海信广场作为青岛市知名高级百货店,客户数据与财务数据众多,为实现对海信广场数据库的安全防护,美创联手海信广场打造美创数据库防火墙,为海信广场数据库保驾护航。
一、项目背景
作为青岛的时尚地标建筑,海信广场于1997年7月1日创立,首次将国际品牌引入青岛,集合了Hermès、LV、Prada 、TIFFANY&Co.、BVLGARI、BOTTEGA VENETA、BURBERRY等世界一线品牌,开启了山东省的高级百货时代,是中国最早的高级百货店之一。
图 1青岛海信广场
海信广场青岛总部主要的业务系统数据库为Oracle数据库,用户数据库中的重要数据有两类:一类是客户数据,包括客户消费数据和会员个人信息数据;另一类是财务数据,包括商场流水、资金结算、员工工资等。
当前阶段,青岛海信广场业务系统和数据库都在一个区域内。本次建设主要诉求是实现对数据库的安全防护,重点为内部运维,涉及部分外部防护,具体如下:
1)身份认证和识别, 针对数据库的访问主要有业务系统访问和内部运维人员访问,现有的网络安全设备无法区分这两种访问形态,无法针对性的提供防护策略;
2)运维特权账户的管控,特别针对于内部运维层面的sys、system等特权账户,权限过高,如发生误操作或者非法操作极有可能导致重要数据的损毁或泄露;
3)针对运维层面的高风险操作的识别和拦截,如无where条件的删除、更新等,但也要能够区别风险操作和常规操作,如一些tmp开头的临时文件的删除操作需要放行;
4)能够全面监管并拦截针对于数据库漏洞攻击以及SQL注入攻击等行为;
5)由于海信广场为高端商品卖场,业务连续性非常重要,数据库安全设备要求尽可能的避免对业务系统的影响,要求具有业务连续性保障。
二、解决方案
经过前期沟通以及方案交流,青岛海信广场最终选择美创数据库防火墙系统用于对业务系统数据库的防护,兼顾内部运维人员管控和外部应用入侵防护。
根据实际需求,本次项目采用数据库防火墙串接方式进行防护。
图 2美创数据库防火墙部署图
Q:数据库防火墙如何部署?
A:将数据库服务器从服务器区域分离出来,增加交换机单独划分出一个数据库区域,将数据库防火墙串接在数据库区域和核心交换机之间,所有对数据库的访问都要经过数据库防火墙,起到过滤和防护作用。
具体实现功能如下:
(1)多因素身份识别,通过对数据库访问流的的分析和识别,通过IP地址、计算机名、使用工具等对访问者身份进行识别,准确识别出运维访问、应用访问等身份形态;
(2)对业务和运维访问进行规范化管理,划定特定的IP作为合法的运维终端,同时指定专用的运维软件,只允许运维终端和业务系统访问数据库,同时只放行业务服务器通过业务软件的方式,拒绝业务服务器上通过运维工具的访问;
(3)通过虚拟补丁功能,开启内置的数据库漏洞防护策略和SQL注入防护策略,全面防护来自外部的威胁和风险;
(4)限制特权账户,对于运维操作,放行常规运维操作,拦截提权操作、表空间操作、私建帐户等越权风险操作,避免特权账户权限过高,可能对数据库带来的损毁风险;
(5)高危操作管控,对重要的数据表提供专门的防护,拦截对重要数据表的drop操作,以及没有where条件的删除、更新等操作,同时为了便于运维操作的灵活性,允许对于tmp表的删除操作;
(6)数据库防火墙提供硬件Bypass功能,在数据库防火墙出现任何故障,包括软硬件故障时都能尽快联通网络,保障业务系统的正常运行。
三 、方案价值
通过部署美创数据防火墙,海信广场完美解决了在传统网络安全防护中无法针对数据库和数据进行防护和管控的问题,具体如下:
1、 提高海信广场数据库抗风险能力
通过虚拟补丁有效的识别和拦截外部针对数据库的攻击和破坏行为,充分补齐传统网络安全的短板,提高海信广场数据库的抗风险能力。
2、 采用准确的身份识别,细颗粒度管控数据操作
通过多因素的身份识别,准确识别应用和运维操作,并根据各自的操作特点指定细颗粒度的管控手段,在不影响业务和正常运维的情况下,最大限度的保障数据安全。
3、 高可靠性打消客户疑虑
采用硬件Bypass功能,在数据库防火墙出现故障时能够快速恢复,保障业务正常运行。
为国内数据安全领域的领导企业,美创科技对于数据库防火墙技术、性能、应用、商业化等研究一直走在前列,并担任数据库防火墙新国标的研制工作。美创数据库防护墙系统目前已成功应用于医疗、人社、政府、交通 通信等众多事关国计民生的重要领域,获得广泛认可与好评。
,
