如何滿足保險集團千億資料審計要求

語言: CN / TW / HK

最新《財富》世界500強排行榜出爐,其中保險佔51家,成為上榜企業最多的行業。

近年來,越來越多保險機構提出數字化轉型發展戰略,尋求以數字科技賦能保險業高質量發展。此背景下,保險公司再持續挖掘客戶需求、優化客戶體驗的過程中積累了海量豐富的資料資產,並嘗試從最大化資料價值中尋找新的業務突破和盈利點。其中,資料安全成為牽引數字經濟發展的生命線。本文將分享雲集至協同某保險集團企業開展資料安全建設的一個典型產品實踐案例。

作為一家綜合性保險集團,xx保險在數字化程序中保持著以體驗為核心、以資料為基礎、以技術為驅動的新保險業態。通過對集團資料安全現狀的梳理髮現:

(1)日均數十億SQL吞吐。集團擁有財產險、人壽險、集團險等十幾種業務種類,每天有數十億條的SQL吞吐量,針對安全事件行為日誌、結果集等無法正常檢索;

(2)安全排查耗時過長。海量風險告警,導致安全排查工作耗時長,且無法實現有效關聯;

(3)缺乏資料分析能力。未能建立分析模型,儘管擁有海量日誌,卻無法通過分析產生價值,這要求資料庫審計具有強大的檢索能力、智慧關聯能力,讓資料安全、使用雙管齊下;

(4)審計需求無法滿足。傳統的資料庫審計僅支援關係型資料庫,並注重上行流量審計,關注使用者做什麼,怎麼做。現有業務環境不僅使用關係型資料庫,同時擁有大資料非結構化資料庫,所以必須依靠新型資料庫審計系統來替代傳統的資料庫審計系統,從而解決複雜環境和業務場景關聯的有效審計。

解決上述需求和問題,引入專業成熟的資料庫審計是最優解。我們在之前的文章裡做過探討,再小的客戶也敢用它作為敲門磚,縱使其他防護手段都不考慮,也要出了事有交代、可追查;大客戶則將資料庫審計看做試金石,數審都做不好的廠商,其他防護類產品使用者也將沒有心情考察;超大使用者則將資料庫審計看做殺手鐗,它既可以作為風險監控、態勢感知的預警機,也可以作為事件溯源、追責免責的不二利器。雲集至資料庫審計產品針對上述保險集團現狀和需求,與客戶一起應對需求,收穫客戶價值:

1、解決安全事件排查

常規產品:通用資料庫審計系統一般使用傳統關係型資料庫儲存、audit引擎進行分析檢索,這就使得海量資料檢索難、安全事件排查工作耗時長。

我們的能力表現:高效處理(快)

雲集資料庫審計系統,採用大資料聯機分析系統(OLAP)進行資料儲存;使用自研的資料組織管理系統(DCMS);使用日誌查詢預測技術,預先載入部分日誌,加速查詢過程。結合歸一化、模板化、高效後臺儲存技術以及深入優化技術實現審計系統的極致效能,同時提升資料入庫的處理效能和資料出庫的檢索效能,實現千億級日誌規模下查詢秒級返回的高效能處理,幫助保險客戶解決海量日誌檢索難的問題,同時快速溯源安全事件相關資訊,讓安全事件排查工作不再是難題。

2、解決資料分析難題

常規產品:通用資料庫審計產品對sql進行解析並返回sql操作內容,無深入剖析並關聯業務資訊進行有效解析。

我們的能力表現:精準識別(準)

雲集資料庫審計系統,採用雙向審計、SQL詞法分析、巢狀語句/長語句深度解析、資料包重組、繫結變數交叉關聯、應用關聯等技術,實現資料庫協議與複雜語句的100%精準識別和解析。通過對雙向資料包的解析、識別及還原,做到對資料庫操作請求實時審計,可對資料庫系統返回結果進行完整的還原和審計,徹底避免 “誤審”、“漏審”等問題發生,幫助客戶精準監測所有異常操作行為,第一時間向客戶發出告警訊息。

3、建立有效行為基線

常規產品:通用資料庫審計產品對資料庫操作行為進行一段時間的學習,形成一個基線,維度單一,無多維度深入分析,對每一個人形成獨立的使用者安全畫像,從而無法形成有效的行為基線。

我們的能力表現:機器學習(智)

雲集資料庫審計系統,業內率先在資料庫審計與分析系統中採取智慧機器學習、使用者實體行為分析(UEBA)和基線告警技術,通過1%的人工介入和99%的智慧學習,設立使用者來源基線、資料表操作基線、SQL操作摘要基線等基線,並智慧分析和發現使用者異常行為,讓資料庫審計與分析系統真正“智慧”起來,解放人力使用成本,同時通過多個維度形成使用者安全畫像,從源頭規避安全隱患。

4、高效溯源取證

常規產品:通用資料庫審計產品對資料庫操作行為記錄,存入日誌行為中,溯源檢索無法有效還原操作畫像,故溯源取證難!

我們的能力表現:語句回放(錄)

雲集資料庫審計系統在傳統的SQL語句七元組內容審計基礎之上,首創SQL語句操作影片回放技術,1:1完整還原整體操作過程,身臨其境般展現“作案過程”和“作案現場”,實現資料庫安全問題的有效分析和快速追蹤,幫助客戶高效溯源取證。

總結:通過部署雲集資料庫審計系統,實現了在xx保險集團相關業務場景下千億級資料量中行雲流水的審計響應。不僅可以做到面向所有人員對資料庫操作、訪問及命令的全面監測審計,加強對資料庫臨時賬戶與高許可權賬戶的審計監測審計,加強針對重要資料的訪問審計監測,並提供豐富的報表統計,還有效解決了海量SQL行為無法正常檢索;安全事件排查工作耗時長;風險告警無法關聯等業務痛點問題,幫助集團在規避資料風險的前提下,最大化利用各類資料(如交易資料、業務資料等)和外部公司的共享資料,從而通過資料價值的釋放提升保險企業生產經營效率。

猜想

數審的未來

或成為資料安全的神經網路觸點

技術的發展是無止境的,對安全的需求也沒有盡頭。只要威脅在演變,技術在革新,防禦手段就需不斷進化以至平衡。近年越來越多的使用者已經不僅僅滿足對執行操作的精準審計,還要對結果集的資料進行儲存用於日後取證追溯......

聽聞某銀行單一業務系統的日誌吞吐量已達30萬/秒量級......

又聽說某保險公司的資料庫數量已突破3000個......

還耳聞某些高階場景的數審分析能力要求是千億級日誌,分鐘內響應.....

我們大膽猜測,不久之後,第四代資料庫審計產品,除自身要具備高智慧、高效能的氣質之外,還可能成為資料安全集中管控和安全大資料分析的神經網路觸點,所有安全防護核心能力交由平臺型產品進行統一排程、防禦和分析,而資料庫審計作為資料和行為的採集端,形成“樹”和“根”的強關聯結構。

此時審計將不再是獨立系統,不再獨立工作,而是為平臺提供資料的輸入。這樣更能與KAFkA、FLUME、ELK等先進的大資料分析和流式處理等分析技術結合,真正解決超大資料規模的日誌利用問題,這可能也是未來的資料安全的發展方向之一,我們拭目以待。隨著使用者需求提升,也祝願資料安全愛好者們能不斷打破邊界,大踏步朝技術更深處走去。