隨著保險行業(yè)信息化建設的不斷推進,在業(yè)務模式轉變的過程中。新業(yè)務的不斷推出和用戶的不斷增加,已有的傳統(tǒng)防護體系已不能滿足對核心數(shù)據的防護需求。尤其在保險業(yè)復雜的人員環(huán)境中核心數(shù)據,面臨著外部攻擊、內部惡意操作及數(shù)據竊取等敏感信息訪問和泄露的風險。
防外部竊?。?/strong>防止由于數(shù)據庫漏洞攻擊和應用作為跳板的AQL注入攻擊行為造成的數(shù)據泄露
防止數(shù)據破壞及篡改:防內部有意或者無意的惡意操作對數(shù)據庫造成的破壞
防數(shù)據濫用:防止數(shù)據使用過程中的敏感數(shù)據濫用造成的數(shù)據泄露
滿足國家及行業(yè)規(guī)定:滿足等保合規(guī)及保險行業(yè)數(shù)據安全管理規(guī)定
檢查預警
通過數(shù)據庫漏洞掃描產品,自動化對數(shù)據庫漏洞實時檢查,實現(xiàn)對數(shù)據庫安全狀況的監(jiān)控。
主動防御
通過數(shù)據庫防安全防護系統(tǒng),防止惡意操作和批量導出敏感信息的行為。
規(guī)范化運維管控
通過數(shù)據庫安全運維管理系統(tǒng),對數(shù)據庫運維行為進行審批管控。
敏感數(shù)據安全脫敏
通過數(shù)據庫安全脫敏產品,對敏感數(shù)據進行變形、屏蔽、替換、隨機化、加密,將敏感數(shù)據轉化為虛構數(shù)據。
事后追查
通過數(shù)據庫監(jiān)控與審計產品,對數(shù)據庫操作行為進行監(jiān)控,為事后追溯定責提供準確依據,同時對上述行為提供郵件、短信、聲音等多種報警方式。
主動防御減少威脅
通過事中主動防御手段在數(shù)據庫前端對入侵行為做到有效的控制,通過強大特征庫和漏洞防御庫,主動防御內外部用戶的違規(guī)操作以及黑客的入侵行為。
訪問控制性
實現(xiàn)了最小授權原則,使得用戶的權限最小化,同時要求對重要信息資源設置敏感標記。
安全審計性
完成了“對用戶行為、安全事件等進行記錄”。
政策合規(guī)滿足標準
在等級保護保護基本要求中,數(shù)據庫安全是主機安全的一個部分,數(shù)據庫的測評指標是從“主機安全”和“數(shù)據安全及備份恢復”中根據數(shù)據庫的特點映射得到的。
通過對安全威脅的分析,進行整體設計與規(guī)劃,系列安全產品相互之間分工協(xié)作,共同形成整體的防護體系,覆蓋了數(shù)據庫安全防護的事前診斷、事中控制和事后分析
事前診斷:通過數(shù)據庫漏掃產品,有效檢測數(shù)據庫已知漏洞,并有效修復
事中控制:通過數(shù)據庫防火墻、數(shù)據庫安全運維和數(shù)據庫加密解決數(shù)據泄露風險問題
事后分析:通過數(shù)據庫審計技術解決數(shù)據庫訪問預警、事后稽查問題
滿足等保及行業(yè)規(guī)定