數據運維安全防護系統(tǒng)建設與探究

葉水勇，陳 明，劉 琦，張 月，葉 菁，王文林，宋浩杰

（國網黃山供電公司，安徽 黃山 245000）

0 引言

數據已成為公司的戰(zhàn)略核心資產，各類數據在公司生產運行、經營管理、客戶服務等領域發(fā)揮著重要作用。同時網站門戶、在線業(yè)務應用和通信群組的內容安全已成為國家網絡意識形態(tài)安全的重要組成部分。由于公司數據量大、分布面廣、利用價值高、數據采集點多、發(fā)布渠道多樣化等，各類數據泄漏的風險大幅提升，公司數據安全防護面臨嚴峻挑戰(zhàn)［1-2］。

由于運維工作是業(yè)務穩(wěn)定運行的支撐基礎，需要做到響應快、定位快和解決快，運維人員的權限無法實時做到最小限制，一直是數據安全的薄弱環(huán)節(jié)，從責任、管理和技術上需進一步夯實基礎，強化全員數據安全與保密意識，將數據安全上升到企業(yè)安全乃至國家安全的高度，完善數據安全措施與手段，確保公司各項數據保護制度落實到位。

1 現(xiàn)狀與風險分析

1.1 現(xiàn)狀分析

公司充分認識到運維工作對數據安全的重要性，前期已開展了運維管控的工作，以運維審計系統(tǒng)為基礎，結合I6000 系統(tǒng)和人臉識別模塊，對運維入口形成有效把控； 利用虛擬化技術實現(xiàn)對數據庫運維工具的支撐，并集成了機房監(jiān)控系統(tǒng)，不僅有效杜絕了運維人員利用客戶端直連數據庫操作的行為，同時對在機房的任何操作也進行了有效的監(jiān)控；通過采用圖像識別技術，對視頻文件進行精準的行為定位，實現(xiàn)了“事前審批、事中監(jiān)控、事后審計”3 個階段的整體運維防護［3］。

1.2 風險分析

1.2.1 運維過程存在泄密隱患

目前運維人員在執(zhí)行數據運維時，通過本地終端訪問運維審計系統(tǒng)，根據運維審計系統(tǒng)中的資源訪問權限去訪問相應資源，進行相關數據的運維操作［4］。在該過程中，由于運維人員可對數據庫中的數據進行查詢及導出操作，并能將數據導出到本地終端，相應數據沒有采用安全措施進行防護，存在運維人員在獲取導出的數據后進行非法利用的風險。

1.2.2 運維過程無風險管控

即使要求運維人員根據工作票，通過運維審計系統(tǒng)進行數據操作，并做了全程記錄，但這也只能解決事后的追查問題［5］。而運維人員在運維操作過程中是否執(zhí)行了與本次工作票中無關的行為，目前公司還沒有主動管控技術去制止這種風險操作的發(fā)生。

1.2.3 運維操作無精確審計

目前操作人員的日常操作均被運維審計系統(tǒng)進行了記錄，但對數據庫的運維操作并沒有達到精確審計的目標，且留下的審計記錄是以視頻的方式呈現(xiàn)，進行事件查閱及檢索時相對耗時耗力，無法進行便捷、精確的定位，來分析風險操作的行為。

2 系統(tǒng)建設的技術方案

2.1 系統(tǒng)架構的優(yōu)化

在I6000 工作票上，明確要做什么的基礎上，實現(xiàn)對數據操作的細化管控，更要知道怎么做，分解到具體步驟，為事前審批和過程審核打好基礎；在提高運維審計系統(tǒng)健壯性基礎上，加入支持負載均衡功能模塊，滿足高并發(fā)數據運維的需求，同時擴展相應的接口，易于同其他應用系統(tǒng)的結合，提供運維流程的周轉自動化［6-7］。

2.2 運維操作行為的精確管控

對數據庫運維行為進行審批管控，針對敏感操作執(zhí)行默認拒絕命令，審批通過后在指定的對象和時間內該敏感操作方可執(zhí)行； 所有數據操作需要建立規(guī)范的運維流程，形成事前審批、事中控制、事后記錄機制［8］。安全運維自動審批工作流程如圖1 所示。

圖1 安全運維自動審批工作流程

2.3 敏感數據的智能屏蔽

提供具有高可靠性的動態(tài)脫敏能力，通過在數據庫協(xié)議層的處理，實時根據用戶角色和規(guī)則進行篩選，屏蔽敏感數據（脫敏）［9-10］。業(yè)務系統(tǒng)，獲得了授權可以訪問真實數據；非授權用戶為運維人員，僅能查看經過屏蔽的敏感數據，但不影響其完成系統(tǒng)運維任務。通過部署該動態(tài)脫敏功能，能夠幫助公司快速、低風險、平穩(wěn)的提供生產數據庫的實時隱私保護。實時動態(tài)數據脫敏技術實現(xiàn)如圖2 所示。

圖2 實時動態(tài)數據脫敏技術實現(xiàn)

2.4 運維數據導入導出通道的管控

2.4.1 場景的解決方案

使用運維審計系統(tǒng)的數據庫客戶端，禁止調用本地數據庫客戶端工具；切斷運維終端和虛擬化服務器之間的傳輸數據通道； 關閉特定服務器的文件傳輸通道；服務器之間網絡訪問策略做精細化管理； 對擁有數據獲取權限的業(yè)務人員開辟數據獲取通道。

具體步驟： 管理員新建運維任務時將運維過程中所需的運維腳本一并上傳至堡壘機； 運維人員通過虛擬化連接到應用虛擬化服務器； 系統(tǒng)自動將運維腳本文件同步至應用虛擬化服務器上，使文件在該用戶的會話中有效；數據庫運維工作正常進行（過程中有可能會導出數據文件到應用虛擬化服務器上）；系統(tǒng)自動將運維導出數據文件同步至運維數據文件服務器上；業(yè)務人員拉取所需數據文件。運維數據導入導出通道管控如圖3 所示。

圖3 數據導入導出通道管控

2.4.2 技術解決方案

管理頁面部分： 新建運維任務時添加對應的腳本文件［11］。維護（腳本文件、運維任務、目標設備）的關聯(lián)關系；新建運維任務時添加敏感運維指令。維護（運維任務、敏感指令）的關聯(lián)關系；將腳本中的數據存儲到數據庫中，以便后續(xù)查詢統(tǒng)計； 增加告警郵件、短信網關的維護。

底層實現(xiàn)部分： 切斷運維操作機和應用虛擬化服務器之間的文件傳輸通道和數據拷貝通道； 針對上述第三步，從第二步過渡過來的時候，應用虛擬化服務器和堡壘機需要對本次會話，即（腳本文件、運維任務、目標設備、運維會話）關系進行識別，以便知道需要拉取哪個數據庫運維腳本文件； 針對上述第三步，堡壘機上需要增加腳本文件數據提供給應用虛擬化服務器的功能，應用虛擬化服務器上需要增加腳本文件數據接收的功能；針對上述第五步，應用虛擬化服務器上需要增加文件推送程序 （給運維數據文件服務器），運維數據文件服務器需要提供數據接收功能；針對上述第六步，運維數據文件服務器需要提供數據推送的功能。針對敏感指令的告警，應用虛擬化服務器回傳操作指令（包括鍵盤輸入數據、剪貼板粘貼數據）給堡壘機，堡壘機需要對操作指令進行敏感指令匹配，若匹配成功，發(fā)送短信、郵件等［12］。

3 系統(tǒng)實施部署方案

運維審計系統(tǒng)： 在現(xiàn)有運維審計系統(tǒng)基礎上進行新功能開發(fā)升級后，然后進行運維審計系統(tǒng)集群化部署，實現(xiàn)負載均衡效果［13］。

數據庫運維管控模塊： 部署在運維審計與數據庫中間，以旁路代理方式進行部署，所有到達數據庫區(qū)域的運維請求都要經過運維管控平臺。

動態(tài)脫敏模塊：部署在運維審計與數據庫中間，以旁路代理方式進行部署，所有運維終端訪問數據庫進行查詢操作時，都要經過動態(tài)脫敏進行處理。部署方案如圖4 所示。

圖4 部署方案圖

4 系統(tǒng)實施效果

4.1 系統(tǒng)架構得到優(yōu)化

在運維審計系統(tǒng)深化完善的基礎上，提升了數據運維的管控能力，強化數據運維的審批程序，完善數據導入導出的規(guī)范，細化人員角色的權限，提高運維審計系統(tǒng)的健壯性和高擴展性，從而為公司的數據安全提供堅強的保障［14］。

4.2 規(guī)范數據的導入導出通道

在運維審計系統(tǒng)中關閉數據傳輸功能，運維人員無法將數據直接拷入客戶端本地，同時也無法將數據拷出到本地終端。與此同時，在運維審計中開放數據上傳功能，運維人員可通過運維審計系統(tǒng)將運維所需工具、腳本上傳到數據庫運維終端。并且運維數據導出后，該數據只能存儲到指定的服務器存儲空間。這樣既保證了業(yè)務部門的數據交付，也杜絕了運維人員接觸到導出數據的可能性。

4.3 規(guī)范數據的運維操作

通過建立數據庫運維管控平臺，規(guī)范所有數據庫運維操作行為［15］。當涉及到重要數據的敏感操作時，將引入申請審批機制，必須經過審批處理后才可進行運維操作。并且在執(zhí)行運維操作時將嚴格遵循工作票內容，當出現(xiàn)與工作票內容不一致的運維操作時，將對該運維操作進行阻止。

4.4 敏感數據得到遮蓋屏蔽

在運維人員訪問數據庫進行查詢操作時，通過脫敏技術確保其查詢出的數據為經過脫敏后的數據，利用身份識別技術，對每一次運維人員訪問數據庫中敏感字段時進行脫敏處理，確保其查詢展現(xiàn)的數據為非真實數據［16］。但在其執(zhí)行數據導出操作時，數據為原始真實數據。

5 結束語

公司通過建立標準化數據運維流程，精準地控制運維過程的操作行為，將線下審批流程整合到線上審批，使得運維操作審批更便捷，運維操作更易被監(jiān)管； 從管理上解決了申請操作與實際操作不一致性；技術上解決了運維過程中的安全隱患。通過對數據訪問權限的控制，使得運維人員在可開展正常數據運維的同時，無法接觸到真實的數據結果，讓主動泄密風險降到最低。通過對運維導出數據的安全防護，杜絕了運維人員私自帶走數據的風險，從而杜絕運維數據外泄的可能。