近年來,A省持續打造集計算資源、存儲資源于一體的高效政務云計算中心,逐步完成了各級單位近百個業務系統的遷移“上云”,其中包括各級行政審批服務局網站群、公安局警務云、政法委社會治理網格化綜合信息平臺、城管局智慧城管等一系列重要電子政務系統。
政務云計算中心通過數據共享平臺匯集政府單位的各類數據庫信息,形成涵蓋人口庫、法人庫、宏觀經濟庫、空間地理信息庫等在內的基礎數據倉庫;同時,在基礎庫之上建立主題庫和應用庫,用以向各需求部門提供相關數據。數據共享平臺的建立打破了傳統的“數據孤島”,讓政務大數據在“流動”中實現開放共享,更在“流動”中充分發揮價值作用。此前,A省政務云平臺雖已建成基于傳統網絡安全防護為目標的安全架構,但在應對核心數據安全與個人敏感信息保護方面尚且不足。因此,如何保障對政務數據的使用自由而安全,成為A省信息中心大數據局面臨的一道難題。
痛點分析
1
高權限管控難
內部開發、測試或外部第三方運維等高權限用戶,通常具備直接訪問數據庫的能力。此種情況下,如果缺乏行之有效的安全管控手段,將難以避免惡意或誤操作導致的數據泄露、篡改甚至破壞等操作行為。
2
黑客攻擊威脅
不法分子利用特制掃描工具,通過互聯網針對數據庫進行試探和攻擊,發現并利用系統漏洞、構造SQL注入、提權操作等手段非法入侵數據庫系統,達成對數據的惡意篡改、批量拷貝、刪除破壞等目的。
3
網絡安全盲點
政務云環境采用大量虛擬化架構,傳統網絡安全產品的引流審計方式,無法滿足對數據庫層面的審計需求,從而導致漏審、誤審等問題。
建設思路
通過對A省信息中心數據資產分布及重點訪問流程等的調研、溝通,安華金和決定有針對性地建立以“底線防守為主、主動防御為輔、有效監控溯源”的數據安全治理體系,重點解決數據存儲、數據保密性、數據批量泄露、敏感信息篡改、訪問行為監控等問題。
其一,經過安全狀況摸底,了解到A省信息中心對自身數據資產情況了解較為清晰,能夠快速定位客戶重點數據庫并掌握數據的流向。
其二,對摸底情況進行分析,向A省信息中心的數據使用管控流程提供安全建議,進一步強化數據在訪問、運維、外發、存儲、測試等場景下的安全性。
其三,應用安華金和數據庫安全防護系統,在應用服務器和數據庫服務器之間進行串聯,構建針對數據庫及數據訪問及使用的安全管控手段。
其四,應用安華金和數據庫安全審計系統,對數據訪問行為進行重點稽核,監督數據安全落實情況,及時針對數據訪問及使用過程中的潛在風險進行告警。
解決方案
數據庫安全防護系統
1
虛擬補丁主動防御
通過協議解析技術,實時監控數據庫漏洞攻擊行為,防止利用已知漏洞對數據庫發起的攻擊,保障數據庫安全與應用穩定;于數據庫外圍創建安全層,無需根據數據庫廠商提供的補丁做數據庫修復,也不需要停止服務和回歸測試,從而實現更及時、更輕量化的漏洞防御措施。
2
實時告警及時處置
基于靈活的防護規則,針對外部發起的數據庫漏洞攻擊、惡意SQL注入行為、非法業務登錄、高危SQL操作以及過量數據下載等提供實時風險告警,包括:短信、郵件、企業微信、釘釘群助手、SNMP TRAP、Syslog等多種告警方式。
3
防止敏感信息泄露
關聯schema、表、字段等對象形成敏感數據組,基于與或關系并結合其他防護項建立敏感數據防護規則。限定敏感數據的訪問時間、來源IP地址和訪問賬戶,針對高危操作進行語句攔截或會話阻斷。
4
行為建模減少誤判
對數據庫訪問的SQL語句及風險觸發規則進行持續學習,自動構建防護模型。根據“學習期”風險觸發情況,自動建立“保護期”防護規則,對后期可能面臨的高危操作、數據惡意篡改等風險行為進行有效識別、攔截和阻斷,實現智能化的數據安全防護。
數據庫安全審計系統
1
應用關聯
采用在應用端部署插件的方式,基于應用會話捕獲“應用賬戶”及“應用IP”等關聯審計信息,并添加到風險策略進行風險行為監控。
2
自動發現
從全流量中識別數據庫流量,智能分析出數據庫信息,形成數據庫資產清單,支持自動加入審計列表,全程免人工干預。
3
精確審計
基于協議分析、完全SQL解析、參數化匹配、長語句解析、多語句解析和應用關聯技術,創造了業界準確的數據庫審計產品,為審計記錄、風險追蹤提供了堅實的基礎。
4
全面審計
詳細記錄數十項關鍵會話信息和語句信息,涵蓋客戶端信息、數據庫信息、對象信息、SQL語句信息、結果集信息、應身份信息等方面。
5
海量日志多態存儲
采用在線、備份、外送三種存儲機制及高壓縮高性能處理技術,實現海量數據差異化存儲,滿足日志信息保留半年以上的要求。
應用效果
1
實現賬號及權限的有效管理
通過對業務/運維人員數據訪問過程的稽核,持續規范、優化數據庫運維管理流程。
2
實現細粒度的權限控制
確保數據在訪問、開發、測試、分析、共享等場景下的合規使用,同時嚴格遵循數據使用的最小化原則。
3
實現全面的審計監控
幫助安全管理員在海量數據訪問中及時發現風險、準確定位問題,并形成有效的追溯鏈條,讓安全管理員能夠全面掌握業務數據庫的實時運行狀況。
4
進一步建立底線防守機制
通過持續合作建設,應用數據庫加密系統等更多安全產品與技術手段,逐步打造適合A省信息中心的數據安全縱深防御體系,從而不斷提升數據安全性。