安华金和典型案例丨朝阳市人社局数据库安全加固项目

朝阳市人社局数据库安全加固项目

一. 项目背景

辽宁省朝阳市人力资源和社会保障局（下称“朝阳市人社局”），职能覆盖人力资源调配、就业发展和社会保障事业发展。下辖10余个科室，体系结构庞大，各科室业务复杂关系国计民生。其社会保障体系覆盖朝阳全市人民的五险一金管理。信息安全关系民生，而人力资源调配工作又涉及行政机关、事业单位人员综合管理，工资收入分配等功能；并且对全市就业、失业、社会保险基金预测预警和信息进行引导管理。

朝阳市人社局组织结构庞大，业务范畴覆盖面广泛，涉及全市人口社保信息。人社业务关系民生，数据敏感度高，因此，朝阳市人社局对数据安全防护尤为重视，经过方案调研、产品选型，最终决定由安华金和进行数据库安全加固工作。

二. 客户需求

朝阳市人社局数据库体系使用Oracle _RAC集群部署，经过评估，发现朝阳市人社局面临如下数据库安全问题：

1)业务系统繁杂且业务覆盖面广泛，数据库运维人员除了银行内部人员，第三方外包

人员同时使用内网专用机进行日常运维。人员身份复杂，技术力量参差不齐，误操

作、越权操作现象很难避免，可能导致个人社保数据意外丢失或泄露。

2)业务系统中包含医保业务，面向医院、药房等对接操作需要进行全面的记录，包含：

访问医保业务的应用客户端IP和应用用户名等信息；需要对业务用户进行审计，实

现应用关联审计要求。

3)除了用户内部运维人员违规操作、越权提取等风险，针对核心数据的外部恶意入侵

行为时有发生。包括：利用数据库漏洞进行的攻击以及SQL注入攻击等行为，实现

刷库、拖库等操作进行批量信息的窃取。因数据库安全体系存在缺失，导致事中无

法有效防护，事后又无法追溯审计。

三. 解决方案

部署数据库防火墙系统DBFirewall+数据库监控与审计系统DBAduit

朝阳社保应用系统采用光纤形成万兆网络环境，数据库服务器前端采用双链路接入核心交换机，具备网络链路冗余机制。同时采用RAC技术保障数据库服务器高可用性。应对朝阳社保现场拓扑结构，安华金和数据库防火墙DBFirewall采用HA双机部署模式，并结合产品自身的Bypass容灾机制，帮助用户进行【双链路】数据库安全防护，并且及时响应用户需求，实现HA会话同步机制加固信息安全，真正意义上实现了数据库全面安全防护。

部署方案：

DBAudit

DBFirewall DBFirewall

数据库（A）数据库（B）

朝阳社保数据库采用五险合一的存储方式，因此数据表结构复杂而且相互关联。面对操作人员权限划分不明确且操作人员众多导致的误操作、恶意操作等，DBFirewall通过建立应用特征模型，添加黑白名单，基于客户端IP、用户、操作、对象等内容设置风险规则；并且基于影响行数进行限制，防止数据违规的删除和篡改。另一方面，利用数据库审计产品对访问行为进行审计追溯，定位非法语句来源。

朝阳社保业务系统包括: 社保、就业、省人力中心等多重体系，日审计语句量千万级。除了对内部运维人员的监控意外，防范外界的恶意入侵同样重要。DBFirewall具有”虚拟补丁“功能，针对CVE公布的漏洞库，提供漏洞特征检测技术，无需升级补丁包，基于网络层面防止漏洞攻击行为。针对”SQL注入攻击”，DBFirewall同样提供SQL注入特征库。产品部

署后，朝阳社保全面开启上述功能，在不影响业务系统正常运转的前提下，全面保障应用侧数据库安全。

DBFirewall和DBAudit全新的策略引擎制定方案，可以针对影响行数和无WHERE 条件整表数据操作进行规则限制。采用应用关联审计可以准确的定位应用客户端IP和应用用户名等信息。针对现场的医保业务系统的访问操作行为进行有效追溯，防护与审计相结合，制定完善的安全策略。

四. 用户收益

安华金和数据库防火墙和数据库审计系统构建起一套主动安全防御体系和实时监控审计机制。

内网采用数据库防火墙DBFirewall系统对数据库的通讯过程进行精确的解析和控制，同时对朝阳市人社局应用系统建立应用特征模型，建立应用系统正常访问语句的抽象表达，形成对数据库的操作黑白名单，防止有意或无意的危险操作和批量导出敏感信息等行为，事中主动防御。

落实审计安全问责制度，通过数据库审计DBAudit系统的旁路镜像流量的方式实时收集解析访问数据库的流量，当发现对数据库威胁行为时，能够及时告警并准确的追责和定责，并以人社业务语言呈现，帮助用户明确解读数据库安全风险。