最新《財(cái)富》世界500強(qiáng)排行榜出爐，其中保險(xiǎn)占51家，成為上榜企業(yè)最多的行業(yè)。

近年來，越來越多保險(xiǎn)機(jī)構(gòu)提出數(shù)字化轉(zhuǎn)型發(fā)展戰(zhàn)略，尋求以數(shù)字科技賦能保險(xiǎn)業(yè)高質(zhì)量發(fā)展。此背景下，保險(xiǎn)公司再持續(xù)挖掘客戶需求、優(yōu)化客戶體驗(yàn)的過程中積累了海量豐富的數(shù)據(jù)資產(chǎn)，并嘗試從最大化數(shù)據(jù)價(jià)值中尋找新的業(yè)務(wù)突破和盈利點(diǎn)。其中，數(shù)據(jù)安全成為牽引數(shù)字經(jīng)濟(jì)發(fā)展的生命線。本文將分享云集至協(xié)同某保險(xiǎn)集團(tuán)企業(yè)開展數(shù)據(jù)安全建設(shè)的一個(gè)典型產(chǎn)品實(shí)踐案例。

作為一家綜合性保險(xiǎn)集團(tuán)，xx保險(xiǎn)在數(shù)字化進(jìn)程中保持著以體驗(yàn)為核心、以數(shù)據(jù)為基礎(chǔ)、以技術(shù)為驅(qū)動(dòng)的新保險(xiǎn)業(yè)態(tài)。通過對(duì)集團(tuán)數(shù)據(jù)安全現(xiàn)狀的梳理發(fā)現(xiàn)：

（1）日均數(shù)十億SQL吞吐。集團(tuán)擁有財(cái)產(chǎn)險(xiǎn)、人壽險(xiǎn)、集團(tuán)險(xiǎn)等十幾種業(yè)務(wù)種類，每天有數(shù)十億條的SQL吞吐量，針對(duì)安全事件行為日志、結(jié)果集等無法正常檢索；

（2）安全排查耗時(shí)過長。海量風(fēng)險(xiǎn)告警，導(dǎo)致安全排查工作耗時(shí)長，且無法實(shí)現(xiàn)有效關(guān)聯(lián)；

（3）缺乏數(shù)據(jù)分析能力。未能建立分析模型，盡管擁有海量日志，卻無法通過分析產(chǎn)生價(jià)值，這要求數(shù)據(jù)庫審計(jì)具有強(qiáng)大的檢索能力、智能關(guān)聯(lián)能力，讓數(shù)據(jù)安全、使用雙管齊下；

（4）審計(jì)需求無法滿足。傳統(tǒng)的數(shù)據(jù)庫審計(jì)僅支持關(guān)系型數(shù)據(jù)庫，并注重上行流量審計(jì)，關(guān)注用戶做什么，怎么做?，F(xiàn)有業(yè)務(wù)環(huán)境不僅使用關(guān)系型數(shù)據(jù)庫，同時(shí)擁有大數(shù)據(jù)非結(jié)構(gòu)化數(shù)據(jù)庫，所以必須依靠新型數(shù)據(jù)庫審計(jì)系統(tǒng)來替代傳統(tǒng)的數(shù)據(jù)庫審計(jì)系統(tǒng)，從而解決復(fù)雜環(huán)境和業(yè)務(wù)場景關(guān)聯(lián)的有效審計(jì)。

解決上述需求和問題，引入專業(yè)成熟的數(shù)據(jù)庫審計(jì)是最優(yōu)解。我們在之前的文章里做過探討，再小的客戶也敢用它作為敲門磚，縱使其他防護(hù)手段都不考慮，也要出了事有交代、可追查；大客戶則將數(shù)據(jù)庫審計(jì)看做試金石，數(shù)審都做不好的廠商，其他防護(hù)類產(chǎn)品用戶也將沒有心情考察；超大用戶則將數(shù)據(jù)庫審計(jì)看做殺手锏，它既可以作為風(fēng)險(xiǎn)監(jiān)控、態(tài)勢感知的預(yù)警機(jī)，也可以作為事件溯源、追責(zé)免責(zé)的不二利器。云集至數(shù)據(jù)庫審計(jì)產(chǎn)品針對(duì)上述保險(xiǎn)集團(tuán)現(xiàn)狀和需求，與客戶一起應(yīng)對(duì)需求，收獲客戶價(jià)值：

1、解決安全事件排查

常規(guī)產(chǎn)品：通用數(shù)據(jù)庫審計(jì)系統(tǒng)一般使用傳統(tǒng)關(guān)系型數(shù)據(jù)庫存儲(chǔ)、audit引擎進(jìn)行分析檢索，這就使得海量數(shù)據(jù)檢索難、安全事件排查工作耗時(shí)長。

我們的能力表現(xiàn)：高效處理（快）

云集數(shù)據(jù)庫審計(jì)系統(tǒng)，采用大數(shù)據(jù)聯(lián)機(jī)分析系統(tǒng)(OLAP)進(jìn)行數(shù)據(jù)存儲(chǔ)；使用自研的數(shù)據(jù)組織管理系統(tǒng)（DCMS）；使用日志查詢預(yù)測技術(shù)，預(yù)先加載部分日志，加速查詢過程。結(jié)合歸一化、模板化、高效后臺(tái)存儲(chǔ)技術(shù)以及深入優(yōu)化技術(shù)實(shí)現(xiàn)審計(jì)系統(tǒng)的極致性能，同時(shí)提升數(shù)據(jù)入庫的處理性能和數(shù)據(jù)出庫的檢索性能，實(shí)現(xiàn)千億級(jí)日志規(guī)模下查詢秒級(jí)返回的高性能處理，幫助保險(xiǎn)客戶解決海量日志檢索難的問題，同時(shí)快速溯源安全事件相關(guān)信息，讓安全事件排查工作不再是難題。

2、解決數(shù)據(jù)分析難題

常規(guī)產(chǎn)品：通用數(shù)據(jù)庫審計(jì)產(chǎn)品對(duì)sql進(jìn)行解析并返回sql操作內(nèi)容，無深入剖析并關(guān)聯(lián)業(yè)務(wù)信息進(jìn)行有效解析。

我們的能力表現(xiàn)：精準(zhǔn)識(shí)別（準(zhǔn)）

云集數(shù)據(jù)庫審計(jì)系統(tǒng)，采用雙向?qū)徲?jì)、SQL詞法分析、嵌套語句/長語句深度解析、數(shù)據(jù)包重組、綁定變量交叉關(guān)聯(lián)、應(yīng)用關(guān)聯(lián)等技術(shù)，實(shí)現(xiàn)數(shù)據(jù)庫協(xié)議與復(fù)雜語句的100%精準(zhǔn)識(shí)別和解析。通過對(duì)雙向數(shù)據(jù)包的解析、識(shí)別及還原，做到對(duì)數(shù)據(jù)庫操作請求實(shí)時(shí)審計(jì)，可對(duì)數(shù)據(jù)庫系統(tǒng)返回結(jié)果進(jìn)行完整的還原和審計(jì)，徹底避免 “誤審”、“漏審”等問題發(fā)生，幫助客戶精準(zhǔn)監(jiān)測所有異常操作行為，第一時(shí)間向客戶發(fā)出告警消息。

3、建立有效行為基線

常規(guī)產(chǎn)品：通用數(shù)據(jù)庫審計(jì)產(chǎn)品對(duì)數(shù)據(jù)庫操作行為進(jìn)行一段時(shí)間的學(xué)習(xí)，形成一個(gè)基線，維度單一，無多維度深入分析，對(duì)每一個(gè)人形成獨(dú)立的用戶安全畫像，從而無法形成有效的行為基線。

我們的能力表現(xiàn)：機(jī)器學(xué)習(xí)（智）

云集數(shù)據(jù)庫審計(jì)系統(tǒng)，業(yè)內(nèi)率先在數(shù)據(jù)庫審計(jì)與分析系統(tǒng)中采取智能機(jī)器學(xué)習(xí)、用戶實(shí)體行為分析（UEBA）和基線告警技術(shù)，通過1%的人工介入和99%的智能學(xué)習(xí)，設(shè)立用戶來源基線、數(shù)據(jù)表操作基線、SQL操作摘要基線等基線，并智能分析和發(fā)現(xiàn)用戶異常行為，讓數(shù)據(jù)庫審計(jì)與分析系統(tǒng)真正“智能”起來，解放人力使用成本，同時(shí)通過多個(gè)維度形成用戶安全畫像，從源頭規(guī)避安全隱患。

4、高效溯源取證

常規(guī)產(chǎn)品：通用數(shù)據(jù)庫審計(jì)產(chǎn)品對(duì)數(shù)據(jù)庫操作行為記錄，存入日志行為中，溯源檢索無法有效還原操作畫像，故溯源取證難！

我們的能力表現(xiàn)：語句回放（錄）

云集數(shù)據(jù)庫審計(jì)系統(tǒng)在傳統(tǒng)的SQL語句七元組內(nèi)容審計(jì)基礎(chǔ)之上，首創(chuàng)SQL語句操作視頻回放技術(shù)，1：1完整還原整體操作過程，身臨其境般展現(xiàn)“作案過程”和“作案現(xiàn)場”，實(shí)現(xiàn)數(shù)據(jù)庫安全問題的有效分析和快速追蹤，幫助客戶高效溯源取證。

總結(jié)：通過部署云集數(shù)據(jù)庫審計(jì)系統(tǒng)，實(shí)現(xiàn)了在xx保險(xiǎn)集團(tuán)相關(guān)業(yè)務(wù)場景下千億級(jí)數(shù)據(jù)量中行云流水的審計(jì)響應(yīng)。不僅可以做到面向所有人員對(duì)數(shù)據(jù)庫操作、訪問及命令的全面監(jiān)測審計(jì)，加強(qiáng)對(duì)數(shù)據(jù)庫臨時(shí)賬戶與高權(quán)限賬戶的審計(jì)監(jiān)測審計(jì)，加強(qiáng)針對(duì)重要數(shù)據(jù)的訪問審計(jì)監(jiān)測，并提供豐富的報(bào)表統(tǒng)計(jì)，還有效解決了海量SQL行為無法正常檢索；安全事件排查工作耗時(shí)長；風(fēng)險(xiǎn)告警無法關(guān)聯(lián)等業(yè)務(wù)痛點(diǎn)問題,幫助集團(tuán)在規(guī)避數(shù)據(jù)風(fēng)險(xiǎn)的前提下，最大化利用各類數(shù)據(jù)(如交易數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等)和外部公司的共享數(shù)據(jù)，從而通過數(shù)據(jù)價(jià)值的釋放提升保險(xiǎn)企業(yè)生產(chǎn)經(jīng)營效率。

猜想數(shù)審的未來或成為數(shù)據(jù)安全的神經(jīng)網(wǎng)絡(luò)觸點(diǎn)

技術(shù)的發(fā)展是無止境的，對(duì)安全的需求也沒有盡頭。只要威脅在演變，技術(shù)在革新，防御手段就需不斷進(jìn)化以至平衡。近年越來越多的用戶已經(jīng)不僅僅滿足對(duì)執(zhí)行操作的精準(zhǔn)審計(jì)，還要對(duì)結(jié)果集的數(shù)據(jù)進(jìn)行保存用于日后取證追溯......

聽聞某銀行單一業(yè)務(wù)系統(tǒng)的日志吞吐量已達(dá)30萬/秒量級(jí)......

又聽說某保險(xiǎn)公司的數(shù)據(jù)庫數(shù)量已突破3000個(gè)......

還耳聞某些高端場景的數(shù)審分析能力要求是千億級(jí)日志，分鐘內(nèi)響應(yīng).....

我們大膽猜測，不久之后，第四代數(shù)據(jù)庫審計(jì)產(chǎn)品，除自身要具備高智能、高性能的氣質(zhì)之外，還可能成為數(shù)據(jù)安全集中管控和安全大數(shù)據(jù)分析的神經(jīng)網(wǎng)絡(luò)觸點(diǎn)，所有安全防護(hù)核心能力交由平臺(tái)型產(chǎn)品進(jìn)行統(tǒng)一調(diào)度、防御和分析，而數(shù)據(jù)庫審計(jì)作為數(shù)據(jù)和行為的采集端，形成“樹”和“根”的強(qiáng)關(guān)聯(lián)結(jié)構(gòu)。

此時(shí)審計(jì)將不再是獨(dú)立系統(tǒng)，不再獨(dú)立工作，而是為平臺(tái)提供數(shù)據(jù)的輸入。這樣更能與KAFkA、FLUME、ELK等先進(jìn)的大數(shù)據(jù)分析和流式處理等分析技術(shù)結(jié)合，真正解決超大數(shù)據(jù)規(guī)模的日志利用問題，這可能也是未來的數(shù)據(jù)安全的發(fā)展方向之一，我們拭目以待。隨著用戶需求提升，也祝愿數(shù)據(jù)安全愛好者們能不斷打破邊界，大踏步朝技術(shù)更深處走去。