行業(yè)需求與挑戰(zhàn)
電子政務(wù)外網(wǎng)系統(tǒng)主要包括政府單位門戶網(wǎng)站���、公共服務(wù)系統(tǒng)類型的政務(wù)公用網(wǎng)絡(luò);系統(tǒng)分為中央���、省��、市����、縣四級電子政務(wù)外網(wǎng)平臺��。通過對各業(yè)務(wù)系統(tǒng)及各層級政務(wù)平臺的安全狀況進(jìn)行梳理��,我們將目前電子政務(wù)外網(wǎng)面臨的安全風(fēng)險(xiǎn)和需求歸納為以下幾點(diǎn):
傳統(tǒng)防護(hù)薄弱
傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)等�,由于不具備對數(shù)據(jù)庫通訊協(xié)議的解析能力�,無法實(shí)現(xiàn)對數(shù)據(jù)庫訪問行為的細(xì)粒度審計(jì)和防護(hù)�。
安全配置缺陷
對于數(shù)據(jù)庫系統(tǒng)中的默認(rèn)配置、高危程序����、弱口令、權(quán)限分配過高等配置缺陷缺乏嚴(yán)格的檢查及相應(yīng)的優(yōu)化�����,可能導(dǎo)致內(nèi)部用戶的非法訪問或越權(quán)操作�����。
外部黑客攻擊
數(shù)據(jù)庫系統(tǒng)本身存在多種安全漏洞�,加之電子政務(wù)系統(tǒng)平臺需要對外開放訪問接口�����,外部黑客可以通過漏洞攻擊或SQL注入的方式對數(shù)據(jù)庫進(jìn)行攻擊�。
內(nèi)部違規(guī)操作
第三方人員、下級單位�����、運(yùn)維人員、外包人員都有權(quán)限訪問數(shù)據(jù)庫高權(quán)限賬戶���,可以對數(shù)據(jù)庫進(jìn)行增刪改查等操作��,缺乏對此類操作的管控將可能導(dǎo)致數(shù)據(jù)被篡改��、泄漏等風(fēng)險(xiǎn)����。
安全取證困難
數(shù)據(jù)庫系統(tǒng)中�����,數(shù)據(jù)庫自身的日志系統(tǒng)可以實(shí)時(shí)或非實(shí)時(shí)的記錄侵入者���,但是數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時(shí)�,攻擊者也可獲取到數(shù)據(jù)庫系統(tǒng)高權(quán)限賬戶����,這樣可以有選擇的刪除部分或全部審計(jì)日志,導(dǎo)致無法準(zhǔn)確回溯破壞和泄露行為����,對日后調(diào)查取證造成嚴(yán)重阻礙���。
政策性要求
電子政務(wù)外網(wǎng)需要符合國家頒布的相關(guān)等級保護(hù)要求,其中對數(shù)據(jù)庫系統(tǒng)的訪問行為審計(jì)�、數(shù)據(jù)安全性等方面提出了明確的安全防護(hù)要求。
方案概述
對電子政務(wù)外網(wǎng)的數(shù)據(jù)庫系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)動態(tài)監(jiān)管���,自動化完成對數(shù)據(jù)的定期檢查��,針對為安全管理人員����、數(shù)據(jù)管理員和受控人員建立敏感數(shù)據(jù)安全管控的平臺�����。將數(shù)據(jù)的類型及敏感程度進(jìn)行整體管理�����,并針對不同級別的數(shù)據(jù)的操作及流轉(zhuǎn)進(jìn)行管理�����、審計(jì)�����,可以將數(shù)據(jù)分布情況以及使用情況進(jìn)行可視化處理��,生成數(shù)據(jù)分析報(bào)告�����,并依托分析報(bào)告完成數(shù)據(jù)安全風(fēng)險(xiǎn)評估�,最終做出合理建議,為電子政務(wù)外網(wǎng)提升數(shù)據(jù)庫安全管理工作水平����。
檢查預(yù)警-安全狀況檢查
通過部署數(shù)據(jù)庫漏洞掃描系統(tǒng),對電子政務(wù)外網(wǎng)中的核心數(shù)據(jù)庫進(jìn)行安全狀況檢查���,包括相關(guān)數(shù)據(jù)庫安全漏洞����、安全配置��、弱口令����、缺省口令��、補(bǔ)丁更新��、脆弱代碼��、程序后門等檢測項(xiàng)�,有效評估后建立數(shù)據(jù)庫安全基線��。�,并提供加固建議。
主動防御-訪問控制防護(hù)
電子政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)種類繁多���,其中不乏有需要對公眾開放的系統(tǒng)����,而WEB服務(wù)器被暴露在網(wǎng)絡(luò)之中�����,攻擊者對WEB服務(wù)器進(jìn)行網(wǎng)段掃描很容易得到后臺數(shù)據(jù)的IP和開放端口�。對這樣的隱患進(jìn)行數(shù)據(jù)庫級別的訪問行為控制���、危險(xiǎn)操作阻斷�、可疑行為攔截,面對來自于外部的入侵行為����,提供防SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)訂包功能;通過虛擬補(bǔ)丁防護(hù)����,保證數(shù)據(jù)庫系統(tǒng)不用升級、打補(bǔ)丁�����,即可完成對主要數(shù)據(jù)庫漏洞的防控�。有效的保護(hù)后臺數(shù)據(jù)庫不暴露在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,構(gòu)建數(shù)據(jù)庫的安全防護(hù)�。
事后追查,數(shù)據(jù)流向監(jiān)控
對于電子政務(wù)外網(wǎng)存在的批量導(dǎo)出敏感數(shù)據(jù)的“刷庫”行為����,需要構(gòu)建應(yīng)用的行為模型,通過數(shù)據(jù)庫審計(jì)系統(tǒng)學(xué)習(xí)模式����,在學(xué)習(xí)期內(nèi)將合法應(yīng)用的SQL語句全部捕獲�����,統(tǒng)一放到“白名單”里�,防止合法語句被誤報(bào)�����,學(xué)期完善期后切換到保護(hù)期���,此時(shí)如果出現(xiàn)了通過Web網(wǎng)站批量導(dǎo)出敏感數(shù)據(jù)的行為��,會被數(shù)據(jù)庫審計(jì)系統(tǒng)識別并進(jìn)行風(fēng)險(xiǎn)行為告警����,讓安全管理員第一時(shí)間了解電子政務(wù)外網(wǎng)系統(tǒng)的風(fēng)險(xiǎn)情況�。
通過數(shù)據(jù)庫審計(jì)系統(tǒng)幫助安全管理員建立數(shù)據(jù)庫的“攝像頭”, 對數(shù)據(jù)庫協(xié)議進(jìn)行精確識別����,記錄和回放電子政務(wù)外網(wǎng)數(shù)據(jù)庫的攻擊����、篡改�����、批量���、誤操作等風(fēng)險(xiǎn)行為,提升數(shù)據(jù)庫的安全監(jiān)控和溯源能力����,為事后追溯定責(zé)提供準(zhǔn)確依據(jù)。
十九大召開在即���,作為數(shù)據(jù)安全企業(yè)���,我們針對覆蓋各級政府機(jī)構(gòu)的電子政務(wù)外網(wǎng)的數(shù)據(jù)安全提供細(xì)粒度到數(shù)據(jù)庫安全層面的整體解決方案,以期通過專業(yè)的視角和業(yè)務(wù)實(shí)踐經(jīng)驗(yàn)分享來推動電子政務(wù)外網(wǎng)的數(shù)據(jù)安全建設(shè)�。
產(chǎn)品咨詢:4000 258 365 
