中安威士政务云数据安全加固方案之二
一、背景概述
当前,信息时代进入数据时代,数据的价值正在进一步的凸显和被挖掘。同时,数据已经成为企业的核心资产。相应的,以数据为目标的网络攻击已经成为数据时代新的安全威胁。来自Verizon的报告显示,数据泄漏事件愈发广泛且后果愈发严重。
2015年全球有近8万家公司被黑,其中2122家公司公开确认信息被窃取,全球500强企业大面积沦陷。2016年更是数据泄漏集中爆发的一年,甚至导致了一定程度的社会恐慌,以致于多个漏洞发布平台被迫关闭。
市场上现有的网络安全和操作系统安全产品,都从不同的方向提供对数据的防护。但是由于距离真实数据较远,无法从根本上防止这些数据库泄密风险。只有在现有的安全防护体系中,以数据库为中心,补充对数据的防护这一环节,部署“术业有专攻”的数据安全管理系统,才能从根本上解决数据安全问题。
二、需求分析
某省政务云平台管理大量的政府应用。所管理的数据库服务器以物理机方式部署于云下,数据库全部为Oracle,大概有300余个实例。政务应用则部署于云上。业务资源层分为政务信息网业务区、托管区、测试区和云平台管理区,重点需要对数据库服务器所在的托管区进行防护。
需要解决的具体问题有两类:
(1) 一是解决该政务云内部数据安全,也就是针对该政务云内部人员运维过程中的数据安全问题;
(2) 另一个是为该政务云的租户解决数据安全管理问题。
三、解决方案
3.1. 总体方案
依据多年对数据安全管理的经验,我司提出数据安全管理思路是“将数据关进笼子,在阳光下被访问”。如下图所示。
1)数据活动的全面审计。详细记录敏感数据被访问的情况,包括来自于外网用户和内部人员的访问,尤其是对批量访问的审计、越权操作的审计、以及特权操作的审计;
2)细粒度访问控制。阻断异常的、违规的、以及SQL注入等攻击性的查询和访问,防止敏感数据泄漏以及被破坏;
3)敏感内容脱敏。有针对性的对不同系统和运维人员,通过动态脱敏技术,实时授予对敏感数据的遮蔽、替换等不同展示方式,防止数据泄漏;同时,对例如开发、测试、数据外发等环境,提供静态脱敏技术,批量的对敏感数据脱敏,防止真实敏感数据外泄。
4)敏感内容加密。有选择性的对敏感内容加密,使敏感数据在存储、备份时以密文方式存在。通过控制加密和解密权限,提供对敏感数据访问的增强权限管理,防止超级权限被盗用和滥用导致的数据泄漏。
3.2. 实施方案
上述数据安全解决方案基于我司系列数据库安全加固产品实现。针对具体网络情况,具体的实施方案如下:
对于政务云内部运维和工作人员:
在物理数据库服务器前部署数据库动态脱敏系统,确保运维人员能进行运维的同时又接触不到真实的数据,防止了敏感数据的泄漏;
在物理数据库服务器前部署数据库静态脱敏系统,确保从生产库到开发/测试库的数据经过必要脱敏,定期批量的生成开发测试库,防止开发测试人员接触真实数据;
在物理数据库服务器前通过旁路或者分光的方式部署[数据库审计系统],记录数据库访问操作,并自动发现数据库攻击和越权行为,起到威慑作用,并为事后追溯提供依据;
部署[数据库加密系统],保护尤其重要的敏感数据,这样即使数据被窃取也看不到明文;
应用既可以通过防火墙访问数据库,也可以通过动态脱敏访问数据库。
该解决方案对于租户的系统和工作人员:
云上的租户可以选择是否用审计、防火墙、加密和脱敏,此时我司的设备均以虚拟机的方式部署;
对于云上的审计,以独有的DB探针实现。该探针技术使用SQL语句实现,获取并记录对租户数据库的一切访问,发送到独立运行的数据库审计服务器中;
租户的运维人员通过动态脱敏访问数据库,或者先后通过动态脱敏和防火墙访问数据库;
对于云上的[数据库防火墙]和动态脱敏,以单臂代理方式部署。数据库防火墙/动态脱敏在转发数据库访问通信流量的同时,对访问情况进行记录或者过滤。数据库防火墙系统通过自动学习,建立防火墙规则,从源头上阻止SQL注入、越权数据访问以及其它对数据库的攻击。动态脱敏系统则防止云上租户内部办公人员通过截屏等方式泄漏敏感信息。
四、方案价值和优势
中安威士数据安全管理解决方案基于数据库审计、数据库防火墙、数据库加密和数据库脱敏产品实现。方案完整地解决了贵单位信息系统所广泛面临的数据泄漏困境。该方案的优势体现在:
快:业界较高的处理性能:
· 连续处理能力:1~10万SQL/s
· 日志检索速度: <10秒钟,1亿记录,任意关键字组合查询
· 日志存储能力: 30~100亿SQL/TB
· 带索引的加密速率: >9k/s
智:智能化自动学习,基本实现零配置;
稳:十余年技术积累,国内较早的专利技术,上千实际案例,产品运行稳定;
全:全面的功能和全面的审计:
· 不丢包:高峰流量不丢包,完全审计
· 不漏审:全方位的审计,不漏掉从任何途径对数据库的访问
· 全功能:具有敏感数据发现、性能审计、漏洞扫描和风险评估
· 能够部署于任何环境
美:美观的报表和界面。提供大量报告模板,包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义;
细:细粒度的审计和访问控制,达到字段、语句级。
中安威士政务云数据安全加固方案之二相关推荐
- 关于对政务云密码支撑方案及应用方案设计的学习及思考
1.文章编写背景 写这篇文章的主要目的是记录和梳理我从事密码应用安全测评师工作以来学到的东西,同时也想分享给有需要的人,我们一起学习一起讨论,共同进步,如有错误和问题欢迎大家指出! 2.对于编写密码方 ...
- 政务云存储 备份方案_在线云备份对于业务解决方案有多重要?
政务云存储 备份方案 All businesses should have data protection plans in place so that if a situation arises t ...
- 政务云存储 备份方案_在线云存储是否比远程备份解决方案更好?
政务云存储 备份方案 Choosing a backup solution for business can lead you down one of two roads, cloud storage ...
- 12万字数字政府县级智慧政务云平台建设方案WORD
[版权声明]本资料来源网络,知识分享,仅供个人学习,请勿商用. [侵删致歉]如有侵权请联系小编,将在收到信息后第一时间删除! 完整资料领取见文末,部分资料内容: 1.1 总体方案设计 云平台是云计算交 ...
- 智慧政务云平台建设方案案例与基础架构
大数据技术的应用与发展正在让我们的生活经历一场深刻的"变革",而且这种变革几乎让所有人都感觉非常舒服,自然而然的就完成了这样的一个变化.最根本的原因其实是大数据技术的应用真正帮助我 ...
- 智慧人社政务云平台建设方案架构案例介绍
为什么80%的码农都做不了架构师?>>> 大数据技术的应用与发展正在让我们的生活经历一场深刻的"变革",而且这种变革几乎让所有人都感觉非常舒服,自然而然的就完成了 ...
- 智慧政务云平台建设方案架构介绍
大数据技术的应用与发展正在让我们的生活经历一场深刻的"变革",而且这种变革几乎让所有人都感觉非常舒服,自然而然的就完成了这样的一个变化.最根本的原因其实是大数据技术的应用真正帮助我 ...
- 数据库的应用(政务云一 )
中安威士电子政务云数据库安全加固案例之一 2016年10月,中安威士受邀参与了南方某市政府的电子政务云的建设项目,并具体承担了该项目中云端数据安全保护的部分工作.现将在该项目中实施的云端数据库安全加固 ...
- 中安威士成功入选《中国数据库安全市场全景图》
近日,专注于网络安全垂直领域的知名媒体"数说安全"发布了<中国数据库安全市场全景图(上)>. 报告指出"随着我国相关法律规范的相继颁布实施,数据安全开始逐步被 ...
最新文章
- Codeforces #449 div2 C题
- Vue组件的三种调用方式
- 可以将一个普通的Buffer转成只读的Buffer
- HDMI光端机是什么?hdmi光端机产品参数及性能特点介绍
- Mybatis异常Invalid bound statement (not found): com.xxx.xxxMapper.selectxxxByxxx
- flutter怎么添加ios网络权限_使用Flutter控制蓝牙通讯
- Mongoose介绍和入门
- kali文件重命名_硬核教程,必看!「网络安全入门」四、文件上传漏洞
- 6-2 某半导体存储器容量为16Kx8位,可选RAM芯片容量为4Kx4/片。地址总线A15~A0(低),双向数据线D7~D0(低),由R/W线控制读/写。请设计并画出该存储器的逻辑图,注明地址分配..
- 【洛谷试炼场】洛谷新手村——洛谷的第一个任务
- asr语音转写_利用Real-time ASR语音转写服务实现直播实时弹幕提升用户体验
- 考研作息时间安排表(19通信考研党)
- search engine “DuckDuckGo”
- Jmeter进行稳定性测试
- bde oracle 商友的流程_BDE动态连接Oracle数据库
- 51单片机入门之四:静态数码管,单片机如何驱动数码管
- 奇虎360_2017校园招聘笔试编程题第二题
- Win7环境下搭建Android安卓开发环境
- c/c++位操作简介--移位、位与、位或、异或
- ghttp作为客户端下载大文件的问题