中興數(shù)據(jù)庫安全中心，護航5G核心應用

5G數(shù)據(jù)安全

在歐盟網(wǎng)絡信息安全機構(gòu)（ENISA，European Union Agency for Cybersecurity）2019年11月發(fā)布的“5G網(wǎng)絡安全威脅全景圖”報告中，數(shù)據(jù)被列為可以同時高度影響機密性、可用性、完整性的關(guān)鍵要素，在5G安全風險中占據(jù)特殊重要地位。

5G eMBB、mMTC和uRLLC三大應用場景都涉及到用戶敏感數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)等關(guān)鍵信息的傳輸、存儲和處理。這些關(guān)鍵數(shù)據(jù)以結(jié)構(gòu)化方式存儲在5G系統(tǒng)尤其是核心網(wǎng)部分中。

5G核心網(wǎng)數(shù)據(jù)體量不斷增大，種類持續(xù)增加，結(jié)構(gòu)日趨復雜，由此帶來的數(shù)據(jù)泄露、非授權(quán)分析、用戶個人信息泄露等安全風險也日益增加。如何確保數(shù)據(jù)安全處理是5G核心網(wǎng)安全中的關(guān)鍵課題。

問題與風險

在5G核心網(wǎng)產(chǎn)品的商用運營中，尤其是垂直行業(yè)場景中邊緣計算平臺上的第三方應用通常會遇到以下數(shù)據(jù)庫方面的安全風險：

● 數(shù)據(jù)庫種類多，安全審計復雜：Oracle、SQL Server等國外知名數(shù)據(jù)庫產(chǎn)品和MySQL、Maria DB、PostGreSql等開源產(chǎn)品在業(yè)界都應用廣泛；ZTE Golden DB、螞蟻金服OceanBase等國產(chǎn)數(shù)據(jù)庫產(chǎn)品也異軍突起。不同數(shù)據(jù)庫產(chǎn)品特色明顯，數(shù)據(jù)操作往往不能通用，對這些數(shù)據(jù)操作行為進行風險評估和安全審計的難度增大。

● 事務操作復雜，發(fā)生死鎖幾率高：在復雜的查詢與更新數(shù)據(jù)庫的過程中，經(jīng)常遇到多個事務同時操作并相互等待對方釋放資源的情況，進入死鎖并造成數(shù)據(jù)庫業(yè)務異常。

● 高危操作控制難，數(shù)據(jù)丟失風險大：5G核心產(chǎn)品發(fā)生數(shù)據(jù)泄露，會導致用戶個人關(guān)鍵信息丟失，并影響運營商聲譽；垂直行業(yè)數(shù)據(jù)往往涉及關(guān)鍵行業(yè)的生產(chǎn)數(shù)據(jù)，該類數(shù)據(jù)一旦丟失，會給企業(yè)帶來了重大損失。

● 數(shù)據(jù)規(guī)模大，性能降低明顯：當數(shù)據(jù)量達到一定規(guī)模后，并發(fā)查詢會大幅度降低數(shù)據(jù)庫性能，耗盡CPU計算資源，嚴重情況下會引發(fā)業(yè)務中斷。以某省運維數(shù)據(jù)為例，一個月數(shù)據(jù)已達3000萬條。如果索引或者查詢語句實施的不恰當，很可能會導致宕機甚至業(yè)務中斷。

自動化數(shù)據(jù)庫安全，實現(xiàn)風險源頭控制

針對5G核心網(wǎng)數(shù)據(jù)的安全風險，中興通訊推出了數(shù)據(jù)庫安全中心（ZDSC，ZTE Database Security Center)，既可用于嵌入研發(fā)過程流水線確保5G核心網(wǎng)產(chǎn)品的數(shù)據(jù)庫應用安全，也可作為安全組件嵌入MEC平臺為垂直行業(yè)客戶的數(shù)據(jù)庫應用開發(fā)提供安全保障。

圖：數(shù)據(jù)庫安全中心ZDSC架構(gòu)

● 統(tǒng)一門戶為開發(fā)者提供統(tǒng)一接入界面和規(guī)則維護，通過儀表板進行安全數(shù)據(jù)分析；

● 規(guī)則分析引擎可從外部導入安全規(guī)則，并依據(jù)數(shù)據(jù)庫所用語言的語法規(guī)則進行分析；

● 安全決策響應模塊根據(jù)分析結(jié)果判斷是否高危操作，并進行提示告警和進一步攔截；

通過數(shù)據(jù)庫安全中心，可以實現(xiàn)：

● 數(shù)據(jù)庫的安全編碼：ZDSC可以對數(shù)據(jù)庫、表設計進行安全審計，檢查其是否符合數(shù)據(jù)庫范式和安全編碼規(guī)范。通過數(shù)據(jù)庫安全編程規(guī)范和最佳安全實踐形成的規(guī)則集，利用專家引擎，可以自動找出數(shù)據(jù)庫編碼中潛在的安全漏洞和質(zhì)量缺陷。該中心可以嵌入CICD流水線，將安全開發(fā)經(jīng)驗以安全檢查規(guī)則形式進行積累匯總，同時還可以集成第三方的安全編碼規(guī)范，使數(shù)據(jù)庫的安全編碼更加簡便快捷。

● 性能掃描分析與優(yōu)化：ZDSC可以對SQL進行靜態(tài)分析和運行時的動態(tài)性能捕捉，快速發(fā)現(xiàn)設計不合理問題和性能瓶頸點，簡化故障定位并實現(xiàn)性能調(diào)優(yōu)，讓數(shù)據(jù)庫開發(fā)者從性能瓶頸中解放出來，更專注于業(yè)務邏輯的涉及。

● 安全檢查與風險識別：ZDSC可以檢查數(shù)據(jù)庫用戶最小授權(quán)、SQL注入防范、異常事務捕獲等數(shù)據(jù)庫安全問題，幫助業(yè)務測試人員和安全滲透測試人員快速定位故障和發(fā)現(xiàn)安全漏洞。

● 數(shù)據(jù)高危操作有效攔截：ZDSC作為5GC內(nèi)生安全的重要保障，以靜默守護的方式部署在數(shù)據(jù)庫訪問，實時監(jiān)控數(shù)據(jù)操作，可根據(jù)預設的安全規(guī)則攔截和阻斷刪庫、刪表等高風險操作，最大限度降低數(shù)據(jù)丟失的損失；ZDSC還提供敏感數(shù)據(jù)防護﹑數(shù)據(jù)脫敏﹑數(shù)據(jù)加秘等重要安全功能。

數(shù)據(jù)庫安全防護，守護核心網(wǎng)價值數(shù)據(jù)

當前5G網(wǎng)絡正將大規(guī)模商用，與垂直行業(yè)的整合也進入快速發(fā)展階段。數(shù)據(jù)作為最重要資產(chǎn)，在5G核心網(wǎng)絡中處于關(guān)鍵位置，在工業(yè)互聯(lián)網(wǎng)等業(yè)務場景中會扮演更加重要的角色。

中興通訊以內(nèi)生安全為指導，其數(shù)據(jù)庫安全中心ZDSC以強大的規(guī)則庫和準確的引擎解析為基礎，實現(xiàn)數(shù)據(jù)安全應用。

該安全中心部署靈活，既可嵌入DevOps流水線中確保5G核心產(chǎn)品數(shù)據(jù)的安全應用，也可作為安全組件部署在邊緣計算環(huán)境，幫助垂直行業(yè)客戶實現(xiàn)數(shù)據(jù)庫安全應用。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。