三大案例实践看云数据安全防御

案例一：某互联网金融客户的无死角防护

案例背景：

近年，受政策与环境的激励，互联网金融行业蓬勃发展，各项业务加速推进，在产业日趋成熟的同时，国家也相继出台了系列监管政策以确保经营合规；因互金平台业务的发展迅速，数据库的结构调整和数据变化也比较频繁，业内也存在一些运维人员经验不足和流动性大的现实因素，很容易出现因业务不熟悉或粗心引起的数据库误操作及数据库账号滥用等问题；互联网金融行业对口碑的依赖性非常强，一旦发生信息泄露事件，将会给平台运营带来灾难性的影响。

越来越多的互联网金融企业开始重视数据库安全方面的问题，某互联网金融用户由此产生了国家信息安全等级保护合规与保护业务数据安全、保存证据方便后期追责等需求。

用户需求：

• 满足公安部、行业合规、监管机构考核；

• 希望通过技术手段识别入侵数据库的行为和数据库实时监测；

• 内部运维细粒度权限控制，权限划分；

• 防止核心业务数据内部泄密，外部盗取；

• 希望采取安全防护的同时不会引起宕机不会引起应用系统故障。

解决方案:

云数据库审计+云数据库运维+云数据库防火墙+云数据库加密

首先，用户所属互联网金融行业对等保合规性有着刚性需求，云数据库审计产品便是等保要求中的必选项目，安华云数据审计具备丰富的数据安全监控与审计追踪能力，满足用户记录数据库操作记录需求，实现告警、追责定责等功能。

另外，客户非常重视日常运营中的安全防护需求，安华云安全根据客户特性对其部署了云数据库防火墙+运维+加密产品，云数据库防火墙产品防范来自外部的黑客攻击，同时使用SLB做双防火墙的负载均衡，保障应用对数据库访问的持续性。通过云数据库安全运维对内部系统进行细粒度的访问与操作权限控制，明确每个内部人员的权限范围。

通过对批量数据导出、drop、truncate及No Where更新删除等操作的控制，避免内部人为操作给公司资产带来的损失。依靠安华云数据安全运维独有的动态脱敏技术，在不影响正常运维工作的前提下，实时对应用中的敏感数据进行脱敏，保证运维人员无法查看敏感的数据，降低信息从内部泄漏的机率。

最后，依靠云数据库加密作为数据安全的最后一道防线，防止外部黑客通过可其他漏洞拖库拿到数据，为数据加密。

方案部署图：

案例二：某教育集团云数据安全防“家贼”

案例背景：

在市场竞争白热化的教育咨询行业里，用户数据是企业最核心的资源，很多人都有过这样的经历，刚在某一个教育/咨询机构预留了信息，很快会有多个同类公司的回访电话过来，客源、客户是行业销售和推广实施过程中竞争最激烈的地方。竞争对手之间利用各种手段获取对方客户信息也屡见不鲜。某教育集团客户为了防范核心业务数据被盗取。安华金和为该用户做了基础有效的数据安全措施。

用户需求：

• 针对内部应用及运维侧数据访问操作行为进行监控；

• 审计数据库访问行为记录；

• 针对可疑、高危操作行为告警；

• 可将客户端访问信息与数据库执行SQL关联。

解决方案:

云数据库审计

客户重点选择使用了安华云数据库审计，用户在满足合规性要求的基础上，可实现对数据库进行全方位监控与审计，关联前端应用用户与后端数据库方位行为，以便准确定位违规操作行为责任人，追踪发现数据泄露点在哪，并对数据库风险行为进行预警。

方案部署图：

案例三：某SaaS服务商为其用户保障数据安全

案例背景：

近几年，SaaS凭借低成本、跨地区使用等方面的巨大优势，迅速得到了众多传统软件开发商、电子商务服务商、电信运营商等的关注，在快速发展的同时，也面临着很多安全方面的问题，以某在线SaaS服务平台为例，用户在使用SaaS软件的过程中商业数据会在浏览器客户端和服务器端传输，如何保证数据传输过程中数据的安全性？ 而SaaS提供商在存储了大量数据后，数据资产便成为黑客们的攻击目标，一旦发生攻击造成数据泄露怎么办？存在云端的数据，是否有可能被SaaS提供商非法窥探？ 

基于以上问题及等保合规的要求，我们为用户梳理了他的云安全需求。

用户需求：

• 来自应用端的数据库访问行为监控、审计；

• 数据库访问行为回溯、可依据定责；

• 数据库访问检测与分析；

• 依据数据库审计定位业务系统风险；

• 满足等级保护三级。

解决方案: 

安华云数据库防火墙+云数据库安全运维+云数据库审计组合

通过云数据库防火墙防止数据库外部入侵，将黑客手段阻挡在墙外。针对内部数据库安全运维产品实现运维侧的高危阻断、权限控制，防止内部运维人员误操作造成的数据泄露危险，最后通过云数据库审计产品实现数据库访问的行为审计，监控数据流向，对数据泄露实现溯源。全方位的防止数据安全事件的发生。

方案部署图：