中興數(shù)據(jù)庫(kù)安全中心，護(hù)航5G核心應(yīng)用

5G數(shù)據(jù)安全

在歐盟網(wǎng)絡(luò)信息安全機(jī)構(gòu)（ENISA，European Union Agency for Cybersecurity）2019年11月發(fā)布的“5G網(wǎng)絡(luò)安全威脅全景圖”報(bào)告中，數(shù)據(jù)被列為可以同時(shí)高度影響機(jī)密性、可用性、完整性的關(guān)鍵要素，在5G安全風(fēng)險(xiǎn)中占據(jù)特殊重要地位。

5G eMBB、mMTC和uRLLC三大應(yīng)用場(chǎng)景都涉及到用戶敏感數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)等關(guān)鍵信息的傳輸、存儲(chǔ)和處理。這些關(guān)鍵數(shù)據(jù)以結(jié)構(gòu)化方式存儲(chǔ)在5G系統(tǒng)尤其是核心網(wǎng)部分中。

5G核心網(wǎng)數(shù)據(jù)體量不斷增大，種類持續(xù)增加，結(jié)構(gòu)日趨復(fù)雜，由此帶來(lái)的數(shù)據(jù)泄露、非授權(quán)分析、用戶個(gè)人信息泄露等安全風(fēng)險(xiǎn)也日益增加。如何確保數(shù)據(jù)安全處理是5G核心網(wǎng)安全中的關(guān)鍵課題。

問(wèn)題與風(fēng)險(xiǎn)

在5G核心網(wǎng)產(chǎn)品的商用運(yùn)營(yíng)中，尤其是垂直行業(yè)場(chǎng)景中邊緣計(jì)算平臺(tái)上的第三方應(yīng)用通常會(huì)遇到以下數(shù)據(jù)庫(kù)方面的安全風(fēng)險(xiǎn)：

● 數(shù)據(jù)庫(kù)種類多，安全審計(jì)復(fù)雜：Oracle、SQL Server等國(guó)外知名數(shù)據(jù)庫(kù)產(chǎn)品和MySQL、Maria DB、PostGreSql等開源產(chǎn)品在業(yè)界都應(yīng)用廣泛；ZTE Golden DB、螞蟻金服OceanBase等國(guó)產(chǎn)數(shù)據(jù)庫(kù)產(chǎn)品也異軍突起。不同數(shù)據(jù)庫(kù)產(chǎn)品特色明顯，數(shù)據(jù)操作往往不能通用，對(duì)這些數(shù)據(jù)操作行為進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全審計(jì)的難度增大。

● 事務(wù)操作復(fù)雜，發(fā)生死鎖幾率高：在復(fù)雜的查詢與更新數(shù)據(jù)庫(kù)的過(guò)程中，經(jīng)常遇到多個(gè)事務(wù)同時(shí)操作并相互等待對(duì)方釋放資源的情況，進(jìn)入死鎖并造成數(shù)據(jù)庫(kù)業(yè)務(wù)異常。

● 高危操作控制難，數(shù)據(jù)丟失風(fēng)險(xiǎn)大：5G核心產(chǎn)品發(fā)生數(shù)據(jù)泄露，會(huì)導(dǎo)致用戶個(gè)人關(guān)鍵信息丟失，并影響運(yùn)營(yíng)商聲譽(yù)；垂直行業(yè)數(shù)據(jù)往往涉及關(guān)鍵行業(yè)的生產(chǎn)數(shù)據(jù)，該類數(shù)據(jù)一旦丟失，會(huì)給企業(yè)帶來(lái)了重大損失。

● 數(shù)據(jù)規(guī)模大，性能降低明顯：當(dāng)數(shù)據(jù)量達(dá)到一定規(guī)模后，并發(fā)查詢會(huì)大幅度降低數(shù)據(jù)庫(kù)性能，耗盡CPU計(jì)算資源，嚴(yán)重情況下會(huì)引發(fā)業(yè)務(wù)中斷。以某省運(yùn)維數(shù)據(jù)為例，一個(gè)月數(shù)據(jù)已達(dá)3000萬(wàn)條。如果索引或者查詢語(yǔ)句實(shí)施的不恰當(dāng)，很可能會(huì)導(dǎo)致宕機(jī)甚至業(yè)務(wù)中斷。

自動(dòng)化數(shù)據(jù)庫(kù)安全，實(shí)現(xiàn)風(fēng)險(xiǎn)源頭控制

針對(duì)5G核心網(wǎng)數(shù)據(jù)的安全風(fēng)險(xiǎn)，中興通訊推出了數(shù)據(jù)庫(kù)安全中心（ZDSC，ZTE Database Security Center)，既可用于嵌入研發(fā)過(guò)程流水線確保5G核心網(wǎng)產(chǎn)品的數(shù)據(jù)庫(kù)應(yīng)用安全，也可作為安全組件嵌入MEC平臺(tái)為垂直行業(yè)客戶的數(shù)據(jù)庫(kù)應(yīng)用開發(fā)提供安全保障。

圖：數(shù)據(jù)庫(kù)安全中心ZDSC架構(gòu)

● 統(tǒng)一門戶為開發(fā)者提供統(tǒng)一接入界面和規(guī)則維護(hù)，通過(guò)儀表板進(jìn)行安全數(shù)據(jù)分析；

● 規(guī)則分析引擎可從外部導(dǎo)入安全規(guī)則，并依據(jù)數(shù)據(jù)庫(kù)所用語(yǔ)言的語(yǔ)法規(guī)則進(jìn)行分析；

● 安全決策響應(yīng)模塊根據(jù)分析結(jié)果判斷是否高危操作，并進(jìn)行提示告警和進(jìn)一步攔截；

通過(guò)數(shù)據(jù)庫(kù)安全中心，可以實(shí)現(xiàn)：

● 數(shù)據(jù)庫(kù)的安全編碼：ZDSC可以對(duì)數(shù)據(jù)庫(kù)、表設(shè)計(jì)進(jìn)行安全審計(jì)，檢查其是否符合數(shù)據(jù)庫(kù)范式和安全編碼規(guī)范。通過(guò)數(shù)據(jù)庫(kù)安全編程規(guī)范和最佳安全實(shí)踐形成的規(guī)則集，利用專家引擎，可以自動(dòng)找出數(shù)據(jù)庫(kù)編碼中潛在的安全漏洞和質(zhì)量缺陷。該中心可以嵌入CICD流水線，將安全開發(fā)經(jīng)驗(yàn)以安全檢查規(guī)則形式進(jìn)行積累匯總，同時(shí)還可以集成第三方的安全編碼規(guī)范，使數(shù)據(jù)庫(kù)的安全編碼更加簡(jiǎn)便快捷。

● 性能掃描分析與優(yōu)化：ZDSC可以對(duì)SQL進(jìn)行靜態(tài)分析和運(yùn)行時(shí)的動(dòng)態(tài)性能捕捉，快速發(fā)現(xiàn)設(shè)計(jì)不合理問(wèn)題和性能瓶頸點(diǎn)，簡(jiǎn)化故障定位并實(shí)現(xiàn)性能調(diào)優(yōu)，讓數(shù)據(jù)庫(kù)開發(fā)者從性能瓶頸中解放出來(lái)，更專注于業(yè)務(wù)邏輯的涉及。

● 安全檢查與風(fēng)險(xiǎn)識(shí)別：ZDSC可以檢查數(shù)據(jù)庫(kù)用戶最小授權(quán)、SQL注入防范、異常事務(wù)捕獲等數(shù)據(jù)庫(kù)安全問(wèn)題，幫助業(yè)務(wù)測(cè)試人員和安全滲透測(cè)試人員快速定位故障和發(fā)現(xiàn)安全漏洞。

● 數(shù)據(jù)高危操作有效攔截：ZDSC作為5GC內(nèi)生安全的重要保障，以靜默守護(hù)的方式部署在數(shù)據(jù)庫(kù)訪問(wèn)，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)操作，可根據(jù)預(yù)設(shè)的安全規(guī)則攔截和阻斷刪庫(kù)、刪表等高風(fēng)險(xiǎn)操作，最大限度降低數(shù)據(jù)丟失的損失；ZDSC還提供敏感數(shù)據(jù)防護(hù)﹑數(shù)據(jù)脫敏﹑數(shù)據(jù)加秘等重要安全功能。

數(shù)據(jù)庫(kù)安全防護(hù)，守護(hù)核心網(wǎng)價(jià)值數(shù)據(jù)

當(dāng)前5G網(wǎng)絡(luò)正將大規(guī)模商用，與垂直行業(yè)的整合也進(jìn)入快速發(fā)展階段。數(shù)據(jù)作為最重要資產(chǎn)，在5G核心網(wǎng)絡(luò)中處于關(guān)鍵位置，在工業(yè)互聯(lián)網(wǎng)等業(yè)務(wù)場(chǎng)景中會(huì)扮演更加重要的角色。

中興通訊以內(nèi)生安全為指導(dǎo)，其數(shù)據(jù)庫(kù)安全中心ZDSC以強(qiáng)大的規(guī)則庫(kù)和準(zhǔn)確的引擎解析為基礎(chǔ)，實(shí)現(xiàn)數(shù)據(jù)安全應(yīng)用。

該安全中心部署靈活，既可嵌入DevOps流水線中確保5G核心產(chǎn)品數(shù)據(jù)的安全應(yīng)用，也可作為安全組件部署在邊緣計(jì)算環(huán)境，幫助垂直行業(yè)客戶實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全應(yīng)用。