中興數(shù)據(jù)庫安全中心，護(hù)航5G核心應(yīng)用

5G數(shù)據(jù)安全

在歐盟網(wǎng)絡(luò)信息安全機(jī)構(gòu)（ENISA，European Union Agency for Cybersecurity）2019年11月發(fā)布的“5G網(wǎng)絡(luò)安全威脅全景圖”報告中，數(shù)據(jù)被列為可以同時高度影響機(jī)密性、可用性、完整性的關(guān)鍵要素，在5G安全風(fēng)險中占據(jù)特殊重要地位。

5G eMBB、mMTC和uRLLC三大應(yīng)用場景都涉及到用戶敏感數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)等關(guān)鍵信息的傳輸、存儲和處理。這些關(guān)鍵數(shù)據(jù)以結(jié)構(gòu)化方式存儲在5G系統(tǒng)尤其是核心網(wǎng)部分中。

5G核心網(wǎng)數(shù)據(jù)體量不斷增大，種類持續(xù)增加，結(jié)構(gòu)日趨復(fù)雜，由此帶來的數(shù)據(jù)泄露、非授權(quán)分析、用戶個人信息泄露等安全風(fēng)險也日益增加。如何確保數(shù)據(jù)安全處理是5G核心網(wǎng)安全中的關(guān)鍵課題。

問題與風(fēng)險

在5G核心網(wǎng)產(chǎn)品的商用運營中，尤其是垂直行業(yè)場景中邊緣計算平臺上的第三方應(yīng)用通常會遇到以下數(shù)據(jù)庫方面的安全風(fēng)險：

● 數(shù)據(jù)庫種類多，安全審計復(fù)雜：Oracle、SQL Server等國外知名數(shù)據(jù)庫產(chǎn)品和MySQL、Maria DB、PostGreSql等開源產(chǎn)品在業(yè)界都應(yīng)用廣泛；ZTE Golden DB、螞蟻金服OceanBase等國產(chǎn)數(shù)據(jù)庫產(chǎn)品也異軍突起。不同數(shù)據(jù)庫產(chǎn)品特色明顯，數(shù)據(jù)操作往往不能通用，對這些數(shù)據(jù)操作行為進(jìn)行風(fēng)險評估和安全審計的難度增大。

● 事務(wù)操作復(fù)雜，發(fā)生死鎖幾率高：在復(fù)雜的查詢與更新數(shù)據(jù)庫的過程中，經(jīng)常遇到多個事務(wù)同時操作并相互等待對方釋放資源的情況，進(jìn)入死鎖并造成數(shù)據(jù)庫業(yè)務(wù)異常。

● 高危操作控制難，數(shù)據(jù)丟失風(fēng)險大：5G核心產(chǎn)品發(fā)生數(shù)據(jù)泄露，會導(dǎo)致用戶個人關(guān)鍵信息丟失，并影響運營商聲譽；垂直行業(yè)數(shù)據(jù)往往涉及關(guān)鍵行業(yè)的生產(chǎn)數(shù)據(jù)，該類數(shù)據(jù)一旦丟失，會給企業(yè)帶來了重大損失。

● 數(shù)據(jù)規(guī)模大，性能降低明顯：當(dāng)數(shù)據(jù)量達(dá)到一定規(guī)模后，并發(fā)查詢會大幅度降低數(shù)據(jù)庫性能，耗盡CPU計算資源，嚴(yán)重情況下會引發(fā)業(yè)務(wù)中斷。以某省運維數(shù)據(jù)為例，一個月數(shù)據(jù)已達(dá)3000萬條。如果索引或者查詢語句實施的不恰當(dāng)，很可能會導(dǎo)致宕機(jī)甚至業(yè)務(wù)中斷。

自動化數(shù)據(jù)庫安全，實現(xiàn)風(fēng)險源頭控制

針對5G核心網(wǎng)數(shù)據(jù)的安全風(fēng)險，中興通訊推出了數(shù)據(jù)庫安全中心（ZDSC，ZTE Database Security Center)，既可用于嵌入研發(fā)過程流水線確保5G核心網(wǎng)產(chǎn)品的數(shù)據(jù)庫應(yīng)用安全，也可作為安全組件嵌入MEC平臺為垂直行業(yè)客戶的數(shù)據(jù)庫應(yīng)用開發(fā)提供安全保障。

圖：數(shù)據(jù)庫安全中心ZDSC架構(gòu)

● 統(tǒng)一門戶為開發(fā)者提供統(tǒng)一接入界面和規(guī)則維護(hù)，通過儀表板進(jìn)行安全數(shù)據(jù)分析；

● 規(guī)則分析引擎可從外部導(dǎo)入安全規(guī)則，并依據(jù)數(shù)據(jù)庫所用語言的語法規(guī)則進(jìn)行分析；

● 安全決策響應(yīng)模塊根據(jù)分析結(jié)果判斷是否高危操作，并進(jìn)行提示告警和進(jìn)一步攔截；

通過數(shù)據(jù)庫安全中心，可以實現(xiàn)：

● 數(shù)據(jù)庫的安全編碼：ZDSC可以對數(shù)據(jù)庫、表設(shè)計進(jìn)行安全審計，檢查其是否符合數(shù)據(jù)庫范式和安全編碼規(guī)范。通過數(shù)據(jù)庫安全編程規(guī)范和最佳安全實踐形成的規(guī)則集，利用專家引擎，可以自動找出數(shù)據(jù)庫編碼中潛在的安全漏洞和質(zhì)量缺陷。該中心可以嵌入CICD流水線，將安全開發(fā)經(jīng)驗以安全檢查規(guī)則形式進(jìn)行積累匯總，同時還可以集成第三方的安全編碼規(guī)范，使數(shù)據(jù)庫的安全編碼更加簡便快捷。

● 性能掃描分析與優(yōu)化：ZDSC可以對SQL進(jìn)行靜態(tài)分析和運行時的動態(tài)性能捕捉，快速發(fā)現(xiàn)設(shè)計不合理問題和性能瓶頸點，簡化故障定位并實現(xiàn)性能調(diào)優(yōu)，讓數(shù)據(jù)庫開發(fā)者從性能瓶頸中解放出來，更專注于業(yè)務(wù)邏輯的涉及。

● 安全檢查與風(fēng)險識別：ZDSC可以檢查數(shù)據(jù)庫用戶最小授權(quán)、SQL注入防范、異常事務(wù)捕獲等數(shù)據(jù)庫安全問題，幫助業(yè)務(wù)測試人員和安全滲透測試人員快速定位故障和發(fā)現(xiàn)安全漏洞。

● 數(shù)據(jù)高危操作有效攔截：ZDSC作為5GC內(nèi)生安全的重要保障，以靜默守護(hù)的方式部署在數(shù)據(jù)庫訪問，實時監(jiān)控數(shù)據(jù)操作，可根據(jù)預(yù)設(shè)的安全規(guī)則攔截和阻斷刪庫、刪表等高風(fēng)險操作，最大限度降低數(shù)據(jù)丟失的損失；ZDSC還提供敏感數(shù)據(jù)防護(hù)﹑數(shù)據(jù)脫敏﹑數(shù)據(jù)加秘等重要安全功能。

數(shù)據(jù)庫安全防護(hù)，守護(hù)核心網(wǎng)價值數(shù)據(jù)

當(dāng)前5G網(wǎng)絡(luò)正將大規(guī)模商用，與垂直行業(yè)的整合也進(jìn)入快速發(fā)展階段。數(shù)據(jù)作為最重要資產(chǎn)，在5G核心網(wǎng)絡(luò)中處于關(guān)鍵位置，在工業(yè)互聯(lián)網(wǎng)等業(yè)務(wù)場景中會扮演更加重要的角色。

中興通訊以內(nèi)生安全為指導(dǎo)，其數(shù)據(jù)庫安全中心ZDSC以強(qiáng)大的規(guī)則庫和準(zhǔn)確的引擎解析為基礎(chǔ)，實現(xiàn)數(shù)據(jù)安全應(yīng)用。

該安全中心部署靈活，既可嵌入DevOps流水線中確保5G核心產(chǎn)品數(shù)據(jù)的安全應(yīng)用，也可作為安全組件部署在邊緣計算環(huán)境，幫助垂直行業(yè)客戶實現(xiàn)數(shù)據(jù)庫安全應(yīng)用。