中兴通讯推出数据库安全中心ZDSC，守护核心网价值数据

5G数据安全

在欧盟网络信息安全机构（ENISA，European Union Agency for Cybersecurity）2019年11月发布的“5G网络安全威胁全景图”报告中，数据被列为可以同时高度影响机密性、可用性、完整性的关键要素，在5G安全风险中占据特殊重要地位。

5G eMBB、mMTC和uRLLC三大应用场景都涉及到用户敏感数据、生产管理数据等关键信息的传输、存储和处理。这些关键数据以结构化方式存储在5G系统尤其是核心网部分中。

5G核心网数据体量不断增大，种类持续增加，结构日趋复杂，由此带来的数据泄露、非授权分析、用户个人信息泄露等安全风险也日益增加。如何确保数据安全处理是5G核心网安全中的关键课题。

问题与风险

在5G核心网产品的商用运营中，尤其是垂直行业场景中边缘计算平台上的第三方应用通常会遇到以下数据库方面的安全风险：

数据库种类多，安全审计复杂：Oracle、SQL Server等国外知名数据库产品和MySQL、Maria DB、PostGreSql等开源产品在业界都应用广泛；ZTE Golden DB、蚂蚁金服OceanBase等国产数据库产品也异军突起。不同数据库产品特色明显，数据操作往往不能通用，对这些数据操作行为进行风险评估和安全审计的难度增大。

事务操作复杂，发生死锁几率高：在复杂的查询与更新数据库的过程中，经常遇到多个事务同时操作并相互等待对方释放资源的情况，进入死锁并造成数据库业务异常。

高危操作控制难，数据丢失风险大：5G核心产品发生数据泄露，会导致用户个人关键信息丢失，并影响运营商声誉；垂直行业数据往往涉及关键行业的生产数据，该类数据一旦丢失，会给企业带来了重大损失。

数据规模大，性能降低明显：当数据量达到一定规模后，并发查询会大幅度降低数据库性能，耗尽CPU计算资源，严重情况下会引发业务中断。以某省运维数据为例，一个月数据已达3000万条。如果索引或者查询语句实施的不恰当，很可能会导致宕机甚至业务中断。

自动化数据库安全，实现风险源头控制

针对5G核心网数据的安全风险，中兴通讯推出了数据库安全中心（ZDSC，ZTE Database Security Center），既可用于嵌入研发过程流水线确保5G核心网产品的数据库应用安全，也可作为安全组件嵌入MEC平台为垂直行业客户的数据库应用开发提供安全保障。

图：数据库安全中心ZDSC架构

统一门户为开发者提供统一接入界面和规则维护， 通过仪表板进行安全数据分析；

规则分析引擎可从外部导入安全规则，并依据数据库所用语言的语法规则进行分析；

安全决策响应模块根据分析结果判断是否高危操作，并进行提示告警和进一步拦截；

通过数据库安全中心，可以实现：

数据库的安全编码：ZDSC可以对数据库、表设计进行安全审计，检查其是否符合数据库范式和安全编码规范。通过数据库安全编程规范和最佳安全实践形成的规则集，利用专家引擎，可以自动找出数据库编码中潜在的安全漏洞和质量缺陷。该中心可以嵌入CICD流水线，将安全开发经验以安全检查规则形式进行积累汇总，同时还可以集成第三方的安全编码规范，使数据库的安全编码更加简便快捷。

性能扫描分析与优化：ZDSC可以对SQL进行静态分析和运行时的动态性能捕捉，快速发现设计不合理问题和性能瓶颈点，简化故障定位并实现性能调优，让数据库开发者从性能瓶颈中解放出来，更专注于业务逻辑的涉及。

安全检查与风险识别：ZDSC可以检查数据库用户最小授权、SQL注入防范、异常事务捕获等数据库安全问题，帮助业务测试人员和安全渗透测试人员快速定位故障和发现安全漏洞。

数据高危操作有效拦截：ZDSC作为5GC内生安全的重要保障，以静默守护的方式部署在数据库访问，实时监控数据操作，可根据预设的安全规则拦截和阻断删库、删表等高风险操作，最大限度降低数据丢失的损失；ZDSC还提供敏感数据防护﹑数据脱敏﹑数据加秘等重要安全功能。

数据库安全防护，守护核心网价值数据

当前5G网络正将大规模商用，与垂直行业的整合也进入快速发展阶段。数据作为最重要资产，在5G核心网络中处于关键位置，在工业互联网等业务场景中会扮演更加重要的角色。

中兴通讯以内生安全为指导，其数据库安全中心ZDSC以强大的规则库和准确的引擎解析为基础，实现数据安全应用。

该安全中心部署灵活，既可嵌入DevOps流水线中确保5G核心产品数据的安全应用，也可作为安全组件部署在边缘计算环境，帮助垂直行业客户实现数据库安全应用。

责任编辑：gt