政務云計算中心通過數據共享平臺匯集政府單位的各類數據庫信息，形成涵蓋人口庫、法人庫、宏觀經濟庫、空間地理信息庫等在內的基礎數據倉庫；同時，在基礎庫之上建立主題庫和應用庫，用以向各需求部門提供相關數據。數據共享平臺的建立打破了傳統的“數據孤島”，讓政務大數據在“流動”中實現開放共享，更在“流動”中充分發揮價值作用。此前，A省政務云平臺雖已建成基于傳統網絡安全防護為目標的安全架構，但在應對核心數據安全與個人敏感信息保護方面尚且不足。因此，如何保障對政務數據的使用自由而安全，成為A省信息中心大數據局面臨的一道難題。

內部開發、測試或外部第三方運維等高權限用戶，通常具備直接訪問數據庫的能力。此種情況下，如果缺乏行之有效的安全管控手段，將難以避免惡意或誤操作導致的數據泄露、篡改甚至破壞等操作行為。

不法分子利用特制掃描工具，通過互聯網針對數據庫進行試探和攻擊，發現并利用系統漏洞、構造SQL注入、提權操作等手段非法入侵數據庫系統，達成對數據的惡意篡改、批量拷貝、刪除破壞等目的。

政務云環境采用大量虛擬化架構，傳統網絡安全產品的引流審計方式，無法滿足對數據庫層面的審計需求，從而導致漏審、誤審等問題。

通過對A省信息中心數據資產分布及重點訪問流程等的調研、溝通，安華金和決定有針對性地建立以“底線防守為主、主動防御為輔、有效監控溯源”的數據安全治理體系，重點解決數據存儲、數據保密性、數據批量泄露、敏感信息篡改、訪問行為監控等問題。

通過協議解析技術，實時監控數據庫漏洞攻擊行為，防止利用已知漏洞對數據庫發起的攻擊，保障數據庫安全與應用穩定；于數據庫外圍創建安全層，無需根據數據庫廠商提供的補丁做數據庫修復，也不需要停止服務和回歸測試，從而實現更及時、更輕量化的漏洞防御措施。

基于靈活的防護規則，針對外部發起的數據庫漏洞攻擊、惡意SQL注入行為、非法業務登錄、高危SQL操作以及過量數據下載等提供實時風險告警，包括：短信、郵件、企業微信、釘釘群助手、SNMP TRAP、Syslog等多種告警方式。

關聯schema、表、字段等對象形成敏感數據組，基于與或關系并結合其他防護項建立敏感數據防護規則。限定敏感數據的訪問時間、來源IP地址和訪問賬戶，針對高危操作進行語句攔截或會話阻斷。

對數據庫訪問的SQL語句及風險觸發規則進行持續學習，自動構建防護模型。根據“學習期”風險觸發情況，自動建立“保護期”防護規則，對后期可能面臨的高危操作、數據惡意篡改等風險行為進行有效識別、攔截和阻斷，實現智能化的數據安全防護。

采用在應用端部署插件的方式，基于應用會話捕獲“應用賬戶”及“應用IP”等關聯審計信息，并添加到風險策略進行風險行為監控。

從全流量中識別數據庫流量，智能分析出數據庫信息，形成數據庫資產清單，支持自動加入審計列表，全程免人工干預。

基于協議分析、完全SQL解析、參數化匹配、長語句解析、多語句解析和應用關聯技術，創造了業界準確的數據庫審計產品，為審計記錄、風險追蹤提供了堅實的基礎。

詳細記錄數十項關鍵會話信息和語句信息，涵蓋客戶端信息、數據庫信息、對象信息、SQL語句信息、結果集信息、應身份信息等方面。

采用在線、備份、外送三種存儲機制及高壓縮高性能處理技術，實現海量數據差異化存儲，滿足日志信息保留半年以上的要求。

通過對業務/運維人員數據訪問過程的稽核，持續規范、優化數據庫運維管理流程。

確保數據在訪問、開發、測試、分析、共享等場景下的合規使用，同時嚴格遵循數據使用的最小化原則。

幫助安全管理員在海量數據訪問中及時發現風險、準確定位問題，并形成有效的追溯鏈條，讓安全管理員能夠全面掌握業務數據庫的實時運行狀況。

通過持續合作建設，應用數據庫加密系統等更多安全產品與技術手段，逐步打造適合A省信息中心的數據安全縱深防御體系，從而不斷提升數據安全性。