5G數據安全

在歐盟網絡信息安全機構（ENISA，European Union Agency for Cybersecurity）2019年11月發布的“5G網絡安全威脅全景圖”報告中，數據被列為可以同時高度影響機密性、可用性、完整性的關鍵要素，在5G安全風險中占據特殊重要地位。

5G eMBB、mMTC和uRLLC三大應用場景都涉及到用戶敏感數據、生產管理數據等關鍵信息的傳輸、存儲和處理。這些關鍵數據以結構化方式存儲在5G系統尤其是核心網部分中。

5G核心網數據體量不斷增大，種類持續增加，結構日趨復雜，由此帶來的數據泄露、非授權分析、用戶個人信息泄露等安全風險也日益增加。如何確保數據安全處理是5G核心網安全中的關鍵課題。

問題與風險

在5G核心網產品的商用運營中，尤其是垂直行業場景中邊緣計算平臺上的第三方應用通常會遇到以下數據庫方面的安全風險：

數據庫種類多，安全審計復雜：Oracle、SQL Server等國外知名數據庫產品和MySQL、Maria DB、PostGreSql等開源產品在業界都應用廣泛；ZTE Golden DB、螞蟻金服OceanBase等國產數據庫產品也異軍突起。不同數據庫產品特色明顯，數據操作往往不能通用，對這些數據操作行為進行風險評估和安全審計的難度增大。

事務操作復雜，發生死鎖幾率高：在復雜的查詢與更新數據庫的過程中，經常遇到多個事務同時操作并相互等待對方釋放資源的情況，進入死鎖并造成數據庫業務異常。

高危操作控制難，數據丟失風險大：5G核心產品發生數據泄露，會導致用戶個人關鍵信息丟失，并影響運營商聲譽；垂直行業數據往往涉及關鍵行業的生產數據，該類數據一旦丟失，會給企業帶來了重大損失。

數據規模大，性能降低明顯：當數據量達到一定規模后，并發查詢會大幅度降低數據庫性能，耗盡CPU計算資源，嚴重情況下會引發業務中斷。以某省運維數據為例，一個月數據已達3000萬條。如果索引或者查詢語句實施的不恰當，很可能會導致宕機甚至業務中斷。

自動化數據庫安全，實現風險源頭控制

針對5G核心網數據的安全風險，中興通訊推出了數據庫安全中心（ZDSC，ZTE Database Security Center），既可用于嵌入研發過程流水線確保5G核心網產品的數據庫應用安全，也可作為安全組件嵌入MEC平臺為垂直行業客戶的數據庫應用開發提供安全保障。

圖：數據庫安全中心ZDSC架構

統一門戶為開發者提供統一接入界面和規則維護， 通過儀表板進行安全數據分析；

規則分析引擎可從外部導入安全規則，并依據數據庫所用語言的語法規則進行分析；

安全決策響應模塊根據分析結果判斷是否高危操作，并進行提示告警和進一步攔截；

通過數據庫安全中心，可以實現：

數據庫的安全編碼：ZDSC可以對數據庫、表設計進行安全審計，檢查其是否符合數據庫范式和安全編碼規范。通過數據庫安全編程規范和最佳安全實踐形成的規則集，利用專家引擎，可以自動找出數據庫編碼中潛在的安全漏洞和質量缺陷。該中心可以嵌入CICD流水線，將安全開發經驗以安全檢查規則形式進行積累匯總，同時還可以集成第三方的安全編碼規范，使數據庫的安全編碼更加簡便快捷。

性能掃描分析與優化：ZDSC可以對SQL進行靜態分析和運行時的動態性能捕捉，快速發現設計不合理問題和性能瓶頸點，簡化故障定位并實現性能調優，讓數據庫開發者從性能瓶頸中解放出來，更專注于業務邏輯的涉及。

安全檢查與風險識別：ZDSC可以檢查數據庫用戶最小授權、SQL注入防范、異常事務捕獲等數據庫安全問題，幫助業務測試人員和安全滲透測試人員快速定位故障和發現安全漏洞。

數據高危操作有效攔截：ZDSC作為5GC內生安全的重要保障，以靜默守護的方式部署在數據庫訪問，實時監控數據操作，可根據預設的安全規則攔截和阻斷刪庫、刪表等高風險操作，最大限度降低數據丟失的損失；ZDSC還提供敏感數據防護﹑數據脫敏﹑數據加秘等重要安全功能。

數據庫安全防護，守護核心網價值數據

當前5G網絡正將大規模商用，與垂直行業的整合也進入快速發展階段。數據作為最重要資產，在5G核心網絡中處于關鍵位置，在工業互聯網等業務場景中會扮演更加重要的角色。

中興通訊以內生安全為指導，其數據庫安全中心ZDSC以強大的規則庫和準確的引擎解析為基礎，實現數據安全應用。

該安全中心部署靈活，既可嵌入DevOps流水線中確保5G核心產品數據的安全應用，也可作為安全組件部署在邊緣計算環境，幫助垂直行業客戶實現數據庫安全應用。

責任編輯：gt