最新《財富》世界500強排行榜出爐，其中保險占51家，成為上榜企業最多的行業。

近年來，越來越多保險機構提出數字化轉型發展戰略，尋求以數字科技賦能保險業高質量發展。此背景下，保險公司再持續挖掘客戶需求、優化客戶體驗的過程中積累了海量豐富的數據資產，并嘗試從最大化數據價值中尋找新的業務突破和盈利點。其中，數據安全成為牽引數字經濟發展的生命線。本文將分享云集至協同某保險集團企業開展數據安全建設的一個典型產品實踐案例。

作為一家綜合性保險集團，xx保險在數字化進程中保持著以體驗為核心、以數據為基礎、以技術為驅動的新保險業態。通過對集團數據安全現狀的梳理發現：

（1）日均數十億SQL吞吐。集團擁有財產險、人壽險、集團險等十幾種業務種類，每天有數十億條的SQL吞吐量，針對安全事件行為日志、結果集等無法正常檢索；

（2）安全排查耗時過長。海量風險告警，導致安全排查工作耗時長，且無法實現有效關聯；

（3）缺乏數據分析能力。未能建立分析模型，盡管擁有海量日志，卻無法通過分析產生價值，這要求數據庫審計具有強大的檢索能力、智能關聯能力，讓數據安全、使用雙管齊下；

（4）審計需求無法滿足。傳統的數據庫審計僅支持關系型數據庫，并注重上行流量審計，關注用戶做什么，怎么做。現有業務環境不僅使用關系型數據庫，同時擁有大數據非結構化數據庫，所以必須依靠新型數據庫審計系統來替代傳統的數據庫審計系統，從而解決復雜環境和業務場景關聯的有效審計。

解決上述需求和問題，引入專業成熟的數據庫審計是最優解。我們在之前的文章里做過探討，再小的客戶也敢用它作為敲門磚，縱使其他防護手段都不考慮，也要出了事有交代、可追查；大客戶則將數據庫審計看做試金石，數審都做不好的廠商，其他防護類產品用戶也將沒有心情考察；超大用戶則將數據庫審計看做殺手锏，它既可以作為風險監控、態勢感知的預警機，也可以作為事件溯源、追責免責的不二利器。云集至數據庫審計產品針對上述保險集團現狀和需求，與客戶一起應對需求，收獲客戶價值：

1、解決安全事件排查

常規產品：通用數據庫審計系統一般使用傳統關系型數據庫存儲、audit引擎進行分析檢索，這就使得海量數據檢索難、安全事件排查工作耗時長。

我們的能力表現：高效處理（快）

云集數據庫審計系統，采用大數據聯機分析系統(OLAP)進行數據存儲；使用自研的數據組織管理系統（DCMS）；使用日志查詢預測技術，預先加載部分日志，加速查詢過程。結合歸一化、模板化、高效后臺存儲技術以及深入優化技術實現審計系統的極致性能，同時提升數據入庫的處理性能和數據出庫的檢索性能，實現千億級日志規模下查詢秒級返回的高性能處理，幫助保險客戶解決海量日志檢索難的問題，同時快速溯源安全事件相關信息，讓安全事件排查工作不再是難題。

2、解決數據分析難題

常規產品：通用數據庫審計產品對sql進行解析并返回sql操作內容，無深入剖析并關聯業務信息進行有效解析。

我們的能力表現：精準識別（準）

云集數據庫審計系統，采用雙向審計、SQL詞法分析、嵌套語句/長語句深度解析、數據包重組、綁定變量交叉關聯、應用關聯等技術，實現數據庫協議與復雜語句的100%精準識別和解析。通過對雙向數據包的解析、識別及還原，做到對數據庫操作請求實時審計，可對數據庫系統返回結果進行完整的還原和審計，徹底避免 “誤審”、“漏審”等問題發生，幫助客戶精準監測所有異常操作行為，第一時間向客戶發出告警消息。

3、建立有效行為基線

常規產品：通用數據庫審計產品對數據庫操作行為進行一段時間的學習，形成一個基線，維度單一，無多維度深入分析，對每一個人形成獨立的用戶安全畫像，從而無法形成有效的行為基線。

我們的能力表現：機器學習（智）

云集數據庫審計系統，業內率先在數據庫審計與分析系統中采取智能機器學習、用戶實體行為分析（UEBA）和基線告警技術，通過1%的人工介入和99%的智能學習，設立用戶來源基線、數據表操作基線、SQL操作摘要基線等基線，并智能分析和發現用戶異常行為，讓數據庫審計與分析系統真正“智能”起來，解放人力使用成本，同時通過多個維度形成用戶安全畫像，從源頭規避安全隱患。

4、高效溯源取證

常規產品：通用數據庫審計產品對數據庫操作行為記錄，存入日志行為中，溯源檢索無法有效還原操作畫像，故溯源取證難！

我們的能力表現：語句回放（錄）

云集數據庫審計系統在傳統的SQL語句七元組內容審計基礎之上，首創SQL語句操作視頻回放技術，1：1完整還原整體操作過程，身臨其境般展現“作案過程”和“作案現場”，實現數據庫安全問題的有效分析和快速追蹤，幫助客戶高效溯源取證。

總結：通過部署云集數據庫審計系統，實現了在xx保險集團相關業務場景下千億級數據量中行云流水的審計響應。不僅可以做到面向所有人員對數據庫操作、訪問及命令的全面監測審計，加強對數據庫臨時賬戶與高權限賬戶的審計監測審計，加強針對重要數據的訪問審計監測，并提供豐富的報表統計，還有效解決了海量SQL行為無法正常檢索；安全事件排查工作耗時長；風險告警無法關聯等業務痛點問題,幫助集團在規避數據風險的前提下，最大化利用各類數據(如交易數據、業務數據等)和外部公司的共享數據，從而通過數據價值的釋放提升保險企業生產經營效率。

猜想數審的未來或成為數據安全的神經網絡觸點

技術的發展是無止境的，對安全的需求也沒有盡頭。只要威脅在演變，技術在革新，防御手段就需不斷進化以至平衡。近年越來越多的用戶已經不僅僅滿足對執行操作的精準審計，還要對結果集的數據進行保存用于日后取證追溯......

聽聞某銀行單一業務系統的日志吞吐量已達30萬/秒量級......

又聽說某保險公司的數據庫數量已突破3000個......

還耳聞某些高端場景的數審分析能力要求是千億級日志，分鐘內響應.....

我們大膽猜測，不久之后，第四代數據庫審計產品，除自身要具備高智能、高性能的氣質之外，還可能成為數據安全集中管控和安全大數據分析的神經網絡觸點，所有安全防護核心能力交由平臺型產品進行統一調度、防御和分析，而數據庫審計作為數據和行為的采集端，形成“樹”和“根”的強關聯結構。

此時審計將不再是獨立系統，不再獨立工作，而是為平臺提供數據的輸入。這樣更能與KAFkA、FLUME、ELK等先進的大數據分析和流式處理等分析技術結合，真正解決超大數據規模的日志利用問題，這可能也是未來的數據安全的發展方向之一，我們拭目以待。隨著用戶需求提升，也祝愿數據安全愛好者們能不斷打破邊界，大踏步朝技術更深處走去。