運(yùn)營(yíng)商一直十分重視數(shù)據(jù)安全工作��,但是真正針對(duì)數(shù)據(jù)的安全防護(hù)措施還相當(dāng)有限�����。對(duì)于一些暴露在互聯(lián)網(wǎng)上的業(yè)務(wù)�,存在遭到各類(lèi)外來(lái)攻擊或內(nèi)部泄露帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)。當(dāng)前����,運(yùn)營(yíng)商雖已建立較為完整的安全防護(hù)體系,但相關(guān)技術(shù)手段大多側(cè)重“防外”�,而對(duì)于內(nèi)部重要敏感數(shù)據(jù)的安全防護(hù)措施、流程與能力還存不少問(wèn)題����。
因此,運(yùn)營(yíng)商在開(kāi)展數(shù)據(jù)安全工作過(guò)程中����,不僅要抵御來(lái)自外部的黑客入侵攻擊以及網(wǎng)絡(luò)病毒傳播等風(fēng)險(xiǎn),同時(shí)也要嚴(yán)加防范來(lái)自?xún)?nèi)部�、尤其是具有一定權(quán)限的運(yùn)維人員的違規(guī)訪問(wèn)、惡意操作、數(shù)據(jù)竊取等隱患�。
需求痛點(diǎn)
在數(shù)據(jù)安全面臨極大挑戰(zhàn)的新環(huán)境下,運(yùn)營(yíng)商行業(yè)對(duì)核心數(shù)據(jù)���、敏感信息等內(nèi)部安全防護(hù)仍存在諸多薄弱環(huán)節(jié)����,亟需借助專(zhuān)業(yè)���、適合�、有針對(duì)性的數(shù)據(jù)安全產(chǎn)品與技術(shù)手段����,加強(qiáng)并提升運(yùn)營(yíng)商自身整體數(shù)據(jù)安全防護(hù)能力,從而有效降低重要敏感信息的泄露風(fēng)險(xiǎn)��。
其中�,內(nèi)部威脅主要源于管理人員濫用職權(quán)���、執(zhí)行人員操作不當(dāng)����、內(nèi)部管理疏漏、軟硬件存在缺陷等方面:
1. 安全管理制度不健全���,執(zhí)行力度不到位�����。例如:對(duì)數(shù)據(jù)庫(kù)存在非法接入�、非法外聯(lián)��、職權(quán)濫用�����、外設(shè)濫用等情況�。
2. 系統(tǒng)本身存在漏洞。例如:未能及時(shí)有效檢測(cè)數(shù)據(jù)庫(kù)漏洞或問(wèn)題配置等風(fēng)險(xiǎn)因素��。
3. 內(nèi)部懂技術(shù)�����、會(huì)編程的人員直接編寫(xiě)攻擊代碼����,竊取或破壞系統(tǒng)中的重要敏感信息����。
4. 運(yùn)維外包人員惡意盜取敏感信息�。例如:目前在運(yùn)營(yíng)商行業(yè)中,運(yùn)維外包是一個(gè)普遍存在的現(xiàn)象��,即外包人員可直接或經(jīng)過(guò)內(nèi)部系統(tǒng)訪問(wèn)到數(shù)據(jù)庫(kù)等等��。雖然內(nèi)部系統(tǒng)也可審計(jì)并記錄相關(guān)訪問(wèn)過(guò)程�����,但卻無(wú)法阻止敏感數(shù)據(jù)被查看或被批量導(dǎo)出等風(fēng)險(xiǎn)操作�。更何況,運(yùn)維人員還可能通過(guò)“跳板”���,繞過(guò)內(nèi)部系統(tǒng)直接訪問(wèn)到敏感數(shù)據(jù)庫(kù)����。
5. 系統(tǒng)管理員或應(yīng)用管理員越權(quán)訪問(wèn)�、竊取敏感數(shù)據(jù)�����。例如:在運(yùn)營(yíng)商行業(yè)運(yùn)營(yíng)中心,有眾多應(yīng)用系統(tǒng)�����,這些應(yīng)用系統(tǒng)的管理員擁有訪問(wèn)數(shù)據(jù)庫(kù)的直連通道和帳號(hào)密碼����;其中不少應(yīng)用系統(tǒng)是外包開(kāi)發(fā)的,相應(yīng)的系統(tǒng)管理員也是外部人員�����,風(fēng)險(xiǎn)可想而知�����。
6. 系統(tǒng)開(kāi)發(fā)和測(cè)試使用真實(shí)數(shù)據(jù)����。例如:在開(kāi)發(fā)和測(cè)試過(guò)程中,內(nèi)部人員使用高權(quán)限賬號(hào)調(diào)取真實(shí)數(shù)據(jù)���,極易造成真實(shí)數(shù)據(jù)泄露����。
解決方案
安華金和基于對(duì)數(shù)據(jù)安全領(lǐng)域的深度理解與豐富實(shí)踐,通過(guò)對(duì)運(yùn)營(yíng)商客戶場(chǎng)景及需求的詳細(xì)調(diào)研����,同時(shí)遵循“安全合規(guī)是生命線、安全事件零容忍���、敏感數(shù)據(jù)不出門(mén)”的數(shù)據(jù)價(jià)值觀�,構(gòu)建涵蓋“安全組織����、安全策略,安全技術(shù)���、安全運(yùn)營(yíng)”����,自主可控的數(shù)據(jù)安全防護(hù)體系��,從而有效保障運(yùn)營(yíng)商業(yè)務(wù)及應(yīng)用數(shù)據(jù)安全���。
安華金和針對(duì)運(yùn)營(yíng)商在數(shù)據(jù)安全防護(hù)難點(diǎn)�,通過(guò)部署數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)(DOMS)滿足其三大核心需求——可視���、可控和合規(guī)�。在運(yùn)維人員和信息系統(tǒng)(網(wǎng)絡(luò)���、主機(jī)�����、數(shù)據(jù)庫(kù)�����、應(yīng)用等)之間搭建唯一的入口及統(tǒng)一的交互界面���,從而實(shí)現(xiàn)針對(duì)信息系統(tǒng)關(guān)鍵軟硬件設(shè)備的運(yùn)維操作行為進(jìn)行管控與審計(jì)。例如:將相關(guān)設(shè)備���、應(yīng)用系統(tǒng)的管理接口�,通過(guò)強(qiáng)制策略路由的方式轉(zhuǎn)發(fā)至運(yùn)維管理系統(tǒng)���,實(shí)現(xiàn)對(duì)管理用戶的身份鑒別��;通過(guò)“數(shù)字證書(shū)”認(rèn)證方式����,作為“用戶名+口令”驗(yàn)證身份的有效補(bǔ)充和增強(qiáng),實(shí)現(xiàn)等保三級(jí)要求的雙因素身份認(rèn)證等����。
數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)通過(guò)與運(yùn)營(yíng)商已有管理系統(tǒng)相結(jié)合,可以提供數(shù)據(jù)庫(kù)代理及安全保障����,并能夠遵從安全管理規(guī)范、優(yōu)化管理流程����,實(shí)現(xiàn)以下功能:
1. 訪問(wèn)控制:通過(guò)對(duì)接安全管理平臺(tái),使用一套策略����,進(jìn)行用戶訪問(wèn)控制??梢酝ㄟ^(guò)對(duì)用戶、角色�����、行為和資源的授權(quán),增加對(duì)資源的保護(hù)和對(duì)用戶行為的監(jiān)控及審計(jì)�。
2. 數(shù)據(jù)庫(kù)協(xié)議解析與代理:支持用戶使用第三方客戶端工具,通過(guò)數(shù)據(jù)庫(kù)防火墻的協(xié)議解析與代理登錄相關(guān)業(yè)務(wù)數(shù)據(jù)庫(kù)進(jìn)行相應(yīng)操作�。
3. 靈活審計(jì):通過(guò)對(duì)接安全管理平臺(tái),使用一套模型和規(guī)范��,對(duì)用戶操作過(guò)程進(jìn)行全息留痕�����,以提供審計(jì)支持���。
4. 賬戶管理:支持對(duì)所有登錄帳號(hào)的集中管理,降低了管理大量用戶帳號(hào)的難度和工作量�。同時(shí),還能夠制定統(tǒng)一����、標(biāo)準(zhǔn)的用戶帳號(hào)安全策略;同時(shí)�,集中帳號(hào)管理可以實(shí)現(xiàn)將帳號(hào)與具體的自然人相關(guān)聯(lián),從而實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)�����。
5. 統(tǒng)一身份認(rèn)證:為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理���,而且能夠采用更加安全的認(rèn)證模式�,提高認(rèn)證的安全性和可靠性��。集中身份認(rèn)證提供UKEY����、數(shù)字證書(shū)、一次性口令和密碼橋等多種認(rèn)證方式��;同時(shí)還提供接口�����,方便與第三方認(rèn)證服務(wù)對(duì)接�����。
6. 統(tǒng)一資源授權(quán):提供統(tǒng)一的界面�����,對(duì)用戶��、角色、行為和資源進(jìn)行授權(quán)����,以達(dá)到對(duì)權(quán)限的細(xì)粒度控制,最大限度保護(hù)用戶數(shù)據(jù)的安全��。通過(guò)集中訪問(wèn)授權(quán)和訪問(wèn)控制可以對(duì)用戶通過(guò)B/S對(duì)數(shù)據(jù)的訪問(wèn)進(jìn)行審計(jì)和阻斷�。授權(quán)的對(duì)象包括用戶、用戶角色和用戶行為�����。系統(tǒng)不但能授權(quán)用戶“可以通過(guò)什么角色訪問(wèn)資源”等基于應(yīng)用邊界的粗粒度授權(quán)�,對(duì)某些應(yīng)用還可限制用戶的操作����,及“在什么時(shí)間進(jìn)行操作”等細(xì)粒度授權(quán)。
7. 細(xì)粒度訪問(wèn)控制:提供細(xì)粒度的訪問(wèn)控制�,最大限度保護(hù)用戶資源的安全。細(xì)粒度的命令策略是命令的集合�,可以是一組可執(zhí)行命令,也可以是一組非可執(zhí)行的命令���。該命令集合用來(lái)分配給具體的用戶�,來(lái)限制其系統(tǒng)行為,管理員會(huì)根據(jù)其自身的角色�,為其指定相應(yīng)的控制策略來(lái)限定用戶。訪問(wèn)控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)����,制定良好的訪問(wèn)策略能夠更好的提高系統(tǒng)安全性。
8. 操作行為審計(jì):操作行為審計(jì)管理主要審計(jì)操作人員的帳號(hào)使用情況(登錄��、訪問(wèn))等�����。操作行為審計(jì)能更好地對(duì)帳號(hào)的完整使用過(guò)程進(jìn)行追蹤����,并對(duì)事后溯源提供一定的依據(jù)。
客戶價(jià)值
通過(guò)上述解決方案�,安華金和數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)(DOMS)有效滿足了某運(yùn)營(yíng)商客戶面臨的數(shù)據(jù)安全運(yùn)維管理需求——數(shù)據(jù)安全可視、數(shù)據(jù)安全可控�����、數(shù)據(jù)安全合規(guī)�。除上述價(jià)值外,安華金和提供的解決方案還為該運(yùn)營(yíng)商客戶帶來(lái)如下價(jià)值:
規(guī)范運(yùn)維行為
1. 規(guī)則策略
DOMS為客戶提供語(yǔ)句操作規(guī)則����,通過(guò)配置訪問(wèn)來(lái)源����、操作對(duì)象�����、執(zhí)行結(jié)果�����、條件限制���、時(shí)間等元素,生成針對(duì)數(shù)據(jù)庫(kù)的操作規(guī)則����,以此定義合法操作與非法操作。
2. 身份識(shí)別
DOMS采用雙因素身份認(rèn)證機(jī)制���,準(zhǔn)確識(shí)別運(yùn)維人員身份�,認(rèn)證機(jī)制包括審批口令碼���、動(dòng)態(tài)令牌�、Web身份認(rèn)證和UKey身份認(rèn)證。
3. 操作審批
DOMS要求運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)的一切高危操作�、重要操作和涉敏操作必須先經(jīng)過(guò)審批后才可執(zhí)行,并能在其執(zhí)行過(guò)程中持續(xù)監(jiān)控相關(guān)操作���,確保與審批操作的一致性����。
4. 行為審計(jì)
DOMS不僅能夠?qū)徲?jì)所有針對(duì)數(shù)據(jù)庫(kù)的操作行為�,還能夠?qū)徲?jì)運(yùn)維操作的申請(qǐng)及審批信息。
遮蔽敏感數(shù)據(jù)
DOMS能夠提供敏感數(shù)據(jù)掩碼遮蓋返回能力�����,限制具有超高權(quán)限的運(yùn)維賬戶讀取敏感數(shù)據(jù)�。同時(shí),確保運(yùn)維人員的日常工作(數(shù)據(jù)備份恢復(fù)����、資源清理、系統(tǒng)狀態(tài)監(jiān)控與維護(hù)等)不受影響�,而是僅在查詢(xún)敏感數(shù)據(jù)時(shí)返回遮蔽后的結(jié)果。
產(chǎn)品咨詢(xún):4000 258 365 
