歡迎來到 - 美文閱讀網 !    
當前位置: 首頁 > 科技資訊 >

愛康國賓選擇安華金和數據安全解決方案

時間:2019-07-03 13:12 點擊:
愛康國賓專注健康行業14年,是中國領先的、提供體檢和就醫服務的健康管理機構,每年為幾百萬客戶提供健康體檢、疾病檢測與私人醫生服務,幫助其擺脫亞健康、預防慢

愛康國賓注健康行業14年,是中國領先的、提供體檢和就醫服務的健康管理機構,每年為幾百萬客戶提供健康體檢、疾病檢測與私人醫生服務,幫助其擺脫亞健康、預防慢性病、解決就醫難,致力提高現代中國人的整體健康水平和生命質量。公司擁有100多家自營醫療中心,并與超過500家醫療機構的3萬余名醫生建立合作,企業高端會員達千萬級。

一、需求與挑戰

隨著大眾生活水平不斷提高,人們對自身的健康狀況愈加關注,體檢已逐漸融入普通人的生活當中,選擇主動增加體檢頻率的人數正在持續增長。

愛康國賓在全國設有100多個分支機構,每個分支都配備有獨立的體檢業務數據庫,且這一數字后續預計會增加至200個左右,所產生的數據量十分龐大。與此同時,數據庫中也儲存著極其重要和敏感的信息,一旦被篡改或泄露,可能導致重大安全風險,并造成可量化的直接經濟損失及不可量化的品牌信譽影響。愛康國賓體檢業務在愛康集團整體業務系統中占據極其重要的地位,其數據庫安全不容有失。此前,每個分支機構體檢業務數據庫均需單獨進行數據庫審計;現在,愛康國賓希望對其體檢業務數據庫進行完整審計,對所有訪問數據庫的行為進行記錄,以避免發生包括姓名、身份證號、手機號、家庭住址、特殊疾病等體檢人員敏感信息的泄露事件。

伴隨《網絡安全法》的正式施行,國家針對數據安全出臺了一系列政策和標準。新環境下,愛康國賓基于對數據安全合規性的考量,也希望加大對現有體檢數據庫的監管力度,充分了解其數據庫工作狀態與訪問詳情,對產品的成熟度、穩定性、尤其是查詢效率等方面非常重視,要求對所有分支機構的數據庫審計具備分布式部署、統一管理能力,且集中管理系統要符合三權分立原則。

為此,愛康國賓向業界眾多數據安全廠商發出溝通及測試邀請,經過層層選拔,最終決定由安華金和為其提供數據庫監控與審計產品及服務。

二、解決思路

(一)分布式部署

鑒于愛康國賓分支機構眾多,且每個分支機構都配備獨立的數據庫單獨保存各自的體檢數據,如果采用傳統的單節點部署模式,即在各分支機構單獨部署數據庫審計系統,那么總部將無法統一查看各分支機構的操作風險情況以及各節點的運行狀態。面對挑戰,安華金和項目團隊針對數據庫審計系統的部署模式進行了大膽創新,推出數據庫審計系統的分布式部署模式——在每個分支機構部署數據庫審計系統,同時在總部部署數據庫集中審計管理平臺(DBCM),繼而通過DBCM掌握所有分支機構的審計數據和報告,部署設計圖如下:

愛康國賓選擇安華金和數據安全解決方案

(圖1:愛康國賓審計項目部署設計圖)

(二)軟硬件混合模式

項目團隊在設計之初就已考慮到,要在為客戶節約成本的同時,確保系統穩定運行,因此在總部部署了兩臺硬件DBCM系統組成HA。

其余各分支機構則采用軟件部署方式,在客戶的虛擬環境中部署安華金和數據庫審計系統(虛擬化版本)。所有分支機構的部署均可在總部一次性完成實施,大大縮短了項目周期,滿足了客戶對快速部署的需求,部署示意圖如下:

愛康國賓選擇安華金和數據安全解決方案

(圖2:分支機構部署示意圖)

(三)全方位審計

總部及各分支機構的數據庫審計系統,可在不影響現有業務系統運行的前提下,對包括非法性攻擊、風險操作、業務系統賬號、數據庫賬號、SQL語句、客戶端工具、操作時間等在內的所有數據庫交互行為進行全方位記錄,并在第一時間對風險行為進行告警,以便用戶及時采取保護措施或進行事后追責定責。

(四)統一化管理

為了讓總部能夠隨時掌控分支機構數據庫的運行狀況及風險態勢,并對所有審計系統及其審計日志實現統一監控、統一分析、統一管理的目的,審計集中管理平臺門設有免密登錄到各分支機構審計系統的功能,便于查看各分支機構審計系統的運行情況,收集各分支機構分析報告,并進行綜合分析與統一展示。

三、應用效果與客戶價值

(一)應用效果

1、部署示意圖

在總部部署一套DBCM系統,同時在全國所有分支機構分別部署一套數據庫審計系統,各分支機構的數據庫審計系統均與總部DBCM系統進行聯動,部署示意圖如下:

愛康國賓選擇安華金和數據安全解決方案

(圖3:愛康國賓審計項目部署示意圖)

2、數據分析

數據庫審計系統在分布式部署后上線運行,一周審計約200萬條數據。經分析發現,愛康國賓的業務高峰期在每日上午,高峰期所有業務操作和后端維護操作一目了然,可第一時間發現業務性能瓶頸及相關問題。

3、潛在風險

數據庫審計系統上線運行第一周即發現2個潛在風險:暴力破解攻擊和業務系統BUG。

愛康國賓選擇安華金和數據安全解決方案

(圖4:風險規則)

(1)疑似暴力破解攻擊

通過數據庫審計系統對“失敗登錄會話”的統計,發現某客戶端頻繁嘗試以SA用戶登錄數據庫,且登錄失敗。

· 判斷客戶端是否為監控服務器,本地保存的密碼是否與目標數據庫密碼不一致;

· 判斷該客戶端是否有惡意進程在暴力破解攻擊數據庫。

愛康國賓選擇安華金和數據安全解決方案

(圖5:暴力破解風險)

(2)疑似業務BUG

數據庫審計系統發現業務在正常運行過程中存在大量失敗SQL,分析后發現是由以下兩點原因導致:

· 由于業務系統與數據庫表存在設計沖突,導致存儲指定數據異常;

· 數據庫長期出現事務鎖,同時導致部分操作失敗。

愛康國賓選擇安華金和數據安全解決方案

(圖6:業務系統bug)

愛康國賓選擇安華金和數據安全解決方案

(圖7:業務系統bug)

(二)客戶價值

1、滿足合規要求

從合規的角度,幫助愛康國賓滿足相關法律法規要求,如網絡安全法、等級保護等。

2、規范數據訪問

從管理的角度,幫助愛康國賓實現對體檢業務數據庫的管控需求,對業務人員及后端維護人員的數據訪問行為進行規范,避免非法人員訪問重要數據庫及核心敏感數據,發現異常風險行為可第一時間進行告警。

3、事后溯源追責

從全面性的角度,將目前愛康國賓所有體檢業務系統數據庫納入審計范圍內施行全面監控,一旦發現外部攻擊或“內鬼”違規操作,可快速開展事后追溯,查出事故的源頭并第一時間進行定責。

4、優化業務系統

從業務運行的角度,對應用系統發起的錯誤語句進行記錄,及時發現業務系統中存在的問題并進行優化。

(三)創新優勢

1、開創了業內數據庫審計系統分布式部署模式的先河,標志著數據庫審計系統從單一環境到大規模復雜環境下成功部署的成功實踐;

2、批量節點實施,可采用網絡方式直接對數據庫審計系統進行復制,從而大大節約人工及時間成本;

3、通過適配相關技術,使安華金和數據庫審計系統能夠適應更多的業務場景。

四、客戶感言

數據統計中,請稍等!
頂一下
(0)
0%
踩一下
(0)
0%
------分隔線----------------------------
性感宝贝官网