安华金和-电信行业解决方案--CRM系统客户信息保密

CRM系统客户信息保密解决方案北京安华金和科技有限公司www.schina.cn1CRM系统客户信息保密解决方案1.背景在以“客户信息为中心”的CRM系统中，存储着大量重要客户资料，如客户的姓名、电话账户、余额、资费套餐等，都是电信运营商最重要的核心业务数据。为保护这些“数字资产”不被泄露，运营商们花费了很大代价，购买并实施了包括防火墙、入侵检测系统、异常流量检测与过滤、集中管控等在内的大量信息安全产品,在边界防护上构筑了一道固若金汤的安全防护“铁闸”。然而，在近几年电信运营商数据泄密事件仍频频发生，除造成直接的经济损失外，这些泄密事件带来的损失还包括：被泄密客户诉讼、被客户/潜在客户抛弃、品牌受损失、促进竞争对手的成长。程序员程稚瀚四次侵入北京移动充值中心数据库盗取充值卡密码，获利达300多万元。2003年，广东联通7名人员利用内部工号和密码对欠费停机手机进行充值，使联通损失260万元。今年，3.15晚会曝光了移动、联通及原中国网通三大电信运营商的3个“内鬼”多次向“私家侦探”泄露客户信息、通话记录、手机定位信息共获利300万元，其犯罪手段就是通过应用数据库用户口令获取操作员的工号和口令，再通过业务系统导出各种信息,目前，3人均已获刑。„„2.CRM系统客户隐私保密需求分析目前，各大运营商围绕着网络防护、主机防护和应用防护展开了一些列的安全建设，已建立起相对安全的数据应用环境，但由于技术局限和相关安全产品匮乏等原因，数据库安全建设一直未能得到有效开展。因此，在CRM系统中，至少存在以下数据库安全漏洞，能够导致客户隐私信息泄密的发生：1）应用系统引起的敏感数据泄密目前CRM系统是一个统一的应用系统，集中了业务受理、投诉申告、故障受理、欠费催缴管理、流失管理、信用度管理、大客户分析、业务分析、收益分析等核心业务模块，同时CRM系统客户信息保密解决方案北京安华金和科技有限公司www.schina.cn2为计费、BOSS等核心系统进行数据支撑，这些模块和系统共用同一个数据库用户。这种方案存在两个问题：（1）绕开应用系统直接访问数据库中的敏感数据：在电信系统内，为便于开发和维护系统，服务外包人员、开发人员往往掌握着应用系统使用的数据库账户，可轻易的接触到数据库中重要客户资料，一旦外泄将导致客户隐私的泄密；（2）无法进行有效授权：由于不同模块/系统公用同一数据库用户访问数据，无法有效的限定数据库用户的访问能力，特别是统计分析业务和精确查询的区别管理。2）数据库高权限人员的泄密风险DBA等系统维护人员的权限过高，可以访问所有敏感数据。SYS等超级用户、DBA用户，具备了访问所有数据的权限；从而使毫无业务需要的DBA等维护人员能够访问所有敏感数据，具备窥视数据的最佳途径。3）明文存储引起的泄密风险由于数据库中的数据是以明文的形式存储在数据库中，从网络中的文件处理层将数据库文件拷贝走，可以获得所有客户隐私信息。存储设备丢失、维修，数据文件被窃取都会引起的批量敏感信息泄露。3.DBCoffer解决方案1）方案简介本方案基于数据库保险箱系统（简称DBCoffer），设计实现了应用层、数据库维护层和存储层的全方位客户信息保密解决方案。数据库保险箱系统(简称DBCoffer)已成功应用于政府、医疗和军队等领域，该产品将对数据库系统进行有效地安全加固，完全可以弥补当前CRM系统的数据库安全“短板”。DBCoffer的核心价值在于，可对最常见的数据库信息泄密威胁，提供安全有效的防护手段：1）明文存储引起的数据泄密目前已有很多类似于Dul、MyDul的成熟免费软件，可对Oracle数据文件直接分析，输出清晰的、结构化的数据。有效解决CRM系统中数据的存储保密问题DBCoffer通过数据存储加密功能，从根本上保证数据安全，即使反向解析数据文件CRM系统客户信息保密解决方案北京安华金和科技有限公司www.schina.cn3仍是乱码。2）外部非法入侵窃取敏感数据Oracle安全漏洞已达1000多种，且在持续暴露，一旦被攻击者利用，很容易窃取到敏感数据。帮助CRM系统抵御外部非法攻击，避免敏感数据泄露DBCoffer通过增强的用户口令校验强度，独立的密文权控体系，即使Oracle权控体系被突破，也无法访问到敏感数据。3）内部高权限用户进行数据窃取局限于Oracle数据库的设计，DBA等高权限用户天然具备访问所有数据的权限。实现CRM系统中数据库超级权限的三权分立、权责分明三权分立，DBCoffer增设了安全管理员(DSA)，DBA在未经DSA授权时只有密文数据的维护管理能力，没有查看和修改能力；DBCoffer同时增设审计管理员(DSA)，对DSA的密文授权行为和数据库用户密文访问行为进行审计和分析。4）利用合法用户的身份，进行违规数据访问对于具备密文访问权限的合法Oracle用户，可能由于人为因素或管理不善，将用户名及口令泄露给第三方，第三方则可以通过命令行或管理工具等直接访问密文数据，批量窃取数据。将CRM系统中数据库合法用户与自身绑定、提供事后审计DBCoffer具备真正应用安全能力，可以保证用户和应用系统绑定，同一用户只能通过指定的应用系统访问密文数据，使用命令行等其他方式则无法访问密文数据；DBCoffer具有敏感数据访问的审计功能，能对密文的访问行为进行事后的追踪和分析。1）方案介绍综合分析上述的安全威胁与防范措施，以“保护客户隐私信息”为目标，以“最小代价换取安全提升”的原则，定义出该系统的核心敏感数据，并提出基于安华金和数据库保险箱(DBCoffer)产品的数据保密方案：CRM系统客户信息保密解决方案北京安华金和科技有限公司www.schina.cn4安全服务(主)存储网络策略中心计费系统BSSOSS安全服务(从)同步信号接触中心RAC+安全代理CRM系统图基于DBCoffer的CRM系统数据防护部署图在本方案中，通过DBCoffer将CRM系统中的客户姓名、电话、证件号码、地址、资费套餐等核心信息定义为敏感信息，将这些信息加密存储在数据库中；同时通过DBCoffer的密文权限控制体系，限制DBA、服务外包人员、第三方开发人员对敏感数据的访问权限，使其只能维护数据而无法访问敏感数据，远离了泄密和被篡改的危险；仅将敏感数据的访问能力开放给CRM系统应用，同时区别精确匹配业务和统计分析业务模块，对前者仅授予返回单条记录的权限、后者授权返回整个结果集的权限；对这些敏感数据的访问，建立审计记录；同时，开启数据传输加密，有效保障数据传输的保密性和完整性。至此我们形成一套完备的CRM系统在存储层、传输层和应用层的全方位客户隐私信息保密解决方案：A、敏感数据加密存储和传输对系统中最核心的客户姓名、电话、证件号码、资费套餐等信息进行存储加密和传输加密，保证备份、存储设备丢失或者传输被捕获也不会引起关键信息泄漏。B、敏感数据访问权限控制与审计通过独立于Oracle数据库之外的密文权限控制体系，使与业务本身无关的DBA、外包CRM系统客户信息保密解决方案北京安华金和科技有限公司www.schina.cn5人员、维护人员不能访问明文的敏感信息，也无从引起企业敏感信息的泄密。同时开启安全审计功能，对敏感信息的访问进行记录，便于对异常访问行为进行事后追踪分析。C、应用层防护增强将数据库维护用户与应用系统访问数据库用户分离，并将CRM系统访问数据库敏感信息的用户与业务系统自身绑定，拒绝使用该用户绕过业务系统的任何访问行为，从而实现防止合法用户违规访问的防护目标。4.DBCoffer解决方案的价值使客户隐私信息保护更为安全，提升企业形象在以“客户信息为中心”的CRM系统中，存储着大量客户隐私资料，如客户的姓名、电话、证件号码等，都是CRM系统中重要敏感数据、核心“数字财产”。网络防护、主机防护等仅仅是完成了边界安全的目标，而DBCoffer通过存储层、数据访问层以及应用层的数据防护完成了客户隐私保密任务的“关键的最后一公里”，保障了客户隐私信息的全程使用安全，提升客户对电信运营商的信赖。满足行业相关安全法律法规满足电信领域数据加密相关安全管理规范；满足国家宪法第38条和40条，对通讯领域中的隐私信息保密要求；满足刑法第252条规定，条款涉及到手机邮件、短信、彩信等业务；满足《民法通则》第106条规定；满足《全国人大常委会关于维护互联网安全的决定》。5.DBCoffer产品简介1）产品特点透明数据加密DBCoffer支持国际先进的密码算法，以及我国的密码管理机构认定的加密算法。对数据库的指定列进行加密，保证敏感数据在存储层为密文存储，防止数据库数据以明文形式暴露，以实现存储层的安全加固。透明的数据加密有两层含义，一是对应用系统透明，即用户或开发商不需要对应用系统CRM系统客户信息保密解决方案北京安华金和科技有限公司www.schina.cn6进行任何改动；二是对有密文访问权限合法用户看到的是明文数据，该过程对用户完全透明。增强访问控制DBCoffer增设数据安全管理员（DataSecurityAdministrator，DSA）。DBA和DSA完全独立，共同实现对敏感字段的强存取控制，实现真正的责权一致。DBA实现对普通字段的一般性访问权限控制，DSA实现对敏感字段的密文访问权限控制和加解密处理。该功能是对Oracle访问控制能力的加固，防止了特权用户对敏感数据的非法访问。敏感数据审计DBCoffer增设安全审计管理员（DataAuditAdministrator，DAA），提供对数据库中敏感数据的访问进行审计追踪。传统的审计技术，由于审计的信息量大，审计功能的开启，将对性能造成极大的影响；而DBCoffer中仅针对敏感数据进行审计，极大降低了审计的负载，从而有效保证了在开启审计功能时的数据库性能。真正应用安全DBCoffer应用绑定功能可以实现对Oracle用户与应用的捆绑。现在的应用软件对Oracle数据库访问的用户名和密码，保护措施都较弱，或出于管理的角度，需要对部分用户公开。虽然应用本身进行了有效的权限设定，但可以通过应用访问的数据库用户名和密码访问敏感数据。通过DBCoffer应用绑定功能，防止通过命令行、管理工具等其他方式使用应用的数据库用户名和密码访问敏感数据。高效数据检索DBCoffer进行安全增强后，依然能够对加密数据进行索引查询，从而保持Oracle数据库的高效访问能力。DBCoffer通过专利的、高度安全的加密索引技术，突破了传统技术对加密列不能使用索引的限制；在保证索引数据的高度安全基础上，提供了对已加密数据为检索条件的索引查询；在加密列上进行的等于、大于、小于和Like操作依然可以使用索引。高可用性支撑DBCoffer通过与Oracle的数据集成存储、RAC支持、双机热备、自动透明故障切换、应急模式、快速数据恢复等技术，使DBCoffer提供与Oracle相当的高可用支持和异常故障CRM系统客户信息保密解决方案北京安华金和科技有限公司www.schina.cn7处理能力。简单、易用、灵活DBCoffer产品稳定可靠，产品化程度高，图形化管理界面，简单易用。系统安装、部署在半小时内可以完成，安全加固实施（数据加密防护）一般可在一天内完成。DBCoffer具备快速、准确地整体拆除能力，并且在线还原期间可以保正应用系统正常运行。2）技术指标数据加密1)以列为单位进行数据加密，加密列的数据在Oracle中以密文形式存储；2)支持选定记录的部分数据加密；3)支持字段完全加密和前缀明文两种方式的加密；4)支持对各种常用数据类型加密：CHAR，VARCHAR，VARCHAR2，RAW，LOB，NUMBER，DATE；5)可以对加密列指定加密设备、算法、盐值类型等加密策略；6)支持对加密策略进行变更；7)支持密文水印，防止数据记录级的行间篡改。透明访问透明访问包含以下几个层面的需求：1）SQL语句透明：SELECT、UPDATE、INSERT、DELETE四种SQL语句进行操作，应用程序不用作修改即可拥有安全特性。2）存储程序透