技术分享:等保下的数据库安全解决方案
背景
网络安全等级保护2.0安全防护思想“一个中心,三重防护”的纵深防御体系构建,三重防护下的核心即数据安全防护,在网络安全等级保护2.0基本要求的分类中,将数据安全的相关要求归类在安全计算环境中。
数据安全防护核心两点:保障数据的可用性、保密性、完整性及数据源的不可否认性;数据生命周期各阶段所面临威胁的安全防护。
数据安全生命周期
六个阶段
1.创建 :数字数据产生、已存在内容的修改;
2.存储 :数字数据提交到数据存储仓库,与数据创建同步;
3.使用 :查看数据、处理数据或其他数据使用活动;
4.共享 :让其他实体访问数据的活动,如用户间共享数据;
5.归档 :将不频繁使用的数据进行长期保存;
6.销毁:使用物理或数字方式永久销毁数据。
网络安全等级保护基本要求分为:技术要求和管理要求
graph
A[网络安全等级保护基本要求]
A --> B[技术要求]
A --> C[管理要求]
B --> D[安全物理环境]
B --> E[安全通信环境]
B --> F[安全区域边界]
B --> G[<span style='color:red'>安全计算环境<span>]
B --> H[安全管理中心]
C --> I[安全管理制度]
C --> J[安全管理机构]
C --> K[安全管理人员]
C --> L[安全建设管理]
C --> M[安全运维管理]
安全计算环境中关于数据安全的安全防护要求涉及的控制点
第三级 安全通用要求之安全计算环境包括11个控制点,每个控制点包含的条款数如下表(表中标*部分为要求数据安全控制点)
控制点 |
条款数 |
要求数据安全控制点 |
身份鉴别 |
4 |
* |
数据完整性 |
2 |
* |
访问控制 |
7 |
* |
数据保密性 |
2 |
* |
安全审计 |
4 |
* |
数据备份恢复 |
3 |
* |
剩余信息保护 |
2 |
* |
入侵防范 |
5 |
|
恶意代码防范 |
1 |
|
个人信息保护 |
2 |
|
可信验证 |
1 |
计算环境中涉及的控制点介绍
数据完整性:
a)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
适用保护对象 主要针对数据存储、使用、共享
数据保密性:
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
适用保护对象 主要针对数据存储、使用、共享
数据备份与恢复:
应提供重要数据的本地数据备份与恢复功能;
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
【适用保护对象】主要针对数据归档
剩余信息保护:
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
【适用保护对象】主要针对数据销毁
安全防护措施
基于等级保护基本要求,数据安全在其各生命阶段的安全需求及防护措施如下表:
数据生命周期阶段 |
数据安全 |
概述 |
创建 |
数据采集认证和风险评估 |
明确采集规范,制定采集策略,完善数据采集风险评估以及 |
存储 |
数据传输加密控制 |
保证数据采集的合规合法性。对数据来源进行源鉴别和记录 |
归档 |
数据存储加密 |
使用合适的加密算法对数据进行加密传输。 |
使用 |
数据授权和脱敏使用 |
制定存储介质标准和存储系统的安全防护是重要标准 |
共享 |
数据安全共享交换 |
数据脱敏的业务场景和统一使用适合的脱敏技术是数据处理的关键。 |
销毁 |
数据销毁追溯与责任 |
建立销毁监察机制严防数据销毁阶段可能出现的数据泄露问 |
数据库基线加固内容
总体要求
由于各个数据库支持的功能不一样,里面的对应等保要求实现方法以及程度不一样,具体可参考对应的加固基线。总体的要求如下:
A 账号与授权
• 应按照用户分配账号,避免不同用户间共享账号;
• 应删除或锁定与数据库运行、维护等工作无关的账号;
• 删除过期账号;
• 修改或禁用默认管理员账号名称,例如:sa,sys,sysdba等;
• 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
B 安全策略
在数据库支持的范围内,设置和启用相应的安全策略,例如:停用不必要的存储过程、加密通讯协议;禁止超级用户远程登陆等
C 口令
对采用静态口令认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中的2-3类。
D 日志
数据库应配置日志审计功能,并做好日志留存工作。
E 安全补丁
在保证业务可用性的前提下,经过分析测试后(在非生产环境中),可以选择更新使用最新版本的补丁。这里具体可以以漏扫结果作为标准,如果漏扫没有问题,也可以不安装补丁。
F IP地址/端口访问控制
通过数据库所在操作系统或网络中的防火墙限制,只有信任的IP地址/端口才能通过监听器访问数据库。
禁止root用户远程登录的方法
vi /etc/ssh/sshd_config,将PermitRootLogin的值改成yes,并保存
PermitRootLogin no
2)systemctl restart sshd.service
-FIN-
技术分享:等保下的数据库安全解决方案相关推荐
- 技术分享|在Ubuntu下编译安装GreatSQL
本文首发于GreatSQL社区,原创内容未经授权不得随意使用,转载请联系小编并注明来源. 1.准备工作 1.1.配置Ubuntu环境下的apt源配置文件 1.2.构建docker镜像 2.编译Grea ...
- 技术分享 | Linux 环境下针对进程维度的监控实现
作者:莫善 某互联网公司高级 DBA. 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源. 一.背景介绍 运维工作中可能会遇到这么一个痛点,因线上机器基 ...
- 【技术分享】Ubuntu下使用微信教程
做后端开发的同学用的Linux(ubuntu),肯定会因为没有适配微信版本会感觉不太舒服,很多时候因为缺少一些办公通讯软件而感到不便.现在已经有很方便的Wine WeChat方案,但是微信在Wine上 ...
- 【技术分享】Windows10下安装Nvidia显卡驱动及cuda和cudnn
文章目录 下载cuda安装包 安装cuda 安装cudnn 下载cuda安装包 这里我用CUDA10.1演示,具体看个人需求选择版本,如果已经安装好显卡驱动,需要根据显卡驱动版本选择对应的CUDA工具 ...
- 【技术分享】Windows10下安装深度学习常用软件教程分享
文章目录 Anaconda3 vscode geek chrome everything 向日葵远程软件 Anaconda3 anaconda3用于有效管理python函数库 在anaconda3官网 ...
- 技术分享 | 混合云模式下SaaS端前端最佳实践
导读:集成开放平台采用的是混合云部署架构,包含两个大的组件,管理控制台和引擎.管理控制台是SaaS的,部署在公有云,按租户隔离.引擎部署在客户私有云.一套SaaS版的管理控制台如何适配不同客户的引擎, ...
- 【华为云技术分享】三大前端技术(React,Vue,Angular)探密(下)
[华为云技术分享]三大前端技术(React,Vue,Angular)探密(上) [Angular] Angular(通常被称为 "Angular 2+"或 "Angula ...
- Unity游戏帧同步技术分享篇【01】帧同步解决方案概述
前言: 1.0 帧同步原理与简介 A.什么是帧同步? 帧同步是一种前后端数据同步的方式,一般应用于对实时性要求很高的网络游戏. 其基本实现流程及思路可以概括为: 1.所有客户端每帧上传操作指令集到服务 ...
- 对称加密算法_技术分享丨这是一篇简单的小科普——什么是对称加密算法?(下)...
大家好~我是贾正经,又到了干货满满的技术分享趴啦~ 上期我们讲解了对称加密算法的小知识,并介绍了国密算法中SM4算法的原理.(上集回顾) 本期带大家了解一下分组密码的五个模式. 分组密码的模式 首先了 ...
最新文章
- centos 禁用root登录
- 田志刚:企业知识库如何跟Google、百度竞争?
- python语音引擎深度学习_python深度学习之语音识别(speech recognize)
- js的navigator对象的使用(浏览器信息)
- 【Java】睡眠排序
- maven下载安装环境配置
- 大一微积分笔记整理_大一高等数学学习方法
- 一元线性模型的中位数回归
- 技术变化太快,程序员咋办? 从Adobe Flash想到那些年我幸运躲过的MFC和塞班
- 【NOIP2015 DAY1 T3 】斗地主(landlords)
- EI 收录的出版物目录(EI检索目录表格官方下载)
- *2-3 OJ 1164 导弹拦截之升级版
- Ubuntu 快捷键使用说明(一)--截图
- 2020年高校微信小程序开发大赛全国三等奖——《重邮指路牌》
- shell编程入门(一天掌握shell编程)
- 2019计算机一级msoffice真题,【2019年整理】全国计算机一级MSOFFICE练习题带题解.pdf...
- Flex RemoteObject之BUG
- 排序算法之插入排序--Java语言
- 脑分享 | 脑结构、脑工作原理最详细图解
- 《Cesium 基础知识点》- 大气层(地表和天空)