9月3日,由網(wǎng)信聯(lián)盟與中國保密協(xié)會主辦的“保密技術(shù)創(chuàng)新與產(chǎn)業(yè)發(fā)展論壇”召開,現(xiàn)場聚集了來自政府部門、科研院所及保密行業(yè)的相關(guān)專家學(xué)者等百余位嘉賓��,以“推動保密技術(shù)創(chuàng)新融合�,構(gòu)筑產(chǎn)業(yè)發(fā)展大格局”為主題���,圍繞保密產(chǎn)業(yè)發(fā)展形勢�、相關(guān)政策�、行業(yè)趨勢等方面進行探討。
安華金和曾參與政府����、軍工等行業(yè)用戶多個涉密項目的數(shù)據(jù)安全建設(shè)���,作為數(shù)據(jù)安全領(lǐng)域的企業(yè)代表,安華金和受邀參會并帶來主題分享《新保密形勢下數(shù)據(jù)庫安全技術(shù)路線》 ���,主要圍繞幾大方面:
1�、信息安全建設(shè)的新形勢���;
2�、數(shù)據(jù)庫安全現(xiàn)狀��;
2�����、安全保密的建設(shè)依據(jù)��;
3�����、數(shù)據(jù)庫安全技術(shù)路線�����。
信息安全建設(shè)新形勢——聚焦數(shù)據(jù)
最近幾年,信息安全建設(shè)的重點和焦點一直在發(fā)生動態(tài)轉(zhuǎn)移變化�����,從最初的邊界安全建設(shè)����,到網(wǎng)絡(luò)安全建設(shè),到主機的風(fēng)控����,再到人員的管控,經(jīng)歷了幾個階段�����,每個階段都有新的需求出現(xiàn)�。隨著數(shù)據(jù)資產(chǎn)價值的攀升���,今天信息安全的防護焦點已經(jīng)從邊界安全防護轉(zhuǎn)移到了數(shù)據(jù)本身�����,作為數(shù)據(jù)的主要載體���,數(shù)據(jù)庫系統(tǒng)的安全建設(shè)正在被越來越多的企業(yè)和組織所關(guān)注���。
數(shù)據(jù)庫安全現(xiàn)狀
從目前的數(shù)據(jù)庫安全現(xiàn)狀看,即使涉密信息系統(tǒng)能夠得到企業(yè)和組織更多的重視��,然而缺乏整體的數(shù)據(jù)庫安全防護仍然使涉密數(shù)據(jù)面臨不小的安全風(fēng)險��,從技術(shù)角度來看���,數(shù)據(jù)庫本身會存在安全漏洞����,加上很多單位還仍明文形式存儲涉密數(shù)據(jù)�;另一方面,數(shù)據(jù)庫系統(tǒng)面臨內(nèi)部運維人員����、第三方外包人員和開發(fā)、測試人員等的多角色訪問����,無形中加劇了可能存在的安全隱患��。于是���,我們經(jīng)常在媒體、網(wǎng)絡(luò)上看到數(shù)據(jù)泄露事件發(fā)生�,這其中不乏涉及國家機密信息的安全事件。涉密系統(tǒng)的數(shù)據(jù)安全防護工作����,需要在防范外部攻擊、內(nèi)部竊取等安全威脅的前提下��,確保數(shù)據(jù)的正常使用和共享�����。
安全保密的建設(shè)依據(jù)——分保合規(guī)
涉密信息系統(tǒng)中存儲和使用的數(shù)據(jù)涉及國家機密信息����,需要施行更高等級的安全防護措施�。國家涉密信息系統(tǒng)分級保護政策中,從運行管理�����、身份鑒別、訪問控制�����、安全審計���、存儲加密和數(shù)據(jù)庫安全等方面進行了一系列的技術(shù)和測評要求�,并占據(jù)了較高的比重���。
就企業(yè)安全建設(shè)現(xiàn)狀來看����,目前數(shù)據(jù)庫安全對于涉密單位信息安全建設(shè)來說是核心和關(guān)鍵���,使得真正處于核心層的敏感數(shù)據(jù)載體-數(shù)據(jù)庫的保障能力得到提升�����,抗攻擊能力進一步增強�,從而保障敏感信息的安全存儲與使用�����,讓數(shù)據(jù)安全保密工作真正由“短板”變成強項。
而真正滿足分保政策合規(guī)是涉密系統(tǒng)數(shù)據(jù)安全建設(shè)的基礎(chǔ)和前提����。
數(shù)據(jù)庫安全技術(shù)路線
保密新形勢下的數(shù)據(jù)安全防護工作,同樣面臨著外部攻擊��、內(nèi)部竊取的安全威脅��,同時也要確保數(shù)據(jù)在共享����、流轉(zhuǎn)過程中的安全使用。接下來����,我們以某電子政務(wù)內(nèi)網(wǎng)的分保建設(shè)要求切入,了解安全保密工作與數(shù)據(jù)庫安全技術(shù)路線的映射關(guān)系���。
1�、安全域邊界防護
要求:安全域之間的邊界劃分明確����,相互之間數(shù)據(jù)通信應(yīng)安全可控;不同等級的安全域間通信�,有嚴格的流向要求。
解決:數(shù)據(jù)庫防火墻技術(shù)保障業(yè)務(wù)訪問安全�,實現(xiàn)不同機密與之前的數(shù)據(jù)庫在正常訪問的情況下,同時實現(xiàn)安全域與安全域之間的安全可控����;可禁止高等級安全域流向低等級。
2��、數(shù)據(jù)存儲
要求:實現(xiàn)完整性檢測��,防止非法篡改重要敏感數(shù)據(jù)��。
解決:數(shù)據(jù)庫加密技術(shù)實現(xiàn)對涉密數(shù)據(jù)進行加密存儲�,并提供密文水印��;防止數(shù)據(jù)文件級破壞�、數(shù)據(jù)記錄級的行間篡改。
3�����、運行安全
要求:對于數(shù)據(jù)庫用戶需要進行身份鑒別�����,對于可疑的訪問行為進行告警,能識別惡意代碼���,并及時更新惡意代碼庫�。
解決:數(shù)據(jù)庫漏掃工具:可以對數(shù)據(jù)庫的配置項進行檢測��,如登陸失敗的處理和失敗次數(shù)的選項設(shè)置����,能夠在可疑身份多次登錄失敗時進行告警,并且能夠檢測存儲過程��、函數(shù)中存在的惡意代碼���。
數(shù)據(jù)庫防火墻技術(shù):基于SQL注入等漏洞特征庫��,提供虛擬補丁等訪問控制功能�����,防范惡意攻擊�����。
4����、訪問控制
要求:重要信息采用分類分級的強制訪問控制策略�;做好精確的主體的訪問控制。
解決:這里可以考慮三種技術(shù)手段的結(jié)合:
1)數(shù)據(jù)資產(chǎn)梳理:涉密系統(tǒng)中對于數(shù)據(jù)的分級分類已有清晰的基礎(chǔ)���,不同密級的信息應(yīng)當(dāng)采取不同的保護手段���。如果數(shù)據(jù)規(guī)模龐大,可以使用動態(tài)梳理技術(shù)對數(shù)據(jù)的訪問來源��、試用熱度���、分布情況定進行梳理�,為下一步建立訪問控制策略打基礎(chǔ)���。
2)數(shù)據(jù)庫防火墻:對數(shù)據(jù)庫用戶進行強制訪問控制�����,實現(xiàn)唯一內(nèi)網(wǎng)接入通道�����,同時通過IP訪問控制規(guī)則�����,實現(xiàn)數(shù)據(jù)庫訪問安全保證
3)數(shù)據(jù)庫加密:對于密級程度較高的數(shù)據(jù)進行加密存儲��,數(shù)據(jù)按照列�����、行記錄可以分成不同的訪問級別��,利用三權(quán)分立機制實現(xiàn)密文訪問的權(quán)限控制和校驗��。
5�、安全審計
要求:審計記錄要全面,應(yīng)提供足夠的信息�����,并具備相應(yīng)的告警能力���。增加對涉密信息的訪問事件審計�,對于重要信息系統(tǒng)的審計要更精細化。
解決:數(shù)據(jù)庫審計技術(shù)提供數(shù)據(jù)庫全面操作的審計記錄����,有閾值設(shè)置,自動告警����,并支持審計記錄歸檔��、及按最早時間進行覆蓋的策略����。包括日期、時間�����、IP地址�����、數(shù)據(jù)庫用戶等主體�,表或存儲過程等客體,以及操作內(nèi)容��、結(jié)果等。審計安全管理員的密文權(quán)限授予行為��,記錄用戶權(quán)限變更事件����;審計數(shù)據(jù)庫用戶對密文數(shù)據(jù)的增、刪�����、改����、查操作行為。
我們以某電子政務(wù)內(nèi)網(wǎng)的安全需求入手���,在滿足分級保護要求的基礎(chǔ)上�����,提供從邊界防護����、數(shù)據(jù)存儲、運行安全��、訪問控制�、到安全審計的數(shù)據(jù)安全建設(shè)思路,供大家參考�����。
另外���,涉密信息系統(tǒng)中使用的安全保密產(chǎn)品原則上應(yīng)選國產(chǎn)設(shè)備��,安全保密產(chǎn)品應(yīng)通過國家相應(yīng)主管部分授權(quán)的測評機構(gòu)的檢測。選擇國內(nèi)自主知識產(chǎn)權(quán)的信息安全產(chǎn)品�����,同時經(jīng)過國保局測評并取得涉密資質(zhì)�。目前安華金和的數(shù)據(jù)庫加密、數(shù)據(jù)庫審計���、數(shù)據(jù)庫防火墻�、數(shù)據(jù)庫漏掃等都是滿足上述合規(guī)要求的安全保護產(chǎn)品����。
產(chǎn)品咨詢:4000 258 365 
