近年來，隨著Internet的快速發展，各個行業均已進入信息化時代，金融業在中國20世紀70年代就已起步；20世紀80年代已經進入推廣應用階段，陸續引進了美國、日本等先進的信息設備；90年代各大專業銀行等信息系統紛紛升級，緊跟國際信息化腳步，引進國外先進技術，不斷提高自身信息化水平；到90年代末，整個世界進入一個信息技術高速發展的互聯網時代，而金融行業作為中國信息化先進水平的代表則面臨著前所未有的機遇和挑戰。

金融行業正常業務範圍概括起來主要有以下四大部分，分別是銀行業，證券業，保險業及其他金融服務。其中銀行業包括中央銀行，商業銀行，其他銀行。證券業主要有股票、債券、期貨及其他有價證券的投資交易活動。保險業，包括人壽保險，非人壽保險，保險輔助服務。其他金融業務是上述三種業務之外的業務，主要有金融信托、金融管理、金融租賃、財務公司、郵政儲蓄、典當以及其他未列明的金融活動。

隨著人們生活水平不斷提高，經濟上行，銀行業務量不斷增長，持續湧現一些新興業務，銀行企業網絡內部的應用行為愈加趨向復雜，而銀行中的數據往往涉及公眾的敏感信息。銀行通信網一般是以總行為中心、各省分行為分中心，覆蓋各地市行的分級式骨幹網絡系統，整個網絡負責著銀行綜合業務數據（包括對公、儲蓄、辦公自動化以及語音等多種業務）的實時傳輸任務。在這樣需要高可靠性、高保密性的網絡中，卻存在著針對銀行核心數據庫操作的安全隱患，例如非工作時間訪問核心業務表、非工作場所訪問數據庫、第三方軟件開發商遠程訪問等等行為，都可能存在著重大安全隱患。

為了保證銀行網絡、業務系統穩定、可靠，國家管理部門從銀行行業的實際安全需求出發，頒布了以下相關指引、法規：2010年，中國人民銀行發布了《網上銀行系統信息安全通用規範（試行）》中指出網絡架構、數據安全需審計；2009年，銀監會發布《商業銀行信息科技風險管理指引》；2007年，全國信息安全標準化技術委員會發布了《網上銀行系統信息安全保障評估準則》；2006年，銀監會發布《電子銀行業務管理辦法》、《電子銀行安全評估指引》、《銀行業金融機構信息系統風險管理指引》、《商業銀行合規風險管理指引》、《中國銀行業監督委員會辦公廳文件銀監辦通313號》、《保險公司內部審計指引（試行）》、《保險公司風險管理指引（試行）》；2002年，《商業銀行內部控制指引》。

在這樣的信息化背景下，金融行業緊跟潮流，在信息化設備采購上一直保持著國際先進水平，但僅保持硬件及軟件系統的先進性還是不夠的。數據庫作為金融行業信息系統的核心和基礎，承載著越來越多的關鍵業務系統，整個業務流程過程中的操作、數據的變更、新增、刪除都存儲在數據庫中，保存著客戶的個人資料以及資金等各類信息。信息一旦被篡改或者泄露，不僅損害到公民自身利益，銀行的品牌形象，甚至影響到公共秩序和國家利益。

針對網絡中的威脅，金融行業也采取了很多防禦措施，比如在金融信息系統最外層部署了網絡防火墻，在應用層部署了IDS、IPS、WAF、堡壘機等一系列安全產品，在客戶終端上也部署了相應的防病毒軟件，但在數據庫層面安全措施做得不夠。

針對銀行業八大應用系統集群的業務和數據庫安全的保障需求，中安威士提出了面向業務系統和數據庫系統的“縱深防禦”安全加固方案（圖1）。該方案采用數據庫行為審計、業務系統審計、數據庫防火墻和透明加密技術，可以有效監控針對數據庫和業務系統的各種操作，及時發現違反數據庫安全策略事件並進行阻斷，該方案支持對核心數據的加密，層層設防，確保銀行信息系統的業務和數據安全。

圖1 中安威士針對業務和數據庫安全“縱深防禦”方案

中安威士業務和數據庫安全“縱深防禦”方案中的主要功能模塊如下：

數據庫風險掃描。可以對數據庫的系統漏洞、用戶弱口令、權限分配、宿主操作系統漏洞等內容進行定期掃描，發現漏洞風險及不合理的配置項，及時通知管理員。通過數據庫風險掃描功能可以減少、弱化大多數人為與非人為造成的數據庫風險，提高數據庫的安全性，減少數據庫被攻擊的風險。

數據庫狀態監控。監控數據庫系統的內存使用狀況、緩沖區管理統計、用戶連接統計、Cache信息、鎖信息、SQL統計信息、數據庫信息、計劃任務、線程信息、鍵效率、緩沖區命中率等信息來判斷數據庫系統運行是否正常，保證數據庫系統的可用性和響應能力。

數據庫操作審計。采用智能語法分析技術，對發往數據庫的語句進行分析，並將SQL語句還原為對數據庫的操作行為。進行細粒度的記錄、審計及報表展現，對高風險的SQL操作進行告警甚至阻斷。對於業務系統的特殊部署（比如應用系統與數據庫系統同臺部署）或運維操作（比如直接在服務器操作數據庫、遠程桌面訪問數據庫等），常規數據庫審計方法是無法監控到的。中安威士的數據庫審計系統可以提供本地探針的部署方式，全面審計到對數據庫的本地訪問行為，確保審計信息360度無死角。數據庫審計可以對違規操作數據庫的行為進行記錄、追蹤和取證，這對內部網絡犯罪是一種強大的威懾。

業務系統及三層關聯審計。目前銀行很多業務系統都是基於三層架構部署，即采用前臺瀏覽器、中間件或Web服務器及後臺數據庫服務器的三層部署方式。在這種部署方式中，所有對後臺數據庫訪問都是通過Web應用服務器或中間件來執行的，前端用戶並不會直接對數據庫進行操作。而目前主流的數據庫審計類產品通常都是針對後臺數據庫的訪問行為進行記錄和審計，這就產生了一個問題，即在定位數據庫操作的具體執行者時，無法關聯到Web前臺的訪問者。

圖2 三層架構下的審計需求

中安威士的數據庫審計產品支持“全業務流程審計”，可同時監控Web應用系統前臺發生的業務行為和後臺數據庫發生的操作行為。通過將用戶登錄Web頁面後所進行的業務操作（包括用戶登錄、退出、業務信息的增、刪、查、改等）和對數據庫的操作（數據的增、刪、查、改等）進行關聯分析，準確定位數據庫的操作源頭。

數據庫防火墻。數據庫防火墻以直聯的方式部署於數據庫服務器的前端，實時監控應用系統以及管理員對數據庫的一切訪問活動。數據庫防火墻采用了創新的語法分析技術，檢查發往數據庫的每一條SQL語句，並根據預先制定的策略決定是否讓該SQL語句通過，這些策略包括：

主體、客體授權規則：實現粗粒度的訪問控制，比如根據操作人員、IP、應用程序、操作時間、數據庫表、指定操作等信息實現訪問控制；

請求分類規則：通過對業務系統中的數據庫訪問操作進行自動學習，對事件進行分類，識別普通操作和高危操作；

多關鍵字匹配：通過關鍵字及關鍵字組合快速匹配某條SQL語句，實現對敏感內容的識別和過濾；

正則表達式：可以根據業務系統的實際情況，自定義任意規則對數據操作進行識別和控制。

通過部署數據庫防火墻，可以屏蔽掉高危的SQL操作，防止註入攻擊以及對敏感信息的無授權訪問，有效避免因外部攻擊、內部非法操作以及誤操作所帶來的數據被竊取、刪除、篡改等風險。

數據庫透明加密。通過數據庫狀態監控、業務和數據庫行為審計、數據庫防火墻，已經能夠確保核心數據資產的安全。對於極端情況，比如DBA權限泄漏、直接復制文件等情況造成的數據泄密，可以通過數據庫的透明加密來給數據加上最後一道“鎖”。部署了數據庫加密以後，數據庫管理員獲得的信息無法進行正常脫密，從而保證了用戶信息的安全。同時，通過加密，數據庫的備份內容成為密文，從而能減少因備份介質失竊或丟失而造成的損失。

通過上述數據庫“縱深防禦”方案，可以將相關業務人員訪問應用系統和數據庫的行為進行合規審計，對外部用戶（比如網銀接入的用戶、網站訪問用戶）訪問數據庫的行為進行安全防護，對銀行系統的核心敏感數據進行加密，從而實現銀行信息系統的業務和數據庫資源的縱深防禦和細粒度審計。

上述方案涉及的安全產品包括中安威士的數據庫審計、數據庫防火墻以及數據庫透明加密產品，這三個產品所包含的功能如下表所示：

滿足來自人行及銀監等部門的合規性安全檢查要求；維護和提升銀行機構的形象和公信力；解決運維人員專業安全分析能力不足問題；協助安全事件取證以及事後追溯；防止敏感信息丟失或泄露。數據庫漏掃通過對銀行數據庫的漏洞評估和配置檢查，降低非法入侵的機率；審計產品有效記錄來自互聯網接入區的非法行為、數據庫入侵行為、並對違規訪問行為進行及時預警和行為回溯；數據庫防火墻防範“越權使用、權限濫用、權限盜用”等安全威脅，提升數據庫安全整體防禦效果，有效抵禦各類攻擊。

數據庫安全之金融