淺議煙草行業商業企業如何有效提升數據安全

凌東龍

摘 要 本文以“讓數據使用更安全”為目的，通過 “安全防護、數據脫敏、數據加密、操作審計”的防護方式來有效提升煙草行業商業企業數據安全。通過安全防護平臺配置策略對未知IP、用戶、訪問庫或表做禁止訪問，從訪問源頭來保護數據，監測數據庫的訪問。同時數據庫脫敏可將所有運維人員在運維時不需要看到的敏感信息進行變形，配合數據加密系統防止透明加密技術的數據庫數據泄露。最后通過操作審計系統可實時對增、刪、改、查的風險行為進行告警并可追根溯源，達到“讓數據使用更安全”的目的。

關鍵詞 安全防護;數據脫敏;數據加密;操作審計;數據安全

How to effectively improve data security for commercial enterprises in tobacco industry

Ling Donglong

Hunan Tobacco Company Loudi，HUnan loudi? 417000，China

Abstract With the purpose of “making data use more secure”，this paper aims to effectively improve the data security of commercial enterprises in the tobacco industry through the protection methods of “security protection，data desensitization，data encryption and operation audit”.Access to unknown IP，user，access library or table is prohibited by security protection platform configuration policy to protect data from access source and monitor database access.At the same time，database desensitization can deform sensitive information that all operation and maintenance personnel do not need to see during operation and maintenance，and cooperate with data encryption system to prevent database data leakage of transparent encryption technology.Finally，by operating the audit system，the risk behaviors of adding，deleting，changing and checking can be warned in real time and traced back to the source，so as to achieve the purpose of “making data use safer”.

Key words Security protection;Data desensitization;Data encryption;Operation audit;Data security

引言

隨著信息化程度越來越高，煙草行業商業企業積累了大量的數據資源，業務種類繁多，橫向涉及卷煙營銷、專賣管理、煙葉管理、企業管理等各個業務領域;縱向貫穿行業、省、市、縣（區）等多個層級，數據呈現出數據量大、復雜性高、多樣性強等特點，對安全性保護、規范性管理、技術架構升級改造等提出了新的要求和挑戰。煙草行業商業企業業務系統中涉及大量的個人信息以及煙草的銷售及零售信息，如若數據丟失或泄露，可能會產生蝴蝶效應，將對整個煙草行業造成不可估量的影響，如何更好地使用和保護數據資源，解決數據安全面臨的各類挑戰，成為煙草行業商業企業當前亟待解決的一個重要問題[1]。

1數據安全現狀及需求

2.1 缺乏數據庫攻擊防護及惡意操作的嚴令禁止

當前，煙草行業商業企業在網絡邊界處采用了防火墻、入侵防御等安全防護的技術手段，都是圍繞著網絡邊界的防護，這些安全防護設備無法識別數據庫的協議，無法實現數據庫用戶具體操作的安全管控。黑客一旦突破了邊界進入內網，再非法入侵煙草行業商業企業數據庫系統，就能輕而易舉地進行惡意拷貝、刪除系統數據等有目的的敏感信息破壞行為，似進入無人之境。煙草行業商業企業已經開放了部分互聯網接口，黑客可能利用SQL注入等技術非法入侵煙草數據庫系統，竊取、篡改、拷貝系統數據，從而進行有目的的金融犯罪行為。因此，煙草行業商業企業需要建設針對數據庫的主動防護體系，防止黑客對數據庫進行攻擊和對數據進行竊取，避免包括個人信息、業務信息在內的數據泄露造成損失[2]。

2.2 數據共享處理的風險

在煙草行業商業企業后臺數據庫中，儲存著大量的敏感信息，這些數據使用在業務分析、開發測試的場景中，這些數據通過數據共享平臺共享給其他各應用。同時，運維人員也能實時連上數據庫進行授權范圍內的數據維護，這些數據中往往包含未經過處理的生產數據，可能存在敏感數據和重要數據，另外，如何保證這些共享的數據安全，成為煙草行業商業企業一個重要的數據安全問題。

2.3 數據加密存儲需求

從人為因素的角度來看，不排除個別內部員工法制觀念淡薄、道德防線脆弱，在第三方利益誘惑下，利用職務之便搜集客戶信息、煙草售賣信息等大量明文存儲在數據庫中的敏感信息，并向不法分子兜售;或者在離職的時候帶走煙草重要客戶的資料。這些都有可能造成煙草重要數據的泄密，甚至引發法律風險。煙草行業商業企業現有數據存儲基本采用明文存儲方式，一旦進入數據庫即可獲取直觀的、具有價值的敏感數據，因此，需要對現有數據存儲方式進行加固，采用數據加密存儲技術，保障數據存儲安全[3]。

2.4 缺乏數據溯源記錄

數據溯源機制，是網絡安全法、等級保護要求必須具備的信息安全機制。目前大部分煙草行業商業企業并未對數據庫的所有操作進行記錄，不符合相關法律法規要求，一旦發生數據安全事件，也不具備數據溯源的機制。

3解決方案

針對以上現狀加以分析，本文淺議通過以下四種防護方式可有效避免以上問題的發生。

2.1 安全防護

通過策略對未知IP、用戶、訪問庫或表做禁止訪問，從訪問源頭來保護數據，監測數據庫的訪問，防止高危和未授權的訪問、SQL 注入、權限或角色的非法提升以及對敏感數據的非法訪問等行為，并通過虛擬補丁技術避免數據庫因為不能進行補丁升級而造成的惡意訪問。

2.2 數據脫敏

煙草行業的數據使用包括應用程序實時訪問以及維護人員的運行維護訪問，應用系統的業務人員僅需關注業務的操作流程，而有些涉及個人敏感信息的內容，不需要看到敏感信息的真實內容，數據庫維護人員、外部人員以及合作伙伴人員等，通過數據庫維護工具連接數據庫對數據庫進行維護，已經通過審批流程獲得了對數據表等對象的操作權限，然而這些維護人員應僅能進行數據的操作，卻不需要看到數據表中所有的真實內容，對于這些合法訪問者訪問高權限對象的行為，通過動態脫敏技術實時動態進行脫敏掩碼返回，確保業務用戶、外包用戶、運維人員、兼職雇員、合作伙伴、數據分析、研發和測試團隊及顧問能夠恰如其分地訪問生產環境的敏感數據。

2.3 數據加密

采用安全加固技術，對存儲層、數據訪問層、應用訪問層全方位防止數據泄密，防止由于明文存儲引起的泄密，防止核心敏感數據通過非法途徑泄露，防止外部非法入侵竊取敏感數據，防止合法用戶違規數據訪問。

2.4 操作審計

實時記錄網絡上的數據庫活動，對結構化和非結構化數據庫操作進行細粒度審計，對數據庫遭受到的風險行為進行告警。它通過對用戶訪問數據庫行為的記錄、分析，幫助用戶事后生成合規報告、事故追根溯源，同時加強內外部數據庫網絡行為記錄，提高數據資產安全[4]。

3方案設計

3.1 數據庫安全防護系統

在業務系統與數據庫之間部署數據庫安全防護系統（數據庫防火墻），實現漏洞和攻擊防護以及數據訪問操作的訪問控制。

防護功能：

（1）防止外部黑客攻擊

威脅：黑客利用應用系統漏洞，進行SQL注入攻擊;或以Web應用服務器為跳板，利用數據庫自身漏洞攻擊和入侵。

防護：通過數據庫漏洞攻擊防護能力，捕獲和阻斷漏洞攻擊行為;并提供SQL注入特征庫和XSS攻擊防護能力，保障數據庫應用側的安全。

（2）防止內部高危操作

威脅：系統維護人員、外包人員、開發人員等，擁有直接訪問數據庫的權限，有意無意的高危操作對數據庫造成破壞。

防護：通過限制系統表和敏感對象的訪問權限，限定SQL更新和刪除操作的影響行、限定No Where語句更新和刪除操作，限定Drop、Tuncate等高危操作，以避免大規模數據損失。

（3）防止敏感數據泄露

威脅：黑客、開發人員通過應用批量下載敏感數據，內部維護人員遠程或本地批量導出敏感數據。

防護：基于字段級的“與或”關系設置，建立敏感數據組，限定敏感數據的訪問時間、來源IP地址和賬戶信息，并針對高危操作執行會話阻斷或語句攔截。

（4）防止應用違規操作

威脅：業務操作人員和系統維護人員，通過應用系統非法登錄數據庫，并執行違規操作篡改或盜取敏感數據。

防護：通過應用關聯審計，捕獲應用賬號和應用登錄IP等信息，結合風險行為管控機制，實現應用關聯防護，阻斷非法的應用登錄和操作行為

（5）防止頻次攻擊：

威脅：黑客、開發人員通過應用對敏感數據做輕量級、高頻次操作，非法篡改或盜取敏感數據信息。

防護：通過學習期行為建模，針對敏感數據的頻次操作，進行趨勢分析和風險行為管控。

3.2 數據庫脫敏系統

建議串行部署在業務和數據庫之間，用于對真實數據進行脫敏，分析訪問、操作實現數據脫敏，防止敏感數據泄漏。

防護功能：

（1）敏感數據自動發現

在成熟的業務系統中，存在大量的表結構，系統的安全管理人員往往并不清楚所有感字段的分部情況，為了準確定位敏感字段，并不產生遺漏，產品可以提供輔助用戶發現敏感字段的能力，用戶可也可以根據自身業務特性添加并使用規則

（2）內置脫敏算法

內置高效的數據脫敏算法，能夠針對不同業務系統進行數據脫敏及掩碼擾亂。可以對姓名、證件號、單位賬戶、地址、電話號碼等敏感數據進行脫敏擾亂，內置擾亂方式包括同類替換和部分數據遮蔽兩大類。

同類替換：使用相同含義的數據替換原有的敏感數據，如姓名脫敏后仍然為有意義的姓名，住址脫敏后仍然為住址。

部分數據遮蔽：將原數據中部分或全部內容，用“*”或“#”等字符進行替換，遮蓋部分或全部原文。

系統能夠支持自定義、圖形化操作的脫敏規則和脫敏方式，支持UNICODE標準、中文等字符編碼。

（3）脫敏關聯關系保留

應用脫敏，可自動發現敏感列在數據庫中的引用關系，若存在引用關系的表在同次進行脫敏，脫敏會保留引用關系不變，數據的外鍵關系不會遭到破壞。

脫敏還提供用戶配置界面用于處理應用程序賦予數據的依賴關系，如姓名字段分散在不同表結構中，由應用程序保證其關聯關系。通過用戶的配置，該字段進行脫敏操作時，可確保依賴關系不會遭到破壞。

脫敏還可將具有依賴關系的若干列作為一組進行脫敏，以保證這些列中的數據在脫敏后仍然保留同樣的關系。

3.3 數據庫加密系統

安全代理部署在數據庫服務器里，安全服務器和數據庫連通即可

防護功能：

（1）透明數據加密

在實現數據安全加密的同時，另一個非常重要的特性就是應用透明，使用者和應用系統不需要關心系統進行了哪些保護。這樣的透明性主要體現在以下方面：

SQL 語句透明：SELECT、UPDATE、INSERT、DELETE 等語句進行操作，應用程序不用作修改即可擁有安全特性。

存儲程序透明：對于應用透明支持的含義還包括對存儲過程和函數透明的支持。

開發接口透明：提供對應用開發接口的全面透明支持，包括：JDBC、ODBC等。

管理工具透明：數據庫自身的管理工具仍然可以正常使用。

（2）授權解密

增設數據安全管理員（Data Security Administrator，DSA）。DBA和DSA相互獨立，在不影響數據庫本身權限的同時，增強了權限控制，分別從數據庫用戶，客戶端IP，應用系統等不同層面對權限增強，全面防止越權訪問，防止數據泄露。可以將合法用戶與應用系統綁定，同一用戶只能通過指定的應用系統訪問密文數據，使用命令行、管理工具等其他任何方式均無法訪問密文數據[5]。

（3）加密策略和加密算法

支持我國密碼管理機構認定的SM4加密算法，也支持國際先進的密碼算法如AES128。對數據庫可以指定表空間級進行加密，可針對不同表空間分配不同的密鑰，保證敏感數據以密文形式存儲，以實現存儲層的安全加固。

（4）高效數據訪問

基于數據塊層面的底層加密實現，突破了傳統數據庫安全加固產品的技術瓶頸，真正實現了數據高效訪問，適合數據規模大、密文數據存在復雜查詢和統計分析、性能要求高的復雜場景。OLTP場景下性能損耗小于7%，OLAP場景下性能損壞小于17%。

（5）獨立的密鑰管理

安全服務組件實現對密鑰的管理，包含加密密鑰生成，分配，備份，恢復，密鑰不出設備，讓用戶自己掌握密鑰，即使數據被盜也無法查看明文。

3.4 數據庫審計系統

旁路部署在業務與數據倉庫之間，通過交換機鏡像流量方式，對數據倉庫訪問操作進行審計。

防護功能：

（1）全量的業務審計

審計系統支持國內外主流數據庫，并且支持非關系性數據庫，如hiva、mangoDB、hbase等，系統可基于數據庫鏡像進行旁路審計。

（2）實時風險告警能力

形成數據庫的全量行為記錄，可有效的追溯和定責，提供全局檢索能力，從訪問來源角度實現多個數據庫的關聯查詢，定位數據庫風險;提供會話和語句的深度關聯分析，展現會話和語句詳情;提供應用關聯分析能力，使數據庫的訪問行為有效定位到業務工作人員，進行有效的追溯和定責。

（3）數據庫行為建模

針對數據庫通信協議進行完全解析，可建立學習期，歸類SQL語句模板，并結合會話信息、應用關聯信息，實現數據庫行為建模。基于建模語句的波動情況，進行有效的分析和深入的挖掘，當隱藏在應用軟件中的后門程序啟動時，基于建模分析提供實時告警能力，降低數據庫信息泄露的損失。

（4）數據庫性能診斷

提供實時的數據庫運行狀態監控，針對數據庫訪問流量、并發吞吐量、解析語句量、語句歸類模板量、SQL語句的響應速度進行專項的界面分析;針對語句量執行最多、語句訪問最慢的語句進行發現和排列，提供專業的性能診斷分析，幫助優化數據庫性能。

（5）海量日志合規存儲

隨著“網絡安全法”的進一步普及，很多業務系統要求數據庫審計產品存儲的日志量達到數百億條。采用了先進的數據采集、存儲機制，對海量的審計日志歸檔存儲。從硬件層面，采用RAID 0/1/5硬盤存儲模型，實現海量數據存儲;同時提供對外數據傳輸接口，進行審計日志轉儲。

4數據安全治理體系化建設

數據安全治理作為數據治理的不可或缺的一部分，是以“讓數據使用更安全”為目的的安全體系構建的方法論，數據安全治理并非單一產品或平臺的構建，而是覆蓋數據全部使用場景的數據安全治理體系建設。數據安全治理從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈，組織內的各個層級之間需要相互協作，并從能力、執行、場景三個維度建設數據安全治理體系，以最有效的方式保護信息資源，數據安全治理體系框架如下圖：

能力維度：完善的組織機構、有針對性和可行的管理制度和規范、全面和先進的數據安全技術，是構建數據安全治理體系的基礎。

執行維度：針對數據使用的各個場景，需要通過梳理來了解數據資產狀況和風險;配合制度規范要求，采用不同的安全技術手段進行數據使用過程中的管控，同時要監控使用過程，對訪問行為進行稽核，并不斷完善。

場景維度：數據安全治理涵蓋數據在日常使用過程中面臨的各種場景，具體包含開發測試、運維、共享、分析、應用訪問、內部特權訪問等場景。

5結束語

通過梳理近年來層出不窮的數據安全事件不難發現：既有黑客的攻擊，更有內部工作人員的信息販賣、離職員工的刪庫、開發測試人員誤操作等，多種原因導致的數據安全事件背后折射出的是，僅僅依靠單點防護難以達到真正的安全防護效果，通過構建數據安全治理體系與加強安全防護成為必然選擇。參考《網絡安全等級保護制度2.0》在安全通用要求、云計算安全擴展要求和參考要求中都分別對數據安全進行了要求。應及時對數據庫漏洞、弱口令、缺省配置、權限寬泛等風險隱患進行評估，采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。并通過人工+技術工具的方式進行針對性修補。

本文針對煙草行業商業企業數據安全防護技術的研究，提出安全防護方案，切實提高了數據庫的保密性與完整性，既基本達到了《網絡安全等級保護制度2.0》中關于企業數據安全防護的要求，也基本滿足了煙草行業對數據系統安全防護的相關要求。

參考文獻

[1] 楊淑波.淺談計算機數據庫安全技術[J].科技與生活，2010，19：22.

[2] 周明.電子商務網站數據庫安全技術問題探新[J].軟件導刊，2010， 9：52-53.

[3] 吳溥峰，張玉清.數據庫安全綜述[J].計算機工程，2006：85.

[4] 張敏，徐震，馮登國.數據庫安全[M].科學出版社，2005：234.

[5] 劉延華.數據庫安全技術的理論探討[J].福州大學學報，2001：39-41.