近年来,a省持续打造集计算资源、存储资源于一体的高效政务云计算中心,逐步完成了各级单位近百个业务系统的迁移“上云”,其中包括各级行政审批服务局网站群、公安局警务云、政法委社会治理网格化综合信息平台、城管局智慧城管等一系列重要电子政务系统。
政务云计算中心通过数据共享平台汇集政府单位的各类数据库信息,形成涵盖人口库、法人库、宏观经济库、空间地理信息库等在内的基础数据仓库;同时,在基础库之上建立主题库和应用库,用以向各需求部门提供相关数据。数据共享平台的建立打破了传统的“数据孤岛”,让政务大数据在“流动”中实现开放共享,更在“流动”中充分发挥价值作用。此前,a省政务云平台虽已建成基于传统网络安全防护为目标的安全架构,但在应对核心数据安全与个人敏感信息保护方面尚且不足。因此,如何保障对政务数据的使用自由而安全,成为a省信息中心大数据局面临的一道难题。
痛点分析
1
高权限管控难
内部开发、测试或外部第三方运维等高权限用户,通常具备直接访问数据库的能力。此种情况下,如果缺乏行之有效的安全管控手段,将难以避免恶意或误操作导致的数据泄露、篡改甚至破坏等操作行为。
2
黑客攻击威胁
不法分子利用特制扫描工具,通过互联网针对数据库进行试探和攻击,发现并利用系统漏洞、构造sql注入、提权操作等手段非法入侵数据库系统,达成对数据的恶意篡改、批量拷贝、删除破坏等目的。
3
网络安全盲点
政务云环境采用大量虚拟化架构,传统网络安全产品的引流审计方式,无法满足对数据库层面的审计需求,从而导致漏审、误审等问题。
建设思路
通过对a省信息中心数据资产分布及重点访问流程等的调研、沟通,安华金和决定有针对性地建立以“底线防守为主、主动防御为辅、有效监控溯源”的数据安全治理体系,重点解决数据存储、数据保密性、数据批量泄露、敏感信息篡改、访问行为监控等问题。
其一,经过安全状况摸底,了解到a省信息中心对自身数据资产情况了解较为清晰,能够快速定位客户重点数据库并掌握数据的流向。
其二,对摸底情况进行分析,向a省信息中心的数据使用管控流程提供安全建议,进一步强化数据在访问、运维、外发、存储、测试等场景下的安全性。
其三,应用安华金和数据库安全防护系统,在应用服务器和数据库服务器之间进行串联,构建针对数据库及数据访问及使用的安全管控手段。
其四,应用安华金和数据库安全审计系统,对数据访问行为进行重点稽核,监督数据安全落实情况,及时针对数据访问及使用过程中的潜在风险进行告警。
k8凯发天生赢家的解决方案
数据库安全防护系统
1
虚拟补丁主动防御
通过协议解析技术,实时监控数据库漏洞攻击行为,防止利用已知漏洞对数据库发起的攻击,保障数据库安全与应用稳定;于数据库外围创建安全层,无需根据数据库厂商提供的补丁做数据库修复,也不需要停止服务和回归测试,从而实现更及时、更轻量化的漏洞防御措施。
2
实时告警及时处置
基于灵活的防护规则,针对外部发起的数据库漏洞攻击、恶意sql注入行为、非法业务登录、高危sql操作以及过量数据下载等提供实时风险告警,包括:短信、邮件、企业微信、钉钉群助手、snmp trap、syslog等多种告警方式。
3
防止敏感信息泄露
关联schema、表、字段等对象形成敏感数据组,基于与或关系并结合其他防护项建立敏感数据防护规则。限定敏感数据的访问时间、来源ip地址和访问账户,针对高危操作进行语句拦截或会话阻断。
4
行为建模减少误判
对数据库访问的sql语句及风险触发规则进行持续学习,自动构建防护模型。根据“学习期”风险触发情况,自动建立“保护期”防护规则,对后期可能面临的高危操作、数据恶意篡改等风险行为进行有效识别、拦截和阻断,实现智能化的数据安全防护。
数据库安全审计系统
1
应用关联
采用在应用端部署插件的方式,基于应用会话捕获“应用账户”及“应用ip”等关联审计信息,并添加到风险策略进行风险行为监控。
2
自动发现
从全流量中识别数据库流量,智能分析出数据库信息,形成数据库资产清单,支持自动加入审计列表,全程免人工干预。
3
精确审计
基于协议分析、完全sql解析、参数化匹配、长语句解析、多语句解析和应用关联技术,创造了业界准确的数据库审计产品,为审计记录、风险追踪提供了坚实的基础。
4
全面审计
详细记录数十项关键会话信息和语句信息,涵盖客户端信息、数据库信息、对象信息、sql语句信息、结果集信息、应身份信息等方面。
5
海量日志多态存储
采用在线、备份、外送三种存储机制及高压缩高性能处理技术,实现海量数据差异化存储,满足日志信息保留半年以上的要求。
应用效果
1
实现账号及权限的有效管理
通过对业务/运维人员数据访问过程的稽核,持续规范、优化数据库运维管理流程。
2
实现细粒度的权限控制
确保数据在访问、开发、测试、分析、共享等场景下的合规使用,同时严格遵循数据使用的最小化原则。
3
实现全面的审计监控
帮助安全管理员在海量数据访问中及时发现风险、准确定位问题,并形成有效的追溯链条,让安全管理员能够全面掌握业务数据库的实时运行状况。
4
进一步建立底线防守机制
通过持续合作建设,应用数据库加密系统等更多安全产品与技术手段,逐步打造适合a省信息中心的数据安全纵深防御体系,从而不断提升数据安全性。
试用申请