域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

愛(ài)康國(guó)賓專注健康行業(yè)14年,是中國(guó)領(lǐng)先的、提供體檢和就醫(yī)服務(wù)的健康管理機(jī)構(gòu),每年為幾百萬(wàn)客戶提供健康體檢、疾病檢測(cè)與私人醫(yī)生服務(wù),幫助其擺脫亞健康、預(yù)防慢性病、解決就醫(yī)難,致力提高現(xiàn)代中國(guó)人的整體健康水平和生命質(zhì)量。公司擁有100多家自營(yíng)醫(yī)療中心,并與超過(guò)500家醫(yī)療機(jī)構(gòu)的3萬(wàn)余名醫(yī)生建立合作,企業(yè)高端會(huì)員達(dá)千萬(wàn)級(jí)。

一、需求與挑戰(zhàn)

隨著大眾生活水平不斷提高,人們對(duì)自身的健康狀況愈加關(guān)注,體檢已逐漸融入普通人的生活當(dāng)中,選擇主動(dòng)增加體檢頻率的人數(shù)正在持續(xù)增長(zhǎng)。

愛(ài)康國(guó)賓在全國(guó)設(shè)有100多個(gè)分支機(jī)構(gòu),每個(gè)分支都配備有獨(dú)立的體檢業(yè)務(wù)數(shù)據(jù)庫(kù),且這一數(shù)字后續(xù)預(yù)計(jì)會(huì)增加至200個(gè)左右,所產(chǎn)生的數(shù)據(jù)量十分龐大。與此同時(shí),數(shù)據(jù)庫(kù)中也儲(chǔ)存著極其重要和敏感的信息,一旦被篡改或泄露,可能導(dǎo)致重大安全風(fēng)險(xiǎn),并造成可量化的直接經(jīng)濟(jì)損失及不可量化的品牌信譽(yù)影響。愛(ài)康國(guó)賓體檢業(yè)務(wù)在愛(ài)康集團(tuán)整體業(yè)務(wù)系統(tǒng)中占據(jù)極其重要的地位,其數(shù)據(jù)庫(kù)安全不容有失。此前,每個(gè)分支機(jī)構(gòu)體檢業(yè)務(wù)數(shù)據(jù)庫(kù)均需單獨(dú)進(jìn)行數(shù)據(jù)庫(kù)審計(jì);現(xiàn)在,愛(ài)康國(guó)賓希望對(duì)其體檢業(yè)務(wù)數(shù)據(jù)庫(kù)進(jìn)行完整審計(jì),對(duì)所有訪問(wèn)數(shù)據(jù)庫(kù)的行為進(jìn)行記錄,以避免發(fā)生包括姓名、身份證號(hào)、手機(jī)號(hào)、家庭住址、特殊疾病等體檢人員敏感信息的泄露事件。

伴隨《網(wǎng)絡(luò)安全法》的正式施行,國(guó)家針對(duì)數(shù)據(jù)安全出臺(tái)了一系列政策和標(biāo)準(zhǔn)。新環(huán)境下,愛(ài)康國(guó)賓基于對(duì)數(shù)據(jù)安全合規(guī)性的考量,也希望加大對(duì)現(xiàn)有體檢數(shù)據(jù)庫(kù)的監(jiān)管力度,充分了解其數(shù)據(jù)庫(kù)工作狀態(tài)與訪問(wèn)詳情,對(duì)產(chǎn)品的成熟度、穩(wěn)定性、尤其是查詢效率等方面非常重視,要求對(duì)所有分支機(jī)構(gòu)的數(shù)據(jù)庫(kù)審計(jì)具備分布式部署、統(tǒng)一管理能力,且集中管理系統(tǒng)要符合三權(quán)分立原則。

為此,愛(ài)康國(guó)賓向業(yè)界眾多數(shù)據(jù)安全廠商發(fā)出溝通及測(cè)試邀請(qǐng),經(jīng)過(guò)層層選拔,最終決定由安華金和為其提供數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)產(chǎn)品及服務(wù)。

二、解決思路

(一)分布式部署

鑒于愛(ài)康國(guó)賓分支機(jī)構(gòu)眾多,且每個(gè)分支機(jī)構(gòu)都配備獨(dú)立的數(shù)據(jù)庫(kù)單獨(dú)保存各自的體檢數(shù)據(jù),如果采用傳統(tǒng)的單節(jié)點(diǎn)部署模式,即在各分支機(jī)構(gòu)單獨(dú)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),那么總部將無(wú)法統(tǒng)一查看各分支機(jī)構(gòu)的操作風(fēng)險(xiǎn)情況以及各節(jié)點(diǎn)的運(yùn)行狀態(tài)。面對(duì)挑戰(zhàn),安華金和項(xiàng)目團(tuán)隊(duì)針對(duì)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的部署模式進(jìn)行了大膽創(chuàng)新,推出數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的分布式部署模式——在每個(gè)分支機(jī)構(gòu)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),同時(shí)在總部部署數(shù)據(jù)庫(kù)集中審計(jì)管理平臺(tái)(DBCM),繼而通過(guò)DBCM掌握所有分支機(jī)構(gòu)的審計(jì)數(shù)據(jù)和報(bào)告,部署設(shè)計(jì)圖如下:

(圖1:愛(ài)康國(guó)賓審計(jì)項(xiàng)目部署設(shè)計(jì)圖)

(二)軟硬件混合模式

項(xiàng)目團(tuán)隊(duì)在設(shè)計(jì)之初就已考慮到,要在為客戶節(jié)約成本的同時(shí),確保系統(tǒng)穩(wěn)定運(yùn)行,因此在總部部署了兩臺(tái)硬件DBCM系統(tǒng)組成HA。

其余各分支機(jī)構(gòu)則采用軟件部署方式,在客戶的虛擬環(huán)境中部署安華金和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)(虛擬化版本)。所有分支機(jī)構(gòu)的部署均可在總部一次性完成實(shí)施,大大縮短了項(xiàng)目周期,滿足了客戶對(duì)快速部署的需求,部署示意圖如下:

(圖2:分支機(jī)構(gòu)部署示意圖)

(三)全方位審計(jì)

總部及各分支機(jī)構(gòu)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),可在不影響現(xiàn)有業(yè)務(wù)系統(tǒng)運(yùn)行的前提下,對(duì)包括非法性攻擊、風(fēng)險(xiǎn)操作、業(yè)務(wù)系統(tǒng)賬號(hào)、數(shù)據(jù)庫(kù)賬號(hào)、SQL語(yǔ)句、客戶端工具、操作時(shí)間等在內(nèi)的所有數(shù)據(jù)庫(kù)交互行為進(jìn)行全方位記錄,并在第一時(shí)間對(duì)風(fēng)險(xiǎn)行為進(jìn)行告警,以便用戶及時(shí)采取保護(hù)措施或進(jìn)行事后追責(zé)定責(zé)。

(四)統(tǒng)一化管理

為了讓總部能夠隨時(shí)掌控分支機(jī)構(gòu)數(shù)據(jù)庫(kù)的運(yùn)行狀況及風(fēng)險(xiǎn)態(tài)勢(shì),并對(duì)所有審計(jì)系統(tǒng)及其審計(jì)日志實(shí)現(xiàn)統(tǒng)一監(jiān)控、統(tǒng)一分析、統(tǒng)一管理的目的,審計(jì)集中管理平臺(tái)專門設(shè)有免密登錄到各分支機(jī)構(gòu)審計(jì)系統(tǒng)的功能,便于查看各分支機(jī)構(gòu)審計(jì)系統(tǒng)的運(yùn)行情況,收集各分支機(jī)構(gòu)分析報(bào)告,并進(jìn)行綜合分析與統(tǒng)一展示。

三、應(yīng)用效果與客戶價(jià)值

(一)應(yīng)用效果

1、部署示意圖

在總部部署一套DBCM系統(tǒng),同時(shí)在全國(guó)所有分支機(jī)構(gòu)分別部署一套數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),各分支機(jī)構(gòu)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)均與總部DBCM系統(tǒng)進(jìn)行聯(lián)動(dòng),部署示意圖如下:

(圖3:愛(ài)康國(guó)賓審計(jì)項(xiàng)目部署示意圖)

2、數(shù)據(jù)分析

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)在分布式部署后上線運(yùn)行,一周審計(jì)約200萬(wàn)條數(shù)據(jù)。經(jīng)分析發(fā)現(xiàn),愛(ài)康國(guó)賓的業(yè)務(wù)高峰期在每日上午,高峰期所有業(yè)務(wù)操作和后端維護(hù)操作一目了然,可第一時(shí)間發(fā)現(xiàn)業(yè)務(wù)性能瓶頸及相關(guān)問(wèn)題。

3、潛在風(fēng)險(xiǎn)

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)上線運(yùn)行第一周即發(fā)現(xiàn)2個(gè)潛在風(fēng)險(xiǎn):暴力破解攻擊和業(yè)務(wù)系統(tǒng)BUG。

(圖4:風(fēng)險(xiǎn)規(guī)則)

(1)疑似暴力破解攻擊

通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)“失敗登錄會(huì)話”的統(tǒng)計(jì),發(fā)現(xiàn)某客戶端頻繁嘗試以SA用戶登錄數(shù)據(jù)庫(kù),且登錄失敗。

· 判斷客戶端是否為監(jiān)控服務(wù)器,本地保存的密碼是否與目標(biāo)數(shù)據(jù)庫(kù)密碼不一致;

· 判斷該客戶端是否有惡意進(jìn)程在暴力破解攻擊數(shù)據(jù)庫(kù)。

(圖5:暴力破解風(fēng)險(xiǎn))

(2)疑似業(yè)務(wù)BUG

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)發(fā)現(xiàn)業(yè)務(wù)在正常運(yùn)行過(guò)程中存在大量失敗SQL,分析后發(fā)現(xiàn)是由以下兩點(diǎn)原因?qū)е?

· 由于業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫(kù)表存在設(shè)計(jì)沖突,導(dǎo)致存儲(chǔ)指定數(shù)據(jù)異常;

· 數(shù)據(jù)庫(kù)長(zhǎng)期出現(xiàn)事務(wù)鎖,同時(shí)導(dǎo)致部分操作失敗。

(圖6:業(yè)務(wù)系統(tǒng)bug)

(圖7:業(yè)務(wù)系統(tǒng)bug)

(二)客戶價(jià)值

1、滿足合規(guī)要求

從合規(guī)的角度,幫助愛(ài)康國(guó)賓滿足相關(guān)法律法規(guī)要求,如網(wǎng)絡(luò)安全法、等級(jí)保護(hù)等。

2、規(guī)范數(shù)據(jù)訪問(wèn)

從管理的角度,幫助愛(ài)康國(guó)賓實(shí)現(xiàn)對(duì)體檢業(yè)務(wù)數(shù)據(jù)庫(kù)的管控需求,對(duì)業(yè)務(wù)人員及后端維護(hù)人員的數(shù)據(jù)訪問(wèn)行為進(jìn)行規(guī)范,避免非法人員訪問(wèn)重要數(shù)據(jù)庫(kù)及核心敏感數(shù)據(jù),發(fā)現(xiàn)異常風(fēng)險(xiǎn)行為可第一時(shí)間進(jìn)行告警。

3、事后溯源追責(zé)

從全面性的角度,將目前愛(ài)康國(guó)賓所有體檢業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)納入審計(jì)范圍內(nèi)施行全面監(jiān)控,一旦發(fā)現(xiàn)外部攻擊或“內(nèi)鬼”違規(guī)操作,可快速開(kāi)展事后追溯,查出事故的源頭并第一時(shí)間進(jìn)行定責(zé)。

4、優(yōu)化業(yè)務(wù)系統(tǒng)

從業(yè)務(wù)運(yùn)行的角度,對(duì)應(yīng)用系統(tǒng)發(fā)起的錯(cuò)誤語(yǔ)句進(jìn)行記錄,及時(shí)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中存在的問(wèn)題并進(jìn)行優(yōu)化。

(三)創(chuàng)新優(yōu)勢(shì)

1、開(kāi)創(chuàng)了業(yè)內(nèi)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)分布式部署模式的先河,標(biāo)志著數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)從單一環(huán)境到大規(guī)模復(fù)雜環(huán)境下成功部署的成功實(shí)踐;

2、批量節(jié)點(diǎn)實(shí)施,可采用網(wǎng)絡(luò)方式直接對(duì)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行復(fù)制,從而大大節(jié)約人工及時(shí)間成本;

3、通過(guò)適配相關(guān)技術(shù),使安華金和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠適應(yīng)更多的業(yè)務(wù)場(chǎng)景。

四、客戶感言

在數(shù)據(jù)庫(kù)審計(jì)項(xiàng)目立項(xiàng)之初,我們對(duì)業(yè)內(nèi)多家產(chǎn)品進(jìn)行了綜合測(cè)試評(píng)比與方案評(píng)估,唯有安華金和的產(chǎn)品性能及分布式部署方案可以滿足我們?cè)诖笠?guī)模環(huán)境下的部署和管理要求。最終,安華金和按照要求完成了對(duì)所有節(jié)點(diǎn)的上線與策略部署,充分體現(xiàn)出其多年來(lái)的技術(shù)積累與快速響應(yīng)能力。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！