隨著政務(wù)數(shù)據(jù)共享、數(shù)據(jù)互通與大數(shù)據(jù)時(shí)代的到來,政務(wù)數(shù)據(jù)面臨的挑戰(zhàn)也越來越多,例如:來自外部的數(shù)據(jù)竊取攻擊,內(nèi)部有意或者無意的針對(duì)數(shù)據(jù)的惡意操作與泄露,同時(shí)還面臨來自國(guó)家及主管機(jī)構(gòu)的合規(guī)要求,為保護(hù)國(guó)家秘密的安全,國(guó)家保密局于2007年發(fā)布并實(shí)施的分保保密要求,對(duì)涉及國(guó)家秘密的信息系統(tǒng)的安全保密措施,分別提出了分級(jí)保護(hù)的技術(shù)要求和及測(cè)評(píng)要求,對(duì)于達(dá)不到分級(jí)保護(hù)要求的涉密信息系統(tǒng)則停止運(yùn)行。在數(shù)據(jù)保密方面,分級(jí)保護(hù)要求機(jī)密級(jí)以上系統(tǒng)要從運(yùn)行管理三權(quán)分立、身份鑒別、訪問控制、安全審計(jì)等方面進(jìn)行了一系列的技術(shù)和測(cè)評(píng)要求,并占據(jù)了較高的比重。
(1)傳統(tǒng)解決方案對(duì)應(yīng)用訪問和數(shù)據(jù)庫(kù)訪問協(xié)議沒有任何控制能力;
(2)數(shù)據(jù)泄露常常發(fā)生在內(nèi)部,大量的運(yùn)維人員直接接觸敏感數(shù)據(jù);
(3)缺乏數(shù)據(jù)庫(kù)安全管控手段,需要實(shí)現(xiàn)精細(xì)控制;
(4)數(shù)據(jù)庫(kù)的存儲(chǔ)文件解析后為明文;
(5)數(shù)據(jù)訪問追蹤信息出現(xiàn)斷層,需要業(yè)務(wù)用戶關(guān)聯(lián)審計(jì),信息中心需要準(zhǔn)確、詳細(xì)的審計(jì)記錄,需要將數(shù)據(jù)的訪問真正定位到操作人,才能有效定責(zé)問責(zé)。
檢查預(yù)警:安全狀況檢查
通過部署數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng),對(duì)電子政務(wù)外網(wǎng)中的核心數(shù)據(jù)庫(kù)進(jìn)行安全狀況檢查,包括相關(guān)數(shù)據(jù)庫(kù)安全漏洞、安全配置、弱口令、缺省口令、補(bǔ)丁更新、脆弱代碼、程序后門等檢測(cè)項(xiàng),有效評(píng)估后建立數(shù)據(jù)庫(kù)安全基線,并提供加固建議。
主動(dòng)防御:訪問控制防護(hù)
進(jìn)行數(shù)據(jù)庫(kù)級(jí)別的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為攔截,面對(duì)來自于外部的入侵行為,提供防SQL注入禁止和數(shù)據(jù)庫(kù)虛擬補(bǔ)丁包功能;通過虛擬補(bǔ)丁防護(hù),保證數(shù)據(jù)庫(kù)系統(tǒng)不用升級(jí)、打補(bǔ)丁,即可完成對(duì)主要數(shù)據(jù)庫(kù)漏洞的防控。有效的保護(hù)后臺(tái)數(shù)據(jù)庫(kù)不暴露在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,構(gòu)建數(shù)據(jù)庫(kù)的安全防護(hù)。
事后追查:數(shù)據(jù)流向監(jiān)控
通過數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)幫助安全管理員建立數(shù)據(jù)庫(kù)的“攝像頭”, 對(duì)數(shù)據(jù)庫(kù)協(xié)議進(jìn)行準(zhǔn)確識(shí)別,記錄和回放電子政務(wù)外網(wǎng)數(shù)據(jù)庫(kù)的攻擊、篡改、批量、誤操作等風(fēng)險(xiǎn)行為,提升數(shù)據(jù)庫(kù)的安全監(jiān)控和溯源能力,為事后追溯定責(zé)提供準(zhǔn)確依據(jù)。
敏感數(shù)據(jù)修改記入審計(jì)記錄
對(duì)敏感信息的修改需要在進(jìn)行數(shù)據(jù)庫(kù)操作的時(shí)候全部記入審計(jì)記錄,同時(shí)要確保數(shù)據(jù)庫(kù)審計(jì)設(shè)備不可繞過,審計(jì)數(shù)據(jù)不會(huì)被篡改。
軟件開發(fā)商和信息維護(hù)人員權(quán)責(zé)分明
通過獨(dú)立的權(quán)限控制能力,以及基于IP和時(shí)間的精細(xì)控制,嚴(yán)格保證合法的用戶才能訪問敏感信息,通過敏感數(shù)據(jù)詳細(xì)變更審計(jì)能力,準(zhǔn)確追蹤敏感信息的訪問行為。在出現(xiàn)問題的時(shí)候,可以能分清是哪方出的問題。
外網(wǎng)數(shù)據(jù)防黑客入侵和批量導(dǎo)出
面對(duì)來自于外部黑客的入侵行為,提供防SQL注入和數(shù)據(jù)庫(kù)虛擬補(bǔ)丁包功能;通過虛擬補(bǔ)丁包,數(shù)據(jù)庫(kù)系統(tǒng)不用升級(jí)、打補(bǔ)丁,即可完成對(duì)主要數(shù)據(jù)庫(kù)漏洞的防控。
及時(shí)阻止數(shù)據(jù)庫(kù)運(yùn)維側(cè)的誤操作和惡意操作
通過SQL協(xié)議分析,根據(jù)預(yù)定的白名單、黑名單策略決定讓合法的SQL操作通過執(zhí)行,讓可疑的非法違規(guī)操作禁止。實(shí)現(xiàn)主動(dòng)防御機(jī)制、數(shù)據(jù)庫(kù)的訪問行為權(quán)限控制、惡意及危險(xiǎn)操作阻斷式防范。
事前主動(dòng)防護(hù):明確識(shí)別敏感信息。以這些敏感數(shù)據(jù)為防護(hù)要點(diǎn),在信息安全方面建立有縱深的防護(hù)體系。
事中控制:嚴(yán)格細(xì)化敏感數(shù)據(jù)的訪問控制,主動(dòng)預(yù)防批量泄露、惡意篡改。
事后分析:全面審計(jì)、及時(shí)對(duì)惡意攻擊、非法訪問、惡意操作進(jìn)行告警,實(shí)現(xiàn)事后追溯,有效地追責(zé)定責(zé)。
運(yùn)維人員的管理:使用專業(yè)的數(shù)據(jù)庫(kù)防火墻及數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng),對(duì)DBA、第三方運(yùn)維實(shí)施人員等,實(shí)施訪問敏感信息的精細(xì)控制,包括表、字段、訪問的數(shù)據(jù)量范圍(行數(shù))等。
同時(shí)避免敏感信息被惡意篡改,或誤操導(dǎo)致被批量修改或刪除。同時(shí)將敏感數(shù)據(jù)的訪問控制細(xì)化到IP地址和時(shí)間范圍。
試用申請(qǐng)
在線咨詢
咨詢電話
TOP