xx酒店数据安全管理方案
1
1.1
背景概述
酒店行业数据泄露事件
2017年4月19日,知名酒店洲际酒店集团(IHG)超过1000家旗下酒店遭遇支付卡信息泄漏。
2017年2月6日,仍是洲际酒店集团(IHG),确认旗下12家酒店的支付系统遭到入侵,成为大规模数据泄露的受害者。
2016年1月,凯越集团的支付卡数据外泄事件波及了全球约50个国家的250家酒店。
2015年11月,希尔顿与喜达屋集团都表示,他们的支付处理系统遭受了不明来历的黑客攻击。除此之外,豪华连锁酒店TrumpSoHo酒店酒店同样也确认了一起数据泄漏事件。
2015年2月1日,据漏洞盒子白帽子提交的报告显示,知名连锁酒店桔子、锦江之星、速八、布丁,高端酒店万豪、喜达屋、洲际的房客开房信息大量泄漏。
......
无论是国内还是国外,酒店信息安全都是大问题。自2013年到现在,此起彼伏的酒店开房记录泄露、房客信用卡资料信息外泄、酒店网络安全漏洞等酒店信息安全案例被广为报道,这其中,因信息泄露而导致恋人分手、家庭破裂、财产损失的案例报道也不在少数,这让广大酒店旅客困扰不已。
1.2 酒店行业数据泄露的危害
攻击者使用恶意软件或者内部人员滥用管理权限,窃取入驻旅客的个人信息,包括:姓名、身份证号、入住时间、信用卡卡号、信用卡过期时间和内部验证代码等。将为旅客带来以下危害:
1,信息与电话骚扰; 2,情感威胁; 3,冒领快递; 4,冒办电话;
1
5,银行开户、证券等; 6,登记变更; 7,冒办信用卡。
1.3 酒店数据泄露的原因
酒店行业成为信息泄露的温床,究其原因有以下几条:
1,酒店业的银行卡交易业务量比较大,方便黑客进行身份信息的盗用;
2,酒店需要实名入住,而许多旅客通过酒店官网或手机APP订房;
3,酒店经常把内部的计算机系统和别的系统连接; 4,员工流动频繁,员工安防培训工作不到位; 5,内部员工出于利益驱动,主动外泄旅客信息; 6,许多酒店的PMS(即酒店管理系统)系统,都是外包给酒店外的第三方供应商来开发和提供技术服务,这也增加信息外泄的可能途径;
7,酒店系统安全防护水平弱,系统存在漏洞导致全面失控。 总结来说,酒店行业结构较为散乱,一定程度上引发了黑客危机。发生这些漏洞的根源在于酒店的管理机制不完善,虽然酒店使用了信息管理系统,但是对于安全隐患的排除却做得不到位。
2
2.1
需求分析
合规需求
针对酒店业个人信息泄露事件频发的现状,国家相关监管部门出台了系列法律法规,对个人信息安全保护做了明确的规定。酒店对入住旅客的信息保护必须符合相关法律的规范。如违法相关法规,轻者警告,重者责令暂停相关业务、停业整顿或吊销营业执照。
1,《旅馆业治安管理条例》
2017年2月10日,公安部官网上发布了关于《旅馆业治安管理条例(征求意见稿)》,规定旅馆禁止传播、出售或泄露旅客住宿信息或视频监控资料,若构成犯罪,将依法追究刑事责任。业内人士表示,不管是因为黑客侵入计算机系统,还是内部人员盗取而致使用户信息遭到泄露,给用户造成了损失,酒店方应承担相应法律责任。
2
2,《网络安全法》
2017年6月1日,国家《网络安全法》正式施行,个人信息的安全正式受到法律的保护。
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 解读如下:
1)本条明确网络安全等级保护制度(也就是常说的“等保” )是信息安全建设的基本要求;
2)明确数据安全的内容:保护网络数据不被泄露或者被窃取、篡改。
3)在以前的等保中,数据安全常常是可选项,而且常常是不被选择的项目。通过本法本条,可以认为数据安全不再是“可选项”,而是必选项。这将极大的改变等保的实施内容。
4)当前的网络攻击、网络侵入很多是以窃取数据为目的的,需要采取防止数据窃取的技术措施。
对网络安全事件的日志留存时间不少于六个月。这对数据访问记录的日志留存时间做出了明确要求,要高于6个月。
5)要对数据根据敏感性进行分级和分类,从而对数据进行细粒度的访问控制。
6)明确要求对重要数据进行备份和加密。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
解读如下:
1)本条要求,对他人提供所收集到的个人信息,必须是“经过处理的无法识别且不能复原的”。在技术上,这即是指要求对敏感数据进行脱敏处理。
3
2)本条明确要求网络运营者采取技术措施防止数据的泄露、毁损、丢失。
3)本条要求发生数据安全事件时,网络运营者应该主动上报并采取补救措施。但是现实情况是很多数据泄露事件和数据篡改事件发生过很久以后,网络运营者才知道。所以在主动发现数据安全事件方面,还需要更多的技术投入。而且在补救方面,如何找到攻击路径,也是一大难题。合格的数据库审计产品能够在一定程度上主动发现数据安全事件,并能在数据安全事件溯源方面提供帮助。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
第五十九条河第六十四条是对违反第二十一条和第四十二条后所进行的处罚,最高处罚金额100万元。
2.2 技术需求
现代酒店的管理已经高度网络信息化,信息化的发展也形成了酒店行业快速发展一个缩影。尤其是在移动互联网和云技术迅猛发展的今天,社会化协作更加广泛,系统要更新更加迅速,数据和信息的互联互通和共享已成为电子商务领域的必然发展趋势。但任何一个事物都有两面性,网络信化息带来了运营效率的提升,也带来了安全性隐忧。现在黑客慢慢地从原来的攻击大型银行等金融行业转向B端的服务业来渗透,酒店信息安全正在遭受多样化的危机。
4
那么,在发生这些危机后,酒店管理方当如何加强应对?酒店自身的信息和安全能力较差。现阶段一些酒店管理软件存在严重的安全隐患,主要外泄途径包括,服务器被黑客攻击,软件供应商管理不规范等,数据管理不到位成“酒店泄密门”的元凶。随着数据价值的凸显,数据安全成为信息安全领域的重点问题。而作为数据资产的管理工具,数据库的安全问题自然愈发重要,逐步成为整个信息系统安全防护的矛盾聚焦点。但是,国内信息安全的现状是,企业在网络安全和操作系统安全方面一般都愿意投入,在绝大多数网络节点上部署了防火墙、入侵检测、UTM、桌面管控、防病毒、VPN等产品,甚至还部署了WAF, NGFW等较新的应用层安全产品。但在对数据最直接的安全管理方面,也就是数据库安全方面,由于相关产业发展缓慢和整体重视程度不够,投入还处于较低的水平。只有在现有的安全防护体系中,补充对数据的防护这一环节,部署“术业有专攻”的数据安全管理系统,才能从根本上解决数据安全问题。
3
3.1
中安威士数据安全管理方案
方案目标
各企业的信息系统中,亟需部署数据安全管理系统,弥补现有的安全体系的不足。而数据安全管理是通过对数据的存储管理系统,也就是数据库的安全加固实现的。针对数据安全管理的目标主要包括如下:
1) 数据安全风险可视化
了解数据资产的分布。需要自动发现数据库服务器、敏感数据的分布情况,为后续安全加固明确目标;
实时掌握数据库系统的可用性。要求能对数据库运行状态进行实时监控,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性;
5
实时掌握数据库存在的风险状况。要求能通过扫描的方式,静态的评估企业数据库系统的风险,扫描内容包括:弱口令检测、系统漏洞、配置风险等;
需要进行数据活动监控。实时监控数据活动情况,记录数据访问行为,尤其是对敏感数据的访问行为。要求能实现对数据库的直接访问和通过Web和应用对数据库的间接访问进行全面监控。
2)
数据安全风险可控化
需要进行数据活动保护。在数据活动监控的基础上,提供访问控制规则,对违规的数据访问进行阻止。要求系统能够自动学习应用系统对数据的访问行为模式,并生成不同粒度的访问规则;
需要进行数据库攻击检测和保护。在系统内置攻击检测规则,能够实时检测和阻止针对数据库协议、SQL注入和缓冲区溢出等多种攻击,同时详细地记录攻击的详细信息;
要求对数据库敏感数据进行透明加密。要求采用加密技术,有选择的将敏感内容进行加密存储,并提供进一步增强的访问控制,防止特权的滥用和盗用。并且要求加密对应用是透明的,不需要对应用系统进行改造;
要求实现运维、开发、测试中的敏感信息的脱敏。在涉及敏感数据的情况下,要能通过脱敏规则进行数据的变形,以在运维和生产环境,以及在外包、开发、测试和其它非生产环境中安全地使用脱敏后的准真实数据集。
6
3) 数据安全管理合规化
遵守监管合规性。国家和各行业的监管机构越来越重视数据的安全管理,相继出台了《加强网络信息保护的决定》、《信息安全等级保护管理办法》、《电信和互联网用户个人信息保护规定》和《网络安全法》等几十项法规和标准,并开展了以数据安全管理为重点的安全评测和检查。因此,除上述功能要求外,数据安全管理系统还必须帮助企业经济快速地满足合规审计要求。
3.2 解决方案
经过对xx酒店信息系统所面临的的数据安全问题进行分析,以把数据关进笼子,让数据访问在阳光下进行为终极目标。提出了如下的解决方案:
该方案可以概括为三个递进层次:
数据活动的全面审计:对数据的分布、性能、访问和活动情况进行全方位的监控和记录,便于事后审计和追查。及时发现数据的异常活动情况和风险,产生报警。输出可视化的报表,便于分析;
7
细粒度访问控制:基于自动学习,生成细粒度的访问控制规则,阻断异常的查询和访问,防止敏感数据泄漏。阻断异常的和违规的数据修改和删除操作,防止敏感数据被非法篡改;
敏感内容加密和脱敏:有选择性的对敏感内容加密和脱敏,防止在线数据和备份数据的存储介质丢失被窃取导致敏感数据泄露。增强的对加密敏感数据的权限管理,防止越权权限的滥用、合法权限被盗用和滥用导致的数据泄漏。另外通过敏感数据的模糊化处理,能为运维、测试、数据外发等环境提供准真实的数据。
该思路通过全方位的审计实现了风险的可视化,通过细粒度访问控制实现了非法操作的可控,再加上敏感内容加密和脱敏,避免了存储介质丢失和内部人员权限盗用和滥用造成数据泄密的风险。可以说,该思路以数据库安全加固为落脚点,全面地解决了数据安全管理的问题,几乎从所有环节防止了数据泄密的发生。
4 xx酒店数据安全管理实施方案
该酒店是酒店行业的巨头,管理模式已实现高度网络信息化,建有非常完善高效的PMS系统。但与其他业内的酒店一样,也受到多样化的信息安全攻击的困扰,也有遵从《网络安全法》等各项法规要求的数据安全管理的需求。香格里拉酒店的数据库中含有用户的姓名、身份证号、手机号、信用卡号、信用卡有效期、入住时间等敏感信息[用户可自行添加相关的数据防范信息],需要对数据库实施专业的安全加固措施。
4.1 实施方案
具体的实施方案如下图所示。
8
该实施方案的要点如下: 1) 对数据库部署数据库审计系统
通过旁路镜像的方式,在不改变数据库系统的任何原有设置和
在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护;
对于应用系统和数据库在同一台服务器的系统,或者云计算和虚拟化平台上的数据库系统,以及难以实施镜像部署的系统,通过部署中安威士特有的软件探针,实现全面审计; 使用数据发现功能,自动生成数据库服务器和敏感数据的分布情况,并将所发现的重要服务器、服务和数据进行分类,并生成统计报表。将所有发现和分类结果直接应用到后续模块
9
中的规则中;
开启数据库性能监控功能,对数据库运行状态进行实时监控,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性;
开启数据库性风险评估功能,扫描弱口令、系统漏洞、配置等风险,全面评估数据库系统的风险状态;
开启学习功能,自动生成基线模型白名单访问规则,实现规则零配置,解决因人力不足无法详细设置审计规则的问题。通过人工添加黑名单规则,实现灵活的细粒度访问规则;
开启入侵检测功能,及时发现针对数据库的违规操作行为,并
进行记录、报警。一旦发生威胁,可迅速判断是内部人员的越权操作,还是外部人员的入侵行为,事后追责,满足合规审计要求;
开启运维审计功能,审计通过SSH/TELNET/FTP等协议对数
据库服务器进行的运维操作;
开启Web应用审计和三层关联审计,实现完整地溯源能力。
2) 对数据库部署数据库防火墙系统 部署双机模式,保证连续服务能力; 基于硬件bypass,防止单点失败;
开启入侵保护功能,以抵御SQL注入攻击和针对数据库漏洞的攻击,还能防止全表删除等误操作、超级权限滥用等风险; 开启学习功能,生成白名单规则,并手工添加黑名单规则,解
10
决详细设置数据库防火墙规则困难的问题;
对于云计算和虚拟化平台上的数据库,部署软件形态的数据库防火墙系统。
3) 以旁路方式部署数据库加密系统
对于尤其重要的数据,部署数据库加密系统,对制定的敏感字段进行加密;
通过三权分立的限管控系统来实现对敏感数据访问的权限控制,确保其数据的安全性;
开启敏感数据访问审计功能,记录对加密数据的访问; 定期轮换密钥,保证加密数据的安全。 4) 部署数据库脱敏系统
对于运维操作,通过动态脱敏功能,确保运维人员在运维时不能看到真实的数据;
对于需要管控的应用程序,通过动态脱敏,确保系统只能看到脱敏后的准真实数据;
对于开发和测试工程,通过静态脱敏功能,确保开发和测试人员只能看到脱敏后的准真实数据;
对于外包、数据外送等情形,通过静态脱敏功能,使得交付的是脱敏后的数据,防止真实数据外泄。
小结:
1)以上系统,在实施时,可以考虑在一个硬件平台上,部署多个软件模块。比如数据库加密和数据库审计可以合并,另外数据库防火墙和数据库脱敏,可以进行合并部署,以节约硬件成本。
11
2)针对该酒店的数据安全,建议配置数据库审计和数据库防火墙,且为了防止单点失败,防火墙采用双机部署。
3)后期可有选择性的部署数据库加密或数据库脱敏设备以进一步加固酒店信息系统。
4.2 配置清单
类别 功能 具备服务和敏感数据发现功能; 具备应用系统和数据库在同一台服务器上业务审计; 具备数据库状态监控功能; 具备风险(漏洞)扫描功能; 具备自动学习功能; 具备数据库基线的自动优化功能 具备告警汇聚及依据告警结果调整规则功能 具备双向审计功能; 具备绑定变量审计功能; 具备模糊化日志功能; 具备通用型三层审计(URL和WEB的关联)功能,插件型需定制; 具备自定义报表功能; SQL处理能力7w/s 日志存储量>30亿/T 模糊检索能力,1亿记录,1分钟内返回结果 具备服务和敏感数据发现功能; 具备数据库状态监控功能; 具备风险(漏洞)扫描功能; 具备自动学习功能,精确到语句级阻断; 具备模糊化日志功能; 具备自定义报表功能; 具备硬件bypass功能; 具备双机功能; SQL处理能力3w/s 12
数量 1 价格 数据库审计 2 数据库防火墙
数据库加密 数据库脱敏 并发用户数>70w 新建用户数>1.5w 日志存储量>30亿/T 模糊检索能力,1亿记录,1分钟内返回结果 支持千万级规模的数据库 具备字段级加密,支持AES、DES、3DES、SM1、SM4等算法; 具备一个字段多个密钥,且支持密钥轮换; 支持NUMBER、CHAR、VARCHAR、VARCHAR2、DATE、TIMESTAMP类型加密; 支持密文索引且对索引进行加密; 具备通过设置程序名、IP地址、时间等进行加密后的授权控制; 加密后的查询性能(返回首条记录时间)与加密前几乎没有区别; 支持对加密表结构的更改,如增加、删除及修改列等; 支持数据替换、隐藏或使之无效、虽计划、偏移、截断、限制返回行数、基于其它参考信息进行屏蔽、自定义处理规则等; 支持oracle、slq server、db2、hive等数据库; 对应用程序和后台数据库完全透明; 1 2 4.3 方案价值
通过上述解决方案,有效满足了酒店信息系统所面临的数据安全管理的需求:使数据安全可视、使数据安全可控、使数据安全合规。就数据安全合规来说,以满足《网络安全法》为例,本方案在以下方面完全满足了法规的要求。
13
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 解读如下: 1)本条明确网络安全等级保护制度(也就是我们常说的“等保” )是信息安全建设的基本要求;
2)明确数据安全的内容:保护网络数据不被泄露或者被窃取、篡改。
3)在以前的等保中,数据安全常常是可选项,而且常常是不被选择的项目。通过本法本条,我们可以认为数据安全不再是“可选项”,而是必选项。这将极大的改变等保的实施内容。
4)当前的网络攻击、网络侵入很多是以窃取数据为目的的,需要采取防止数据窃取的技术措施(对应数据库防火墙产品,该产品能阻止SQL注入等攻击)。
对网络安全事件的日志留存时间不少于六个月。这对数据访问记录(数据库审计、应用审计等产品)的日志留存时间做出了明确要求,要高于6个月。
5)要对数据根据敏感性进行分级和分类,从而对数据进行细粒度的访问控制(对应数据库防火墙、数据脱敏等产品)。
6)明确要求对重要数据进行备份和加密(对应于数据备份和数据库加密产品)。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
解读如下:
1)本条要求,对他人提供所收集到的个人信息,必须是“经过处理的无法识别且不能复原的”。在技术上,这即是指要求对敏感数据进行脱敏处理。
14
2)本条明确要求网络运营者采取技术措施防止数据的泄露、毁损、丢失。
3)本条要求发生数据安全事件时,网络运营者应该主动上报并采取补救措施。但是现实情况是很多数据泄露事件和数据篡改事件发生过很久以后,网络运营者才知道。所以在主动发现数据安全事件方面,还需要更多的技术投入。而且在补救方面,如何找到攻击路径,也是一大难题。合格的数据库审计产品能够在一定程度上主动发现数据安全事件,并能在数据安全事件溯源方面提供帮助。
除带来上述主要价值外,具体来说,中安威士数据安全管理解决方案还带给贵酒店如下价值:
简化业务治理,提高数据安全管理能力;
完善纵深防御体系,提升整体安全防护能力; 减少核心数据泄漏,保障业务连续性; 有效维护贵酒店的公信力和声誉。
助力香格里拉酒店的信息系统完成合规审计。
5
5.1
中安威士介绍
公司简介
中安威士(北京)科技有限公司(前身:北京中安比特科技有限公司),由北京理工大学计算机学院戴林教授于2009年创立,是国内数据安全领域的著名原厂商。公司位于中关村核心科技园区,注册资本1100万,国家级高新技术企业,通过双软论证,是中国网络空间安全协会首批会员、中国信息安全联盟和中关村云计算联盟核心会员。公司分别于2014年和2015年获得天使轮和A轮投资,并于2017年5月获得多家著名基金联合投的A+轮投资。
中安威士创始团队是国内最早从事数据库安全技术研究的科研团队之一。早在2004年,戴博士就开始了数据库透明加密技术的研究,并将相关技术发明应用于国防军工项目中。随后,创始团队将科研成果产业化,成立中安威士,并依托产学研一体化优势,陆续研发出数据库漏洞扫描、数据库审计、数据库防火墙、数据库加密和数据库脱敏等核心产品,成长为数据库安全领域产品线最全、技术创新能力最突出的著名厂商。
中安威士成立八年来,始终专注于数据库安全技术的研究,已拥有九项发明专利和十五篇软件著作权。产品资质齐全,已应用于政府、
15
军工、航天、航空、公安、教育、金融、医疗、能源、运营商等行业近千家企业,获得良好市场声誉。随着云计算和大数据技术的发展,中安威士的数据库安全产品都能支持虚拟化部署,能为云计算和大数据环境下的核心数据资产提供全面的安全防护。自2016年6月以来,中安威士的云端数据库安全产品已陆续部署于阿里云、腾讯云、华为云、青云等公有云和多省政务云平台。
中安威士一直秉承“保护核心数据,安全每一比特”的服务理念,以客户需求为导向、以技术创新为驱动、以拓展渠道为主要经营策略,希望能与各界朋友合作,打造你中有我,我中有你的共赢共享生态圈。
5.2 竞争优势
综上,中安威士数据安全管理解决方案基于数据库审计、数据库防火墙、数据库加密和数据库脱敏产品实现。方案完整地解决了香格里拉酒店信息系统所广泛面临的数据泄露困境。该方案的优势体现在:
快:业界最高的处理性能; 连续处理能力:1~10万SQL/s
日志检索速度: <10秒钟,1亿记录,任意关键字组合查询 日志存储能力: 30~100亿SQL/TB 带索引的加密速率>9k/s
智:智能化自动学习,基本实现零配置;
稳:十余年技术积累,国内最早专利技术,上千实际案例,产品运行稳定;
全:全面的功能和全面的审计; 不丢包:高峰流量不丢包,完全审计
不漏审:全方位的审计,不漏掉从任何途径对数据库的访问 全功能:具有敏感数据发现、性能审计、漏洞扫描和风险评估 能够部署于任何环境
美:美观的报表和界面。提供大量报告模板,包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义; 细:细粒度的审计和访问控制,达到字段、语句级。
16
因篇幅问题不能全部显示,请点此查看更多更全内容