中安威士助力拍拍貸解決違規(guī)訪問(wèn)

1、背景介紹與需求

信息安全防線的建設(shè)一直是拍拍貸信息部的密切關(guān)注點(diǎn)，現(xiàn)階段IT中心已經(jīng)部署了堡壘機(jī)產(chǎn)品，但是在數(shù)據(jù)安全特別是數(shù)據(jù)庫(kù)安全方面，還存在以下問(wèn)題：

l  高權(quán)限運(yùn)維人員有機(jī)會(huì)利用數(shù)據(jù)庫(kù)存在的漏洞或者自身?yè)碛械母邫?quán)限，發(fā)起SQL注入攻擊，直接獲取數(shù)據(jù)庫(kù)系統(tǒng)中的敏感信息；

l  互聯(lián)網(wǎng)金融公司面對(duì)黑客攻擊、外部SQL注入攻擊等行為并無(wú)有力技術(shù)手段；

l  拍拍貸作為互聯(lián)網(wǎng)金融的標(biāo)桿企業(yè)，其數(shù)據(jù)庫(kù)系統(tǒng)在合規(guī)性方面需要滿足國(guó)家法律和監(jiān)管機(jī)構(gòu)的規(guī)定和要求。

因此，拍拍貸希望在保證業(yè)務(wù)健康平穩(wěn)運(yùn)行和滿足合規(guī)性的基礎(chǔ)上，通過(guò)統(tǒng)一的數(shù)據(jù)庫(kù)審計(jì)平臺(tái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)運(yùn)維人員的審計(jì)和管理，有效防止SQL注入攻擊。

2、技術(shù)方案

在拍拍貸數(shù)據(jù)中心旁路部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，在不影響業(yè)務(wù)流量和堡壘機(jī)正常運(yùn)行的基礎(chǔ)上，啟用內(nèi)置的SQL注入規(guī)則匹配，針對(duì)內(nèi)部運(yùn)維人員及外部發(fā)起的SQL注入等違規(guī)訪問(wèn)，進(jìn)行及時(shí)告警和處理。網(wǎng)絡(luò)拓?fù)鋱D如下：

3、客戶價(jià)值

通過(guò)上述的解決方案能夠有效解決拍拍貸所面臨的數(shù)據(jù)安全問(wèn)題，保障拍拍貸核心生產(chǎn)數(shù)據(jù)系統(tǒng)的安全。具體來(lái)說(shuō)，帶給拍拍貸如下價(jià)值：

簡(jiǎn)化業(yè)務(wù)治理，提高數(shù)據(jù)安全管理能力；

防止內(nèi)部運(yùn)維人員SQL注入攻擊，維護(hù)企業(yè)的公信力；

滿足合規(guī)要求，快速通過(guò)評(píng)測(cè)。