海信廣場作為青島市知名高級百貨店,客戶數據與財務數據眾多,為實現對海信廣場數據庫的安全防護,美創聯手海信廣場打造美創數據庫防火墻,為海信廣場數據庫保駕護航。
一、項目背景
作為青島的時尚地標建筑,海信廣場于1997年7月1日創立,首次將國際品牌引入青島,集合了Hermès、LV、Prada 、TIFFANY&Co.、BVLGARI、BOTTEGA VENETA、BURBERRY等世界一線品牌,開啟了山東省的高級百貨時代,是中國最早的高級百貨店之一。
圖 1青島海信廣場
海信廣場青島總部主要的業務系統數據庫為Oracle數據庫,用戶數據庫中的重要數據有兩類:一類是客戶數據,包括客戶消費數據和會員個人信息數據;另一類是財務數據,包括商場流水、資金結算、員工工資等。
當前階段,青島海信廣場業務系統和數據庫都在一個區域內。本次建設主要訴求是實現對數據庫的安全防護,重點為內部運維,涉及部分外部防護,具體如下:
1)身份認證和識別, 針對數據庫的訪問主要有業務系統訪問和內部運維人員訪問,現有的網絡安全設備無法區分這兩種訪問形態,無法針對性的提供防護策略;
2)運維特權賬戶的管控,特別針對于內部運維層面的sys、system等特權賬戶,權限過高,如發生誤操作或者非法操作極有可能導致重要數據的損毀或泄露;
3)針對運維層面的高風險操作的識別和攔截,如無where條件的刪除、更新等,但也要能夠區別風險操作和常規操作,如一些tmp開頭的臨時文件的刪除操作需要放行;
4)能夠全面監管并攔截針對于數據庫漏洞攻擊以及sql注入攻擊等行為;
5)由于海信廣場為高端商品賣場,業務連續性非常重要,數據庫安全設備要求盡可能的避免對業務系統的影響,要求具有業務連續性保障。
二、解決方案
經過前期溝通以及方案交流,青島海信廣場最終選擇美創數據庫防火墻系統用于對業務系統數據庫的防護,兼顧內部運維人員管控和外部應用入侵防護。
根據實際需求,本次項目采用數據庫防火墻串接方式進行防護。
圖 2美創數據庫防火墻部署圖
Q:數據庫防火墻如何部署?
A:將數據庫服務器從服務器區域分離出來,增加交換機單獨劃分出一個數據庫區域,將數據庫防火墻串接在數據庫區域和核心交換機之間,所有對數據庫的訪問都要經過數據庫防火墻,起到過濾和防護作用。
具體實現功能如下:
(1)多因素身份識別,通過對數據庫訪問流的的分析和識別,通過IP地址、計算機名、使用工具等對訪問者身份進行識別,準確識別出運維訪問、應用訪問等身份形態;
(2)對業務和運維訪問進行規范化管理,劃定特定的IP作為合法的運維終端,同時指定專用的運維軟件,只允許運維終端和業務系統訪問數據庫,同時只放行業務服務器通過業務軟件的方式,拒絕業務服務器上通過運維工具的訪問;
(3)通過虛擬補丁功能,開啟內置的數據庫漏洞防護策略和SQL注入防護策略,全面防護來自外部的威脅和風險;
(4)限制特權賬戶,對于運維操作,放行常規運維操作,攔截提權操作、表空間操作、私建帳戶等越權風險操作,避免特權賬戶權限過高,可能對數據庫帶來的損毀風險;
(5)高危操作管控,對重要的數據表提供專門的防護,攔截對重要數據表的drop操作,以及沒有where條件的刪除、更新等操作,同時為了便于運維操作的靈活性,允許對于tmp表的刪除操作;
(6)數據庫防火墻提供硬件bypass功能,在數據庫防火墻出現任何故障,包括軟硬件故障時都能盡快聯通網絡,保障業務系統的正常運行。
三 、方案價值
通過部署美創數據防火墻,海信廣場完美解決了在傳統網絡安全防護中無法針對數據庫和數據進行防護和管控的問題,具體如下:
1、 提高海信廣場數據庫抗風險能力
通過虛擬補丁有效的識別和攔截外部針對數據庫的攻擊和破壞行為,充分補齊傳統網絡安全的短板,提高海信廣場數據庫的抗風險能力。
2、 采用準確的身份識別,細顆粒度管控數據操作
通過多因素的身份識別,準確識別應用和運維操作,并根據各自的操作特點指定細顆粒度的管控手段,在不影響業務和正常運維的情況下,最大限度的保障數據安全。
3、 高可靠性打消客戶疑慮
采用硬件Bypass功能,在數據庫防火墻出現故障時能夠快速恢復,保障業務正常運行。
為國內數據安全領域的領導企業,美創科技對于數據庫防火墻技術、性能、應用、商業化等研究一直走在前列,并擔任數據庫防火墻新國標的研制工作。美創數據庫防護墻系統目前已成功應用于醫療、人社、政府、交通通信等眾多事關國計民生的重要領域,獲得廣泛認可與好評。
浙公網安備 33010502006954號 
