9月3日,由網(wǎng)信聯(lián)盟與中國(guó)保密協(xié)會(huì)主辦的“保密技術(shù)創(chuàng)新與產(chǎn)業(yè)發(fā)展論壇”召開,現(xiàn)場(chǎng)聚集了來自政府部門、科研院所及保密行業(yè)的相關(guān)專家學(xué)者等百余位嘉賓,以“推動(dòng)保密技術(shù)創(chuàng)新融合,構(gòu)筑產(chǎn)業(yè)發(fā)展大格局”為主題,圍繞保密產(chǎn)業(yè)發(fā)展形勢(shì)、相關(guān)政策、行業(yè)趨勢(shì)等方面進(jìn)行探討。
安華金和曾參與政府、軍工等行業(yè)用戶多個(gè)涉密項(xiàng)目的數(shù)據(jù)安全建設(shè),作為數(shù)據(jù)安全領(lǐng)域的企業(yè)代表,安華金和受邀參會(huì)并帶來主題分享《新保密形勢(shì)下數(shù)據(jù)庫安全技術(shù)路線》 ,主要圍繞幾大方面:
1、信息安全建設(shè)的新形勢(shì);
2、數(shù)據(jù)庫安全現(xiàn)狀;
2、安全保密的建設(shè)依據(jù);
3、數(shù)據(jù)庫安全技術(shù)路線。
最近幾年,信息安全建設(shè)的重點(diǎn)和焦點(diǎn)一直在發(fā)生動(dòng)態(tài)轉(zhuǎn)移變化,從最初的邊界安全建設(shè),到網(wǎng)絡(luò)安全建設(shè),到主機(jī)的風(fēng)控,再到人員的管控,經(jīng)歷了幾個(gè)階段,每個(gè)階段都有新的需求出現(xiàn)。隨著數(shù)據(jù)資產(chǎn)價(jià)值的攀升,今天信息安全的防護(hù)焦點(diǎn)已經(jīng)從邊界安全防護(hù)轉(zhuǎn)移到了數(shù)據(jù)本身,作為數(shù)據(jù)的主要載體,數(shù)據(jù)庫系統(tǒng)的安全建設(shè)正在被越來越多的企業(yè)和組織所關(guān)注。
從目前的數(shù)據(jù)庫安全現(xiàn)狀看,即使涉密信息系統(tǒng)能夠得到企業(yè)和組織更多的重視,然而缺乏整體的數(shù)據(jù)庫安全防護(hù)仍然使涉密數(shù)據(jù)面臨不小的安全風(fēng)險(xiǎn),從技術(shù)角度來看,數(shù)據(jù)庫本身會(huì)存在安全漏洞,加上很多單位還仍明文形式存儲(chǔ)涉密數(shù)據(jù);另一方面,數(shù)據(jù)庫系統(tǒng)面臨內(nèi)部運(yùn)維人員、第三方外包人員和開發(fā)、測(cè)試人員等的多角色訪問,無形中加劇了可能存在的安全隱患。于是,我們經(jīng)常在媒體、網(wǎng)絡(luò)上看到數(shù)據(jù)泄露事件發(fā)生,這其中不乏涉及國(guó)家機(jī)密信息的安全事件。涉密系統(tǒng)的數(shù)據(jù)安全防護(hù)工作,需要在防范外部攻擊、內(nèi)部竊取等安全威脅的前提下,確保數(shù)據(jù)的正常使用和共享。
涉密信息系統(tǒng)中存儲(chǔ)和使用的數(shù)據(jù)涉及國(guó)家機(jī)密信息,需要施行更高等級(jí)的安全防護(hù)措施。國(guó)家涉密信息系統(tǒng)分級(jí)保護(hù)政策中,從運(yùn)行管理、身份鑒別、訪問控制、安全審計(jì)、存儲(chǔ)加密和數(shù)據(jù)庫安全等方面進(jìn)行了一系列的技術(shù)和測(cè)評(píng)要求,并占據(jù)了較高的比重。
就企業(yè)安全建設(shè)現(xiàn)狀來看,目前數(shù)據(jù)庫安全對(duì)于涉密單位信息安全建設(shè)來說是核心和關(guān)鍵,使得真正處于核心層的敏感數(shù)據(jù)載體-數(shù)據(jù)庫的保障能力得到提升,抗攻擊能力進(jìn)一步增強(qiáng),從而保障敏感信息的安全存儲(chǔ)與使用,讓數(shù)據(jù)安全保密工作真正由“短板”變成強(qiáng)項(xiàng)。
而真正滿足分保政策合規(guī)是涉密系統(tǒng)數(shù)據(jù)安全建設(shè)的基礎(chǔ)和前提。
保密新形勢(shì)下的數(shù)據(jù)安全防護(hù)工作,同樣面臨著外部攻擊、內(nèi)部竊取的安全威脅,同時(shí)也要確保數(shù)據(jù)在共享、流轉(zhuǎn)過程中的安全使用。接下來,我們以某電子政務(wù)內(nèi)網(wǎng)的分保建設(shè)要求切入,了解安全保密工作與數(shù)據(jù)庫安全技術(shù)路線的映射關(guān)系。
1、安全域邊界防護(hù)
要求:安全域之間的邊界劃分明確,相互之間數(shù)據(jù)通信應(yīng)安全可控;不同等級(jí)的安全域間通信,有嚴(yán)格的流向要求。
解決:數(shù)據(jù)庫防火墻技術(shù)保障業(yè)務(wù)訪問安全,實(shí)現(xiàn)不同機(jī)密與之前的數(shù)據(jù)庫在正常訪問的情況下,同時(shí)實(shí)現(xiàn)安全域與安全域之間的安全可控;可禁止高等級(jí)安全域流向低等級(jí)。
2、數(shù)據(jù)存儲(chǔ)
要求:實(shí)現(xiàn)完整性檢測(cè),防止非法篡改重要敏感數(shù)據(jù)。
解決:數(shù)據(jù)庫加密技術(shù)實(shí)現(xiàn)對(duì)涉密數(shù)據(jù)進(jìn)行加密存儲(chǔ),并提供密文水印;防止數(shù)據(jù)文件級(jí)破壞、數(shù)據(jù)記錄級(jí)的行間篡改。
3、運(yùn)行安全
要求:對(duì)于數(shù)據(jù)庫用戶需要進(jìn)行身份鑒別,對(duì)于可疑的訪問行為進(jìn)行告警,能識(shí)別惡意代碼,并及時(shí)更新惡意代碼庫。
解決:數(shù)據(jù)庫漏掃工具:可以對(duì)數(shù)據(jù)庫的配置項(xiàng)進(jìn)行檢測(cè),如登陸失敗的處理和失敗次數(shù)的選項(xiàng)設(shè)置,能夠在可疑身份多次登錄失敗時(shí)進(jìn)行告警,并且能夠檢測(cè)存儲(chǔ)過程、函數(shù)中存在的惡意代碼。
數(shù)據(jù)庫防火墻技術(shù):基于SQL注入等漏洞特征庫,提供虛擬補(bǔ)丁等訪問控制功能,防范惡意攻擊。
4、訪問控制
要求:重要信息采用分類分級(jí)的強(qiáng)制訪問控制策略;做好精確的主體的訪問控制。
解決:這里可以考慮三種技術(shù)手段的結(jié)合:
1)數(shù)據(jù)資產(chǎn)梳理:涉密系統(tǒng)中對(duì)于數(shù)據(jù)的分級(jí)分類已有清晰的基礎(chǔ),不同密級(jí)的信息應(yīng)當(dāng)采取不同的保護(hù)手段。如果數(shù)據(jù)規(guī)模龐大,可以使用動(dòng)態(tài)梳理技術(shù)對(duì)數(shù)據(jù)的訪問來源、試用熱度、分布情況定進(jìn)行梳理,為下一步建立訪問控制策略打基礎(chǔ)。
2)數(shù)據(jù)庫防火墻:對(duì)數(shù)據(jù)庫用戶進(jìn)行強(qiáng)制訪問控制,實(shí)現(xiàn)唯一內(nèi)網(wǎng)接入通道,同時(shí)通過IP訪問控制規(guī)則,實(shí)現(xiàn)數(shù)據(jù)庫訪問安全保證
3)數(shù)據(jù)庫加密:對(duì)于密級(jí)程度較高的數(shù)據(jù)進(jìn)行加密存儲(chǔ),數(shù)據(jù)按照列、行記錄可以分成不同的訪問級(jí)別,利用三權(quán)分立機(jī)制實(shí)現(xiàn)密文訪問的權(quán)限控制和校驗(yàn)。
5、安全審計(jì)
要求:審計(jì)記錄要全面,應(yīng)提供足夠的信息,并具備相應(yīng)的告警能力。增加對(duì)涉密信息的訪問事件審計(jì),對(duì)于重要信息系統(tǒng)的審計(jì)要更精細(xì)化。
解決:數(shù)據(jù)庫審計(jì)技術(shù)提供數(shù)據(jù)庫全面操作的審計(jì)記錄,有閾值設(shè)置,自動(dòng)告警,并支持審計(jì)記錄歸檔、及按最早時(shí)間進(jìn)行覆蓋的策略。包括日期、時(shí)間、IP地址、數(shù)據(jù)庫用戶等主體,表或存儲(chǔ)過程等客體,以及操作內(nèi)容、結(jié)果等。審計(jì)安全管理員的密文權(quán)限授予行為,記錄用戶權(quán)限變更事件;審計(jì)數(shù)據(jù)庫用戶對(duì)密文數(shù)據(jù)的增、刪、改、查操作行為。
我們以某電子政務(wù)內(nèi)網(wǎng)的安全需求入手,在滿足分級(jí)保護(hù)要求的基礎(chǔ)上,提供從邊界防護(hù)、數(shù)據(jù)存儲(chǔ)、運(yùn)行安全、訪問控制、到安全審計(jì)的數(shù)據(jù)安全建設(shè)思路,供大家參考。
另外,涉密信息系統(tǒng)中使用的安全保密產(chǎn)品原則上應(yīng)選國(guó)產(chǎn)設(shè)備,安全保密產(chǎn)品應(yīng)通過國(guó)家相應(yīng)主管部分授權(quán)的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)。選擇國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)品,同時(shí)經(jīng)過國(guó)保局測(cè)評(píng)并取得涉密資質(zhì)。目前安華金和的數(shù)據(jù)庫加密、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫漏掃等都是滿足上述合規(guī)要求的安全保護(hù)產(chǎn)品。
電力數(shù)據(jù)安全的暴露面與針對(duì)性防護(hù)思路
CHIMA 2021 | 安華金和解讀醫(yī)療數(shù)據(jù)安全
直播|科學(xué)城·云推介:新技術(shù)+新產(chǎn)品+新服務(wù)
ISC 2021:安華金和深度參與,共建合作生態(tài)、共謀行業(yè)發(fā)展!
視頻回放 | 安華金和攜手愛數(shù)重磅發(fā)布副本數(shù)據(jù)脫敏方案
圓桌對(duì)話 | 安華金和出席2021中國(guó)汽車論壇
半年六榜 | 安華金和入選《2020年中國(guó)網(wǎng)絡(luò)安全市場(chǎng)全景圖》
安華金和數(shù)據(jù)庫安全實(shí)驗(yàn)室再次發(fā)現(xiàn)Oracle數(shù)據(jù)庫重大漏洞
安華金和榮獲2020年度中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟“優(yōu)秀會(huì)員單位”
試用申請(qǐng)
在線咨詢
咨詢電話
TOP