：

　　1. 应用系统引起的敏感数据泄密

　　目前资金管理平台是一个统一的应用系统，集中了交易系统、结算系统，贷款系统、计划系统、审计与风险管理系统等核心业务模块，这些模块共用同一个数据库用户。这种方案存在两个问题：

　　(1)绕开应用系统直接访问数据库中的敏感数据：若该数据库用户由于未采用有效的保护措施，入侵者则可以通过该用户直接访问数据库，从而造成数据库内数据的泄密;

　　(2)无法进行有效授权：由于不同模块公用同一数据库用户访问数据，无法有效的限定数据库用户的访问能力，特别是统计分析业务和精确查询的区别管理。

　　2. 数据库维护人员的泄密风险

　　DBA及系统维护人员的权限过高，可以访问所有敏感数据。

　　SYS等超级用户、DBA用户，以及维护人员的数据库用户，具备了访问所有数据的权限;从而使毫无业务需要的DBA及维护人员能够访问所有敏感数据，具备窥视和篡改的非常好的途径。

　　3. 明文存储引起的泄密风险

　　由于数据库中的数据是以明文的形式存储在数据库中，从网络中的文件处理层将数据库文件拷贝走，可以获得所有敏感信息。

　　存储设备丢失、数据文件被窃取都会引起的批量敏感信息泄露。

　　三. 行业解决方案

　　本方案基于数据库保险箱系统(简称DBCoffer)，设计实现了应用层、数据库维护层和存储层的全方位数据保密解决方案。该方案已成功应用于政府、电信和军队等涉密领域，该产品将对数据库系统进行有效地安全加固，完全可以弥补当前资金管理平台的数据库安全“短板”。DBCoffer的核心价值在于，可对最常见的数据库信息泄密威胁，提供安全有效的防护手段：

　　3.1 安全威胁与防范措施

　　1. 明文存储引起的数据泄密

　　目前已有很多类似于Dul、MyDul的成熟免费软件，可对Oracle数据文件直接分析，输出清晰的、结构化的数据。

　　DBCoffer通过数据存储加密功能，从根本上保证数据安全，即使反向解析数据文件仍是乱码。有效解决资金管理平台中数据的存储保密问题。

　　2. 外部非法入侵窃取敏感数据

　　Oracle安全漏洞已达1000多种，且在持续暴露，一旦被攻击者利用，很容易窃取到敏感数据。

　　DBCoffer通过增强的用户口令校验强度，独立的密文权控体系，即使Oracle权控体系被突破，也无法访问到敏感数据，帮助资金管理平台抵御外部非法攻击，避免敏感数据泄露。

　　3. 内部高权限用户进行数据窃取

　　局限于Oracle数据库的设计，DBA等高权限用户天然具备访问所有数据的权限。

　　DBCoffer增设了安全管理员(DSA)，DBA在未经DSA授权时只有密文数据的维护管理能力，没有查看和修改能力;DBCoffer同时增设审计管理员(DSA)，对DSA的密文授权行为和数据库用户密文访问行为进行审计和分析。实现资金管理平台中数据库超级权限的三权分立、权责分明。

　　4. 利用合法用户的身份，进行违规数据访问

　　对于具备密文访问权限的合法Oracle用户，可能由于人为因素或管理不善，将用户名及口令泄露给第三方，第三方则可以通过命令行或管理工具等直接访问密文数据，批量窃取数据。

　　DBCoffer具备真正应用安全能力，可以保证用户和应用系统绑定，同一用户只能通过指定的应用系统访问密文数据，使用命令行等其他方式则无法访问密文数据; DBCoffer具有敏感数据访问的审计功能，能对密文的访问行为进行事后的追踪和分析，将资金管理平台中数据库合法用户与自身绑定、提供事后审计。

　　3.2 解决方案

　　综合分析上述的安全威胁与防范措施，结合资金管理平台的业务特点，以下定义出该系统的核心敏感数据，并提出数据安全保密方案：

　　在本方案中，通过DBCoffer将资金管理平台中的交易信息、结算信息、信贷信息以及结算用户的用户名、登录账号，网银用户的用户名、客户ID、登录账号，客户信息的客户ID、客户名称(包括中文名、别名、英文名)等核心信息定义为敏感信息，将这些信息加密存储在数据库中;同时通过DBCoffer的密文权限控制体系，限制DBA、服务外包人员、第三方开发人员对敏感数据的访问权限，使其只能维护数据而无法访问敏感数据，远离了泄密和被篡改的危险;仅将敏感数据的访问能力开放给资金管理平台应用;对这些敏感数据的访问，建立审计记录;同时，开启数据传输加密，有效保障数据传输的保密性和完整性。

　　至此我们形成一套完备的资金管理平台在存储层、传输层和应用层的全方位敏感数据保密解决方案：

　　1. 敏感数据加密存储和传输

　　对系统中最核心的交易信息、结算信息、信贷信息以及账户相关信息等信息进行存储加密和传输加密，保证备份、存储设备丢失或者传输被捕获也不会引起关键信息泄漏。

　　2. 敏感数据访问权限控制与审计

　　通过独立于Oracle数据库之外的密文权限控制体系，使与资金业务本身无关的DBA、外包人员、维护人员不能访问明文的敏感信息，也无从引起企业敏感信息的泄密。同时开启安全审计功能，对敏感信息的访问进行记录，便于对异常访问行为进行事后追踪分析。

　　3. 应用层防护增强

　　将数据库维护用户与应用系统访问数据库用户分离，并将资金管理平台访问数据库敏感信息的用户与业务系统自身绑定，拒绝使用该用户绕过业务系统的任何访问行为，从而实现防止合法用户违规访问的防护目标。

　　3.3 方案价值

　　3.3.1 使资金集中管理和监管更为安全，提升企业信赖度

　　资金管理平台针对成员单位数量多、分布广，相互间交易频繁，交易金额大的基本情况，实行资金集中管理和监管。以提高资金的流动性和安全性，达到合理高效配置资源的目的。DBCoffer通过敏感信息存储加密、传输加密和独立权限控制，将系统中资金信息与业务无关人员隔离，有效抵御敏感数据存储和传输阶段发生泄密的风险，保障了资金集中管控和交易的安全和成员单位的隐私，增强成员单位对财务公司的信赖。

　　3.3.2 应用改造零代价

　　DBCoffer的实施，对于现有应用系统完全透明，无需改造，对本项目所使用的RAC等Oracle核心特性无损。资金管理平台实施完毕后，能够直接将DBCoffer产品快速地、无缝地接入，融合到现有的业务应用系统中，并提供持续可靠的数据安全保障服务。