大数据环境下云数据库安全防护方法研究
2017-07-19刘冬兰史方芳吕国栋
刘冬兰,史方芳,刘 新,赵 勇,吕国栋
(1.国网山东省电力公司电力科学研究院,山东 济南 250003;2.山东中实易通集团有限公司,山东 济南 250003)
大数据环境下云数据库安全防护方法研究
刘冬兰1,史方芳1,刘 新1,赵 勇2,吕国栋2
(1.国网山东省电力公司电力科学研究院,山东 济南 250003;2.山东中实易通集团有限公司,山东 济南 250003)
知识经济的时代,大数据独有的潜在价值正被逐渐发掘。然而,对数据安全的管控却面临着诸多挑战。依据现阶段云环境下数据库使用的发展状况和特点,探讨国网公司构建公共服务云、企业管理云和生产控制云(下称“三朵云”)所面临的数据库安全风险。依照成熟的信息安全等级保护标准,对云环境下的数据库安全防护需求进行深入研究,提出云数据库安全的防护方法以及实施云数据库安全防护步骤,对推动云数据库安全起重要作用。
信息安全保障;云数据库安全;安全防护;大数据
0 引言
随着云计算、物联网、移动互联网的快速发展,需要收集、处理和管理的数据规模迅猛发展,数据信息以爆炸式快速增长。这样的态势,象征着大数据时代的来临。为了处理海量数据,云计算所包含的分布式存储运算和服务器集群技术都具有卓越的价值[1]。云计算作为一种新的服务模式,利用网络突破地理空间的限制,随时获取各类计算资源,实现计算服务应用模式的根本性变革。在这一服务模式下,云环境由服务供应商创造各类计算资源,云租户以按量付费的方式获取资源,云计算的运营与维护完全由云服务商提供,可以满足快速增长的业务量,实现资源的快速伸缩和充分利用[2]。在传统IT架构下,企业需要为硬件、操作系统、软件的运维花费巨大精力,而在云计算环境下,这些基础运维问题都可以交给更专业的云计算服务商来完成。因此,越来越多的企业不再考虑部署自己的机房和购买服务器,更倾向于选择性价比更高、可快速扩缩的云计算环境,将自己的应用系统迁移到云上已变成大势所趋,这些企业的关注点从原先的硬件、操作系统、软件运维转向云环境下数据的安全性。由于大量敏感信息存储在云数据库中,云数据库安全成为信息安全建设的关键所在。
电力行业作为国家基础性能源设施,为国民经济发展提供动力支撑,与社会发展和人民生活息息相关,是国民经济健康稳定持续快速发展的重要条件。而随着智能电网的发展,电力系统中数据和信息将变得更加复杂,数据和信息量将呈几何级数增长,各类信息间的关联度也将更加紧密。同时电力系统在线动态分析和控制所要求的计算能力也将大幅提高,当前电力系统的计算能力已难以适应新应用的需求。而将云计算引入电力系统中,构建面向智能电网的云计算体系,形成电力系统私有的智能电网云,可以满足日益增长的数据处理能力及电网实时控制和高级分析应用的计算需求[3]。2013年,国家电网公司首次将云计算技术应用到用电信息采集业务中,解决了原有用电信息采集系统在大规模数据分析方面的不足,系统整体平均性能提升达8倍,为智能电网在电力大数据、云数据库安全防护应用方面奠定了坚实的技术储备和实践基础[4]。
2015年12月,国家电网公司提出构建公共服务云、企业管理云和生产控制云,“三朵云”共同构成的电力云,全面支撑公司对外公共服务业务、企业经营管理和电网生产控制,“三朵云”正好映射了3种不同的云服务模式,因此需要防护的业务系统和敏感数据不同,面临的云数据库安全风险也不同。公共服务云要更好地为电网用户服务,数据库中存储大量电网用户的个人隐私信息,要着重防止个人隐私信息批量泄露。企业管理云中,管理信息系统(MIS)、办公自动化(OA)、客户服务(95598)、客户账户查询管理等系统积累了大量电力敏感数据,例如财务、营销、人资、市场、生产管理等数据,这些来自不同应用系统的数据集中存储在企业管理云数据库中,要着重考虑这些数据的防泄密和防篡改。生产控制云中,调度生产管理、报价处理、配电网发展规划等系统存储了电力调度、合同、报价、发展规划等信息,这些敏感数据也需要重点保护,防止被泄密。
电力行业传统IT架构的安全防护按照电监会二次系统安全防护总体方案[5],遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,保证了确保电力实时闭环监控系统及调度数据网络的安全,实现了电网信息安全三道纵深防线[6]。随着智能电网互动化业务的发展,电力云必然面临业务系统后台数据库漏洞无法完全被屏蔽,细粒度权限控制、入侵防范等还存在不足之处的困境,“三朵云”之间要部署隔离装置,既要进行数据共享,又要实现有效隔离,尤其在数据库运维侧需要提供严格有效的防护管控手段。深入研究云环境下的数据库安全防护需求,提出云数据库安全防护关键技术和实施步骤,进一步完善国网云数据库安全保障体系。
1 云数据库安全防护需求
1.1 国家管理要求
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。云计算作为一种新的服务模式,同样也需要遵循国家信息安全等级保护相关要求。在国家标准GB/T 22239—
2008《信息安全技术 信息系统安全等级保护基本要求》中,数据库安全是主机安全的一个重要部分[7],提出具体要求:1)应对登录数据库系统的用户进行身份标识和鉴别;2)应启用访问控制功能,依据安全策略控制用户对资源的访问;3)应对重要信息资源设置敏感标记,并依据安全策略严格控制用户对有敏感标记重要信息资源的操作;4)应对重要用户行为、系统资源的异常使用和重要系统命令的使用等进行安全审计;5)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;6)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性。
1.2 安全防护需求
传统数据库的安全防护方法已不能完全适应云计算架构,云数据库中的弹性、多租户以及新的物理/逻辑架构和抽象控制都需要新的安全策略。
云数据库漏洞防护需求。在多租户环境下,通过数据访问组件可以实现租户之间的访问隔离和存储隔离,然而云数据库自身存在的数据库管理系统(DBMS)漏洞有被外部攻击者非法利用的风险,导致租户之间的隔离措施失效。对于云数据库DBMS自身安全漏洞来说,首先要防护已经公布在CVE、CNNVD上,对数据库影响大、危害等级高的数据库漏洞,如导致数据库宕机、绕过身份验证、泄露敏感文件、利用难度低等。
来自外部SQL注入防护需求。云数据库面向租户或应用提供数据的读写服务,同样要面对来自应用侧的SQL注入或攻击。外部攻击者以Web应用服务器为跳板,利用Web应用漏洞进行SQL注入,对普通用户进行提权,进行数据窃取或非法登录。
云数据库中敏感信息管控需求。对于涉及敏感数据的云数据库运维来说,系统维护人员、外包人员、开发人员可能拥有直接访问数据库的权限,他们故意或无意地高危操作可能会对数据造成破坏,比如大范围的删除、修改以及高权限人员违规对敏感数据的批量导出行为。
云数据库访问操作全面审计需求。通过监控模块对云数据库的性能分析可知,云数据库开启自身的审计和监控非常占用服务器资源,另外,如果仅利用数据库自带的审计功能,数据库管理员可随时关闭,导致无审计记录,事后追踪将缺乏依据。因此,需要采用独立的云数据库审计软件实现全面审计。
云数据库中生产数据脱敏需求。云数据库中存储大量真实的生产数据,经常会被企业用来测试、分析和科学研究,如果都采用生产区的真实数据,一旦发生敏感数据泄露事件,程序开发、测试和分析人员都将承担一定责任;另一方面如果采用完全混淆的模拟数据,正常的开发、测试和分析工作将无法正常进行,数据利用陷入两难境地。
敏感数据存储、备份和导出的加密需求。公有云上的关系型数据库服务(RDS)运行在一个多租户、分布式的环境,每个租户可建立自己数据库权限体系,若数据库中的敏感数据以明文存储,高权限用户可直接操纵数据库,窃取所有敏感信息;同时无法从权限上将数据库管理员的正常维护工作和敏感信息访问操作分开,敏感数据存储、备份和导出缺乏保护,这也是数据安全的一个薄弱环节。
2 云数据库安全防护关键技术
2.1 数据库防火墙技术
业界比较权威的Imperva公司应用程序防御中心(ADC)针对数据库界定了十大安全威胁,因此数据库安全需要综合性的解决方案。根据研究表明,通过网络层数据库访问协议解析与控制技术,就能解决70%以上的数据库安全问题,其中就包括数据库防火墙技术。
数据库防火墙技术基于主动防御机制,实现数据库的访问行为控制、危险操作阻断,主要通过三方面来应对数据库的安全威胁:1)防止数据库漏洞攻击,通过虚拟补丁技术在数据库自身未打补丁的情况下,有效防止漏洞攻击;2)防止数据库的SQL注入,通过学习期、学习完善期、保护期的自适应过程,构建合法应用程序的行为模型,通过SQL注入特征库实现有效防护;3)对数据库的运维管控,可使用黑名单机制防止对数据库恶意操作和误操作。
数据库防火墙技术的部署模式通常是串联在数据库前面,会造成一定的延迟和性能下降,因此,对性能要求比较高的数据库,例如部署在国网公司生产控制云上的各枢纽变电站、发电厂、各级电力调度通信中心等系统建议采用旁路镜像流量的方式部署,虽然这种模式对数据库访问性能影响为零,但无法实现对恶意访问操作的阻断和拦截,必须通过与其他技术协同保障云数据库的安全。
2.2 敏感数据加密技术
相比私有云和传统企业IT环境,公有云环境中的数据面临着前所未有的安全挑战。为提高云数据库的安全防护水平,需要抓住主要矛盾,围绕核心敏感数据进行彻底有效的加密保护。实现敏感数据加密的关键在于密钥管理,密钥管理包括密钥的创建、存储、生命期管理和保护。
密钥的安全性直接决定了加密数据的安全性。因此在国网公司“三朵云”上采用密钥独立存储,并采用根密钥保护,根密钥通过受硬件加密卡保护,提高了加密数据的安全性。另外,对于敏感数据加解密算法,除了必要的强加密算法(如AES256)和相关机构认证的硬件加密算法外,通常根据具体的应用系统需求提供专门的加密算法,包括调度生产管理、电网地理信息等系统。
2.3 生产数据脱敏技术
随着云计算服务的广泛应用,针对新的服务模式下的系统研发和测试,出现了两种部署手段:一是系统研发和测试在本地环境完成,然后部署在云端;二是系统研发和测试均在云端进行,充分利用云端的弹性计算资源和云化部署能力。
无论采用哪种方式,都面临将生产数据全部或部分转移到测试和研发环境中,出于合规性和安全性需求,转移的数据必须进行“脱敏”处理。在国网公司“三朵云”上采用的数据脱敏技术,均能够对测试库中的数据、迁移过程中的数据、导出成文件的数据进行“脱敏”处理,通过一定的规则保证数据关系一致性,例如在电力企业客户服务系统中分散在不同表中的相同身份证号数据脱敏后仍然是相同的,从而在确保测试、研发工作顺利进行的同时,保护用户的隐私,防止因测试和研发导致数据泄漏事件的发生。
2.4 数据库安全审计技术
基于业务操作的数据库安全审计技术,是业务环境下针对数据库操作行为进行细粒度审计的合规性管理技术,是实现主动智能安全防护的重要手段。它通过对业务人员访问系统的行为进行解析、分析、记录、汇报,达到事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产正常运营的目标。
电力公司结合自身实际情况,实现横向和纵向两个方向的数据库安全审计。横向审计,例如调度系统需要在各枢纽变电站、发电厂、各级电力调度通信中心内部署安全审计设备;纵向审计,例如营销系统需要对后台数据库中各数据表的操作进行全过程审计,对维护单位的数据库维护操作进行审核管理,特别是对内部关键业务系统的关键数据库进行审计工作。
3 云数据库安全防护实施
3.1 分析并确定需要保护的关键数据
企业需要评估和划分需要放置在云端的数据,同时确定哪些数据是关键且必须保护的数据,如用户身份证号码、银行卡或信用卡号码、社保号码等。
3.2 选择适合的技术方案和加密算法
如图1所示,部署越复杂,相应的安全性越高。然而在实际应用场景中,并非部署越复杂越适合企业需求,企业需要在关键数据的安全性、保持云应用系统的功能可用性和系统可维护性等方面综合考虑,最终确定适合企业需要的数据加密保护技术方案。
图1 安全性与部署复杂性对比分析
3.3 保护数据加密的密钥安全
常见的加密模型有3种,如图2所示。
图2 加密模式模型
模型A:加密方法、密钥存储和密钥管理全部由用户控制,典型的是整个密钥管理系统部署在用户的数据中心。
模型B:与模型A中的加密方法是一样的,区别在于密钥的存储是在云端的密钥管理系统而不是在用户端的数据中心。
模型C:本模型提供了完整的服务器端加密,加密方法和密钥的管理对于用户是透明的。
比较上述3种模型,为保护密文数据不被非法窃取,避免云服务厂商和第三方维护人员解密为明文数据,比较稳妥的方案是加密数据的密钥控制在云用户自己手中,通常采用模型B方案,既保证加密数据的密钥控制在云用户自己手中,提升加密的安全性,又避免了整个密钥管理系统全部部署在用户的数据中心,浪费用户资源。
3.4 其他必要的数据防泄漏措施
数据透明加密是数据防泄漏的核心措施,但并不能彻底解决来自应用系统环境和云运维环境的安全威胁,比如来自应用系统侧的SQL注入攻击、后门程序、利用数据库漏洞的攻击行为、第三方运维人员的误操作等。因此需要采用类似防火墙的数据库边界防护技术,利用其细粒度的访问控制特性,实现更完善的防数据泄漏保护。
3.5 监控并审计数据的访问行为
之所以需要监控并审计数据访问行为,一方面,数据维护和管理行为会对重要数据产生影响,另一方面,黑客攻击行为不断发展,上述数据防护措施很可能形同虚设。因此需要对重要数据的访问行为采取持续、及时的监控和审计,形成有效的风险报告提供给用户,以便能够及时发现新的风险,更好的保护数据。
3.6 利用自动脱敏防止测试环境数据泄漏
除了云环境下的数据防护,企业内部的测试环境也是一个重要的信息泄漏源,特别是需要“抽取”云端的生产数据用于测试系统时。利用数据自动脱敏技术可以有效地保护生产数据的安全。脱敏技术通过内置策略和算法,包括屏蔽、变形、替换、随机、格式保留机密(FPE)和强加密算法(AES)等,保证脱敏数据有效性 (保持原有数据类型和业务格式)、关系性(保持表间、表内数据关联关系),为测试环境提供可用的符合用户预期的测试数据。
4 结语
从云计算发展现状和电力云数据库安全防护要求入手,针对等级保护在数据库安全方面的基本要求,提出可实施的云数据库的安全防护方法,有助于等级保护在云数据库安全方面的技术普及,对国网公司电力云数据库安全建设起推进作用。
[1]李战克,丁梦娟.大数据环境下的数据安全研究[J].信息安全与技术,2015,2(2):7-9.
[2]唐慧.云计算大数据运行控制技术对智能配电网影响的评价研究[J].电力科学与工程,2016,32(4):32-35.
[3]吴凯峰,刘万涛,李彦虎,等.基于云计算的电力大数据分析技术与应用[J].中国电力,2015,48(2):111-116,127.
[4]陈树勇,宋书芳,李兰欣,等.智能电网技术综述[J].电网技术,2009,33(8):1-7.
[5]杨方,王文迪,葛旭波,等.我国智能电网发展格局及综合评价[J].中国电力,2012,45(12):81-85.
[6]曹阳,高志远,杨胜春,等.云计算模式在电力调度系统中的应用[J].中国电力,2012,45(6):14-17.
[7]全国信息安全标准化技术委员会.电力行业信息系统安全等级保护基本要求:GB/T 22239—2008[S].北京:中国标准出版社.
Research on Protection for the Database Security Based on the Cloud in Big Data Environment
LIU Donglan1,SHIFangfang1,LIU Xin1,ZHAO Yong2,LV Guodong2
(1.State Grid Shandong Electric Power Research Institute,Jinan 250003,China;2.Shandong Zhongshi Yitong Group Co.,Ltd.,Jinan 250003,China)
In the era of knowledge economy,the potential value of big data is becomingmore andmore important.However,the data security is facing many challenges.Based on the development and characteristics of database within the cloud environment,this paper preliminary studies the challenges of the database security that the State Grid Corporation of China confronted with during establishing the cloud of public service,enterprise managing and manufacoring controlling(Three Clouds).Based onmature standard for information protection,this paper deeply studies the requirements for database protection under the cloud environment.A six-step method for cloud database protection is presented,which plays an important role in promoting the developmentof the security of the cloud database.
information security assurance;cloud database security;safety protection;big data
TP309.2
A
1007-9904(2017)06-0041-04
2017-01-18
刘冬兰(1987),女,工程师,从事电力系统信息安全技术督查工作。