數(shù)據(jù)中心安全管理建設(shè)方案

數(shù)據(jù)中心安全管理建設(shè)方案1.1建設(shè)思路數(shù)據(jù)中心的安全體系建設(shè)并非安全產(chǎn)品的堆砌，它是一個(gè)根據(jù)用戶具體業(yè)務(wù)環(huán)境、使用習(xí)慣、安全策略要求等多個(gè)方面構(gòu)建的一套生態(tài)體系，涉及眾多的安全技術(shù)，實(shí)施過程需要涉及大量的調(diào)研、咨詢等工作，還會(huì)涉及到眾多的安全廠家之間的協(xié)調(diào)、產(chǎn)品的選型，安全系統(tǒng)建成后怎么維持這個(gè)生態(tài)體系的平衡，是一個(gè)復(fù)雜的系統(tǒng)工程，一般建議分期投資建設(shè)，從技術(shù)到管理，逐步實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。整體設(shè)計(jì)思路是將需要保護(hù)的核心業(yè)務(wù)主機(jī)包及數(shù)據(jù)庫圍起來，與其他網(wǎng)絡(luò)區(qū)域進(jìn)行邏輯隔離，封閉一切不應(yīng)該暴漏的端口、IP，在不影響現(xiàn)有業(yè)務(wù)的情況下形成數(shù)據(jù)孤島，設(shè)置固定的數(shù)據(jù)訪問入口，對(duì)入口進(jìn)行嚴(yán)格的訪問控制及審計(jì)。由之前的被動(dòng)安全變?yōu)橹鲃?dòng)防御，控制安全事故的發(fā)生，對(duì)接入系統(tǒng)的人員進(jìn)行有效的認(rèn)證、授權(quán)、審計(jì)，讓敏感操作變得更加透明，有效防止安全事件的發(fā)生。在訪問入口部署防火墻、賬號(hào)生命周期管理系統(tǒng)、數(shù)據(jù)加密系統(tǒng)、令牌認(rèn)證系統(tǒng)、審計(jì)系統(tǒng)等安全設(shè)施，對(duì)所有外界向核心區(qū)域主機(jī)發(fā)起的訪問進(jìn)行控制、授權(quán)、審計(jì)，對(duì)流出核心區(qū)域的批量敏感數(shù)據(jù)進(jìn)行加密處理，所有加密的數(shù)據(jù)將被有效的包圍在安全域之內(nèi)，并跟蹤數(shù)據(jù)產(chǎn)生、扭轉(zhuǎn)、銷毀的整個(gè)生命周期，杜絕敏感數(shù)據(jù)外泄及濫用行為。為了保證XXX用戶的業(yè)務(wù)連續(xù)性，各安全子系統(tǒng)都采用旁路的方式部署到網(wǎng)絡(luò)當(dāng)中，其中賬號(hào)生命周期管理系統(tǒng)、審計(jì)系統(tǒng)、數(shù)據(jù)庫都采用雙機(jī)的模式，以提供自身的高可靠性；加密系統(tǒng)、特權(quán)賬號(hào)生命周期管理系統(tǒng)、令牌認(rèn)證系統(tǒng)都建議部署在VMware云計(jì)算平臺(tái)上，利用VMware強(qiáng)大的服務(wù)器虛擬化能力為防泄密系統(tǒng)提供良好的可靠性與可擴(kuò)展性保證。1.2建設(shè)需求XXX用戶經(jīng)過多年的信息化建設(shè)，各項(xiàng)業(yè)務(wù)都順利的開展起來了，數(shù)據(jù)中心已經(jīng)積累了很多寶貴的數(shù)據(jù)，這些無形的資產(chǎn)比硬件資產(chǎn)還重要，但它們卻面臨著非常大的安全挑戰(zhàn)。在早期的系統(tǒng)建設(shè)過程中，大多用戶不會(huì)考慮數(shù)據(jù)安全、應(yīng)用安全層面的問題，經(jīng)過多年的發(fā)展，數(shù)據(jù)中心越來越龐大，業(yè)務(wù)越來越復(fù)雜，但信息安全完全沒有配套建設(shè)，經(jīng)常會(huì)發(fā)生一些安全事件，如：數(shù)據(jù)庫的表被人刪除了、主機(jī)密碼被人修改了、敏感數(shù)據(jù)泄露了、特權(quán)賬號(hào)被第三方人員使用等等情況，而這些安全事件往往都是特權(quán)用戶從后臺(tái)直接操作的，非常隱蔽，這時(shí)候權(quán)賬號(hào)被第三方人員使用等等情況，而這些安全事件往往都是特權(quán)用戶從后臺(tái)直接操作的，非常隱蔽，這時(shí)候往往無從查起。其實(shí)，信息安全建設(shè)在系統(tǒng)的設(shè)計(jì)初期開始，就應(yīng)該要介入，始終貫穿其中，這樣花費(fèi)的人力物力才是最小。當(dāng)一個(gè)系統(tǒng)建成后，發(fā)現(xiàn)問題了，回頭再來考慮安全建設(shè)，這樣投入的成本將會(huì)變得最大。1.3總體方案信息安全系統(tǒng)整體部署架構(gòu)圖1、在核心交換機(jī)上部署防護(hù)墻模塊或獨(dú)立防火墻，把重要的主機(jī)、數(shù)據(jù)庫與其他子網(wǎng)進(jìn)行邏輯隔離，劃分安全區(qū)域，對(duì)不必要的端口進(jìn)行封閉，隔離終端IP對(duì)數(shù)據(jù)中心可達(dá)。2、在終端匯聚的交換機(jī)上旁路部署IP準(zhǔn)入控制系統(tǒng)，實(shí)現(xiàn)非法外聯(lián)、IP實(shí)名制，對(duì)接入內(nèi)網(wǎng)的終端進(jìn)行有效的控制。3、部署主機(jī)賬號(hào)管理系統(tǒng)，限制所有終端對(duì)主機(jī)的訪問只能通過管理系統(tǒng)發(fā)起，并對(duì)Telnet、SSH、RDP等訪問過程進(jìn)行控制、審計(jì)，防止終端將數(shù)據(jù)從主機(jī)上私自復(fù)制到本地硬盤，防止誤操作。4、部署數(shù)據(jù)賬號(hào)管理系統(tǒng)，對(duì)數(shù)據(jù)庫訪問工具（PL-SQL）、FTP工具等常用維護(hù)工具進(jìn)行統(tǒng)一的發(fā)布，對(duì)前臺(tái)數(shù)據(jù)庫訪問操作進(jìn)行審計(jì)記錄，把數(shù)據(jù)包圍在服務(wù)器端。對(duì)下載數(shù)據(jù)行為進(jìn)行嚴(yán)格控制，并對(duì)提取的數(shù)據(jù)進(jìn)行加密處理。部署加密系統(tǒng)（DLP），對(duì)所有流出數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行自動(dòng)加密處理，并對(duì)數(shù)據(jù)的產(chǎn)生、扭轉(zhuǎn)、編輯、銷毀進(jìn)行生命周期管理。部署數(shù)據(jù)庫審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)庫訪問行為進(jìn)行審計(jì)，監(jiān)控敏感數(shù)據(jù)訪問情況，監(jiān)控?cái)?shù)據(jù)庫操作行為，記錄數(shù)據(jù)庫后臺(tái)變化情況，事后回查。在生產(chǎn)庫與測(cè)試庫之間部署數(shù)據(jù)脫敏系統(tǒng)，對(duì)從在線庫抽取的數(shù)據(jù)進(jìn)行自動(dòng)脫敏，再導(dǎo)入測(cè)試庫，避免數(shù)據(jù)泄露。對(duì)后臺(tái)訪問在線庫的人群進(jìn)行權(quán)限管理，對(duì)訪問的敏感字段進(jìn)行自動(dòng)遮罩。部署應(yīng)用內(nèi)嵌賬號(hào)管理系統(tǒng)，對(duì)應(yīng)用系統(tǒng)內(nèi)嵌的特權(quán)賬號(hào)進(jìn)行有效的托管，實(shí)現(xiàn)賬號(hào)的定期修改、密碼強(qiáng)度、密碼加密等安全策略。部署令牌認(rèn)證系統(tǒng)，對(duì)登入數(shù)據(jù)中心區(qū)的用戶使用雙因素認(rèn)證，確認(rèn)訪問數(shù)據(jù)中心者的身份，杜絕賬號(hào)共用現(xiàn)象。10、部署云計(jì)算平臺(tái)，為防泄密系統(tǒng)提供良好的運(yùn)行環(huán)境。云計(jì)算平臺(tái)提高了系統(tǒng)的可靠性、可擴(kuò)展性，減少宕機(jī)時(shí)間，降低維護(hù)成本。11、所有系統(tǒng)都采用活動(dòng)目錄認(rèn)證，并加以動(dòng)態(tài)令牌做為雙因素認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份的準(zhǔn)確鑒別。1.3.1IP準(zhǔn)入控制系統(tǒng)現(xiàn)在國(guó)內(nèi)外，有很多廠商推出自己的準(zhǔn)入控制系統(tǒng)解決方案，目的就是為了在終端接入網(wǎng)絡(luò)前對(duì)其進(jìn)行安全檢查，只允許合法的用戶接入到網(wǎng)絡(luò)當(dāng)中，避免隨意接入網(wǎng)絡(luò)給系統(tǒng)帶來風(fēng)險(xiǎn)。主流的解決方案有兩種方式，旁路部署方式都是基于802.1X的，需要跟交換機(jī)做聯(lián)動(dòng)；串接的部署方式不需要與交換機(jī)聯(lián)動(dòng)，但會(huì)給網(wǎng)絡(luò)的通過性與性能帶來挑戰(zhàn)，采用的用戶不多。這些解決方案，在復(fù)雜的中國(guó)環(huán)境部署成功的并不多，要么網(wǎng)絡(luò)條件非常好，交換機(jī)都支持802.1X，要么網(wǎng)絡(luò)非常扁平化，終端都可以收斂到同一個(gè)出口。IP地址管理困難：接入Intranet的計(jì)算機(jī)設(shè)備都需要一個(gè)合法的IP地址，IP地址的分配和管理是一件令網(wǎng)絡(luò)管理人員頭疼的事情，IP地址、MAC地址、計(jì)算機(jī)名冒用、濫用現(xiàn)象廣泛存在，而管理人員缺乏有效的監(jiān)控手段。局域網(wǎng)上若有兩臺(tái)主機(jī)IP地址相同，則兩臺(tái)主機(jī)相互報(bào)警，造成應(yīng)用混亂。因此，IP地址盜用與沖突成了網(wǎng)管員最頭疼的問題。當(dāng)幾百臺(tái)、甚至上千臺(tái)主機(jī)同時(shí)上網(wǎng)，如何控制IP地址盜用與沖突更是當(dāng)務(wù)之急。在實(shí)際中，網(wǎng)絡(luò)管理員為入網(wǎng)用戶分配和提供的IP地址，只有通過客戶進(jìn)行正確地注冊(cè)后才有效。這為終端用戶直接接觸IP地址提供了一條途徑。由于終端用戶的介入，入網(wǎng)用戶有可能自由修改IP地址。改動(dòng)后的IP地址在聯(lián)網(wǎng)運(yùn)行時(shí)可導(dǎo)致三種結(jié)果：?非法的IP地址，自行修改的IP地址不在規(guī)劃的網(wǎng)段內(nèi)，網(wǎng)絡(luò)呼叫中斷。?重復(fù)的IP地址，與已經(jīng)分配且正在聯(lián)網(wǎng)運(yùn)行的合法的IP地址發(fā)生資源沖突，無法鏈接。?非法占用已分配的資源，盜用其它注冊(cè)用戶的合法IP地址（且注冊(cè)該IP地址的機(jī)器未通電運(yùn)行）聯(lián)網(wǎng)通訊。IPScan能很好的控制非法的IP接入，并對(duì)內(nèi)網(wǎng)已有的聯(lián)網(wǎng)IP通過切斷聯(lián)網(wǎng)實(shí)現(xiàn)迅速快捷的控制，以很方便的方式實(shí)現(xiàn)內(nèi)網(wǎng)安全威脅的最小化。IPScan通過對(duì)IP/MAC的綁定，對(duì)每個(gè)IP地址都可以進(jìn)行實(shí)時(shí)的監(jiān)控，一旦發(fā)現(xiàn)非法的IP地址和某個(gè)IP地址進(jìn)行非法操作的時(shí)候，都可以及時(shí)對(duì)這些IP地址進(jìn)行操作，，有效的防止IP沖突。產(chǎn)品是基于二層（數(shù)據(jù)鏈路層）的設(shè)計(jì)理念，可以有效地控制ARP廣播病毒，通過探測(cè)ARP廣播包，可以自動(dòng)阻止中毒主機(jī)大量發(fā)送ARP廣播，從而保證了內(nèi)網(wǎng)的安全。通過實(shí)現(xiàn)IP地址的綁定，從而變相的實(shí)現(xiàn)了網(wǎng)絡(luò)實(shí)名制，在接入網(wǎng)絡(luò)的終端都被授予唯一的IP地址，在網(wǎng)絡(luò)中產(chǎn)生的所有日志將會(huì)變得非常有意義，它可以關(guān)聯(lián)到是哪一個(gè)終端哪一個(gè)用戶，能讓安全日志產(chǎn)生定責(zé)的作用。 1.3.2防泄密技術(shù)的選擇 國(guó)外有良好的法律環(huán)境，內(nèi)部有意泄密相對(duì)極少，對(duì)內(nèi)部人員確認(rèn)為可信，數(shù)據(jù)泄露主要來自外部入侵和內(nèi)部無意間的泄密。因此，國(guó)外DLP（數(shù)據(jù)防泄漏）解決方案主要用來防止外部入侵和內(nèi)部無意間泄密，可以解決部分問題，但無法防止內(nèi)部主動(dòng)泄密，只能更多地依賴管理手段。而國(guó)內(nèi)環(huán)境，法律威懾力小，追蹤難度大，泄密者比較容易逃脫法律制裁，犯罪成本比較??；同時(shí)，國(guó)內(nèi)各種管理制度不完善，內(nèi)部人員無意間泄密的概率也比較大。國(guó)內(nèi)DLP以加密權(quán)限為核心，從主動(dòng)預(yù)防的立足點(diǎn)來防止數(shù)據(jù)泄露，對(duì)數(shù)據(jù)進(jìn)行加密，從源頭上進(jìn)行控制。即使內(nèi)部數(shù)據(jù)流失到外部，也因?yàn)橐驯患用芏鵁o法使用，從而保證了數(shù)據(jù)的安全。所以國(guó)內(nèi)DLP既能防止內(nèi)部泄密（包括內(nèi)部有意泄密和無意泄密），同時(shí)也能防止外部入侵竊密。 1.3.3主機(jī)賬號(hào)生命周期管理系統(tǒng) XXX用戶局越來越多的業(yè)務(wù)外包給系統(tǒng)提供商或者其他專業(yè)代維公司，這些業(yè)務(wù)系統(tǒng)涉及了大量的公民敏感信息。如何有效地監(jiān)控第三方廠商和運(yùn)維人員的操作行為，并進(jìn)行嚴(yán)格的審計(jì)是用戶現(xiàn)在面臨的一個(gè)挑戰(zhàn)。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過嚴(yán)格的權(quán)限控制和操作審計(jì)才能確保安全管理制度的有效執(zhí)行，在發(fā)生安全事件后，才能有效的還原事故現(xiàn)場(chǎng)，準(zhǔn)確的定位到責(zé)任人。主機(jī)賬號(hào)生命周期管理系統(tǒng)能幫助用戶建立集中的和統(tǒng)一的主機(jī)運(yùn)維管理平臺(tái)，實(shí)現(xiàn)自動(dòng)化的監(jiān)控審計(jì)，對(duì)所有維護(hù)人員和支持人員的操作行為（Telnet、SSH、RDP、FTP、SFTP、VNC、KVM等協(xié)議）進(jìn)行監(jiān)控和跟蹤審計(jì)，（實(shí)現(xiàn)對(duì)所有登錄系統(tǒng)的人員的所有操作進(jìn)行全面行為過程審計(jì)，達(dá)到對(duì)所訪問主機(jī)的操作行為進(jìn)行采集，以便實(shí)時(shí)監(jiān)控和事后回放分析、重現(xiàn)和檢索，以最大限度地減少運(yùn)行事故、降低運(yùn)行風(fēng)險(xiǎn)、進(jìn)行責(zé)任追溯，不可抵賴。同時(shí)提供直觀的問題報(bào)告工具），防止敏感數(shù)據(jù)從物理層被竊取。按照規(guī)定，一段時(shí)間內(nèi)必須修改一次主機(jī)及數(shù)據(jù)庫的密碼，以符合安全性要求，往往這些密碼太多，修改一次也費(fèi)時(shí)費(fèi)力，還經(jīng)常出現(xiàn)root密碼修改后忘記的情況。很多時(shí)候，維護(hù)人員為了方便記憶密碼，將密碼記錄在一個(gè)文件里，以明文方式保存在電腦上，即使文件加了個(gè)簡(jiǎn)單的密碼，一旦這些數(shù)據(jù)泄漏，后果不堪設(shè)想。現(xiàn)在可采用主機(jī)賬號(hào)生命周期管理系統(tǒng)進(jìn)行密碼托管，可以設(shè)定定期自動(dòng)修改主機(jī)密碼，不用人工干預(yù)了。既提高了信息安全工作的效率，又降低了管理成本，還降低了安全風(fēng)險(xiǎn)。1.3.4數(shù)據(jù)庫賬號(hào)生命周期管理系統(tǒng)目前，XXX用戶的支持人員及第三方維護(hù)人員都是采用PL/SQL等工具對(duì)在線庫或離線庫進(jìn)行直接操作，有的是通過業(yè)務(wù)系統(tǒng)的某些模塊直接操作數(shù)據(jù)庫，導(dǎo)致敏感數(shù)據(jù)可以直接被編輯、刪除，無法對(duì)其進(jìn)行集中控制。針對(duì)這種情況，目前較有效的解決方案是通過數(shù)據(jù)庫賬號(hào)生命周期管理系統(tǒng)來實(shí)現(xiàn)。通過賬號(hào)生命周期管理系統(tǒng)的虛擬化技術(shù)，將有高風(fēng)險(xiǎn)的操作工具發(fā)布出來（如PL/SQL、業(yè)務(wù)系統(tǒng)的主界面、C/S架構(gòu)系統(tǒng)的客戶端等），客戶端零安裝，用戶對(duì)程序遠(yuǎn)程調(diào)用，避免真實(shí)數(shù)據(jù)的傳輸和漏泄，能實(shí)現(xiàn)避免數(shù)據(jù)的泄露、對(duì)重要操作進(jìn)行全程跟蹤審計(jì)、對(duì)重要命令進(jìn)行預(yù)警。系統(tǒng)禁止所有操作終端與服務(wù)器之間的數(shù)據(jù)復(fù)制操作，但操作人員經(jīng)常需要復(fù)制一段代碼或腳本到PL/SQL里面進(jìn)行查詢操作，如果是用手敲，勢(shì)必會(huì)影響工作效率。這里就要求數(shù)據(jù)庫賬號(hào)生命周期管理系統(tǒng)具備單向數(shù)據(jù)流的控制，只允許從終端復(fù)制數(shù)據(jù)到系統(tǒng)，禁止從系統(tǒng)上復(fù)制數(shù)據(jù)到本地磁盤，這樣既保留了用戶的使用習(xí)慣，又達(dá)到了安全的目的。如果支持人員要把數(shù)據(jù)保存到本地終端上進(jìn)行二次處理，需要將文件導(dǎo)出到指定的存儲(chǔ)路徑上，文件產(chǎn)生后會(huì)被自動(dòng)加密處理，支持人員可以在指定的路徑下載加密的文件到本地磁盤，并進(jìn)行后期的二次處理，同時(shí)在存儲(chǔ)上保留有文件副本備查。如果支持人員需要把修改好的數(shù)據(jù)上傳應(yīng)用系統(tǒng)中或主機(jī)中，需要將文件導(dǎo)入到指定的存儲(chǔ)路徑上，文件上傳后會(huì)被自動(dòng)解密處理，即可被應(yīng)用系統(tǒng)或主機(jī)正常識(shí)別。 1.3.5雙因素認(rèn)證系統(tǒng) 目前，系統(tǒng)中的主機(jī)賬號(hào)共用情況比較普遍，一個(gè)賬號(hào)多個(gè)人使用，這就造成了事后難以定責(zé)的尷尬局面，而且靜態(tài)的口令也容易被獲取。為了杜絕這種現(xiàn)象，可采用雙因素認(rèn)證系統(tǒng)加強(qiáng)身份認(rèn)證的管理。傳統(tǒng)的方式是在每臺(tái)需要保護(hù)的主機(jī)、數(shù)據(jù)庫上啟用Agent，如果主機(jī)數(shù)量很多的話，配置工作量很大，維護(hù)起來很繁瑣。我們推薦給XXX用戶局的解決方案是將令牌認(rèn)證系統(tǒng)與主機(jī)賬號(hào)生命周期管理系統(tǒng)結(jié)合做雙因素認(rèn)證，大大減少了配置工作量的同時(shí)，還滿足了系統(tǒng)安全性要求。另外，對(duì)于所有重要的業(yè)務(wù)系統(tǒng)、安全系統(tǒng)，都應(yīng)該采用雙因素認(rèn)證，以避免賬號(hào)共用情況，發(fā)生安全事件后，能準(zhǔn)確的定責(zé)。1.3.6數(shù)據(jù)庫審計(jì)系統(tǒng)審計(jì)系統(tǒng)在整個(gè)系統(tǒng)中起到一個(gè)很好的補(bǔ)充作用。數(shù)據(jù)庫賬號(hào)生命周期管理系統(tǒng)雖然會(huì)記錄所有操作數(shù)據(jù)庫的行為，但他只是記錄前臺(tái)的操作過程，但對(duì)于發(fā)生安全事件后快速定位、還原整個(gè)事件過程還是有些欠缺。專業(yè)數(shù)據(jù)庫審計(jì)系統(tǒng)會(huì)對(duì)數(shù)據(jù)庫操作進(jìn)行審計(jì)，記錄數(shù)據(jù)庫的日常操作行為，記錄敏感數(shù)據(jù)的訪問、修改行為，會(huì)精確了每一個(gè)字符。在安全事件發(fā)生后，可以精確的使用操作命令來檢索需要審計(jì)的信息，甚至可以組合幾條信息來精確定位，提高了審計(jì)的效率。它可以對(duì)數(shù)據(jù)庫發(fā)生的所有變化進(jìn)行回放，讓用戶知道重要操作后數(shù)據(jù)庫返回了什么樣的結(jié)果、發(fā)生了什么變化，可以很好的幫助用戶恢復(fù)整個(gè)事件的原始軌跡，有助于還原參數(shù)及取證。并可可以深入到應(yīng)用層協(xié)議（如操作命令、數(shù)據(jù)庫對(duì)象、業(yè)務(wù)操作過程）實(shí)現(xiàn)細(xì)料度的安全審計(jì)，并根據(jù)事先設(shè)置的安全策略采取諸如產(chǎn)生告警記錄、發(fā)送告警郵件（或短信）、提升風(fēng)險(xiǎn)等級(jí)。.7數(shù)據(jù)脫敏系統(tǒng)在我們的用戶系統(tǒng)里面，存在著大量的敏感信息：公民數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等，業(yè)務(wù)系統(tǒng)軟件開發(fā)的最后階段，是需要盡量真實(shí)的數(shù)據(jù)來作為基礎(chǔ)測(cè)試軟件的一系列功能。尤其是用戶系統(tǒng)這樣的大型系統(tǒng)實(shí)施或開發(fā)的時(shí)候，對(duì)于基礎(chǔ)數(shù)據(jù)的要求很嚴(yán)格，很多時(shí)候都是直接克隆生產(chǎn)環(huán)境的數(shù)據(jù)來進(jìn)行軟件系統(tǒng)的測(cè)試，但是隨之而來的影響卻是深遠(yuǎn)的，生產(chǎn)數(shù)據(jù)中，首先它是一個(gè)真實(shí)的數(shù)據(jù)，透過數(shù)據(jù)基本上掌握了整個(gè)數(shù)據(jù)庫的資料。其次，在這當(dāng)中包含很多敏感數(shù)據(jù)，不光是敏感數(shù)據(jù)，而且還是真實(shí)的敏感數(shù)據(jù)。如果在測(cè)試環(huán)境中發(fā)生了信息泄露問題，那么對(duì)于用戶數(shù)據(jù)安全將造成致命的后果。且還是真實(shí)的敏感數(shù)據(jù)。如果在測(cè)試環(huán)境中發(fā)生了信息泄露問題，那么對(duì)于用戶數(shù)據(jù)安全將造成致命的后果。近年來，政府行業(yè)重大的敏感數(shù)據(jù)泄漏事件時(shí)有發(fā)生，如下圖所示：核心數(shù)據(jù)脫敏模塊的建設(shè)基于動(dòng)態(tài)數(shù)據(jù)脫敏技術(shù)，通常是應(yīng)用于生產(chǎn)系統(tǒng)，當(dāng)對(duì)數(shù)據(jù)庫提出讀取數(shù)據(jù)的請(qǐng)求時(shí)，動(dòng)態(tài)數(shù)據(jù)脫敏按照訪問用戶的角色執(zhí)行不同的脫敏規(guī)則。如下圖所示：授權(quán)用戶可以讀取完整的原始數(shù)據(jù)，而非授權(quán)用戶只能看到脫敏后的數(shù)據(jù)。1.3.8應(yīng)用內(nèi)嵌賬號(hào)管理系統(tǒng)復(fù)雜的IT環(huán)境，在其中包含過個(gè)腳本，進(jìn)程，應(yīng)用程序需要訪問多個(gè)平臺(tái)的資源和數(shù)據(jù)庫中存取敏感信息。為了更好地訪問這些資源，應(yīng)用程序和腳本會(huì)利用數(shù)據(jù)庫上的帳號(hào)去獲取數(shù)據(jù)，有些帳號(hào)只有只讀權(quán)限，還有些帳號(hào)具有讀寫權(quán)限。保護(hù)、管理和共享這類與應(yīng)用程序相關(guān)的帳號(hào)成為了IT用程序相關(guān)的帳號(hào)成為了IT部門或者應(yīng)用負(fù)責(zé)人的巨大挑戰(zhàn)，也是放在用戶面前的審計(jì)難題。調(diào)查表明%42的用戶從不修改嵌入在應(yīng)用程序內(nèi)的帳號(hào)密碼。這是一個(gè)嚴(yán)重的安全風(fēng)險(xiǎn)，并且明顯地違背了許多法律法規(guī)的要求，同樣也是直接導(dǎo)致運(yùn)維效率低下的主要原因。應(yīng)用程序的內(nèi)嵌帳號(hào)通常也是具有非常高的權(quán)限的，可以毫無控制地訪問后端系統(tǒng)。如果該帳號(hào)不有效管理起來，勢(shì)必帶來繞開常規(guī)管理流程的非法訪問。以上圖的Billing系統(tǒng)為例，前端Bill應(yīng)用通過內(nèi)置的數(shù)據(jù)庫用戶連接數(shù)據(jù)庫，用以更新數(shù)據(jù)庫中相關(guān)記錄。非授權(quán)的第三方人員一旦知曉該密碼，則可以肆無忌憚地進(jìn)入數(shù)據(jù)庫，刪除記錄，修改數(shù)據(jù)。如上描述，嵌入在應(yīng)用程序中的密碼會(huì)帶來如下安全風(fēng)險(xiǎn)：密碼不定期修改：為了獲得更高的安全水平，密碼需要定期修改。而應(yīng)用程序內(nèi)嵌密碼其密碼修改過程非常復(fù)雜，因?yàn)槊艽a會(huì)被寫入在應(yīng)用程序的多處。運(yùn)維人員和開發(fā)人員都知曉應(yīng)用密碼：由于應(yīng)用程序密碼被嵌入在程序中，并且不會(huì)定期修改，所以通常密碼在IT運(yùn)維人員和開發(fā)人員整個(gè)企業(yè)中是共享的，特別還包括離職員工以及外包人員。密碼強(qiáng)度不夠：由于密碼是IT運(yùn)維人員或者開發(fā)人員手工創(chuàng)建的，為了能夠應(yīng)對(duì)緊急情況，這些密碼盡量定義地簡(jiǎn)單，便于能夠記憶。這將導(dǎo)致企業(yè)特權(quán)帳號(hào)密碼的策略不合規(guī)。密碼存儲(chǔ)在明文中：嵌入的密碼在配置文件或者源代碼中是明文存儲(chǔ)的，有時(shí)密碼也不符合強(qiáng)度要求。所以這些密碼很容易被訪問到源代碼和配置文件的人員獲得。對(duì)應(yīng)用程序內(nèi)嵌密碼缺乏審計(jì)：在緊急情況下，IT運(yùn)維人員和開發(fā)人員都需要使用應(yīng)用程序密碼，現(xiàn)有的密碼方案無法提供相應(yīng)的使用記錄的控制和審計(jì)。審計(jì)與合規(guī)：無法保護(hù)應(yīng)用程序帳號(hào)，審計(jì)其使用記錄會(huì)違法安全標(biāo)準(zhǔn)和法規(guī)，并且導(dǎo)致無法通過內(nèi)審和外審要求。應(yīng)用程序帳號(hào)管理常見需求如之前章節(jié)描述，由于應(yīng)用程序密碼濫用狀況引起了安全與合規(guī)性風(fēng)險(xiǎn)。擁有了應(yīng)用程序就可以訪問企業(yè)的核心應(yīng)用，為了成功地控制這些應(yīng)用帳號(hào)，所選擇的解決方案必須滿足如下要求：安全需求：加密：應(yīng)用程序密碼必須存儲(chǔ)在安全的場(chǎng)所，無論是存儲(chǔ)，還是被傳送至應(yīng)用程序，密碼必須被加密。訪問控制：必須有很強(qiáng)的訪問控制作用在密碼使用之上，嚴(yán)格限定能夠訪問密碼的人員或者是應(yīng)用程序?qū)徲?jì)：能夠快速審計(jì)到任何訪問密碼的活動(dòng)，包括個(gè)人訪問記錄。高可用性：相應(yīng)的應(yīng)用程序無法接受宕機(jī)時(shí)間。應(yīng)用程序始終能夠訪問這些密碼，不管是在網(wǎng)絡(luò)連接的問題或者存儲(chǔ)發(fā)生故障。管理需求：廣泛的平臺(tái)支持性：一個(gè)企業(yè)一般會(huì)擁有不同類型的系統(tǒng)、應(yīng)用和腳本等。為了能夠支持企業(yè)中不同應(yīng)用的需求，應(yīng)用程序密碼管理方案必須支持如下廣泛平臺(tái)：a)腳本–Shell,Perl,bat,Sqlplus,JCL等b)應(yīng)用程序–自定義開發(fā)的C/C++應(yīng)用程序，Java，.NET，Cobol等，也有一些諸如Oracle，SAP的商業(yè)系統(tǒng)c)應(yīng)用服務(wù)器–大部分企業(yè)至少會(huì)擁有常見應(yīng)用服務(wù)器的一款：比如IBMWebSphere,OracleWebLogic，JBOSS或者Tomcat簡(jiǎn)單和靈活的整合：改變應(yīng)用消除硬編碼密碼的方式應(yīng)該簡(jiǎn)單明了。整個(gè)方式應(yīng)該簡(jiǎn)化和縮短應(yīng)用程序向動(dòng)態(tài)密碼管理遷移的周期。支持復(fù)雜的分布式環(huán)境：大型企業(yè)中分布式系統(tǒng)非常多見。例如，一個(gè)集中的數(shù)據(jù)中