數字X東案例

發布時間:2019-08-15

一、綜述

1、項目背景

數字X東是指大力推進X東全省政務、商務、生產、生活等領域的信息化,促進信息產業、信息技術、信息資源和信息環境全面發展,將X東建成全球重要的信息產業研發制造基地、亞洲重要的電子商務中心、全國網絡民生民主先行示范區、創新集聚地,成為面向全世界、服務全國的信息區域中心,目前一二期建設已經初步投入運行。

值得注意的是,在信息化數字平臺的建設中,人們往往較重視服務器的可用性和安全性,而忽視了數據安全保護。實際上,數據才是各類應用的中樞所在,災難發生時,服務器、路由器、存儲設備等硬件資源容易快速恢復或重新配置,但是若是數據損壞或丟失,信息系統依然不能正常對外提供服務。同時,隨著大數據時代的來臨,數據成為最有價值的核心資產。大數據平臺系統為各行業、部門的精確化管理與業務優化,提供戰略的規劃與決策,同時提供了及時、準確、有力的數據支撐。與此同時,各類涉及商業秘密和敏感數據信息在處理、共享和使用過程中也面臨被違規越權使用或被用于非法用途等數據信息泄漏的安全風險。因此,數據信息已經成為信息化平臺建設中的核心資產,尤其敏感數據信息泄露事件的頻繁發生,嚴重的影響著國家和人民的利益。


2、項目分析

1) 需求分析

在數字X東信息資產上存在大量的政務數據及公民信息,有大量包括姓名、身份證號、地址、銀行卡號、合同號等個人隱私信息。而這些數據,在政務的很多工作場景中都會使用,例如業務分析、開發測試、審計監管,甚至是一些外包業務等,使用的都是真實的業務數據和信息。一旦信息泄露,無論對公司還是管理人員都會造成嚴重影響。敏感信息保護是緊迫性高、影響程度大的風險管理工作,直接影響到數字X東建設聲譽和業務開展。

通過對數據庫存在的風險分析,和相關的法規標準要求,中安威士將數據庫安全的真實需求概括為三點:

(1) 數據安全風險可視化

【1】了解數據資產的分布。需要自動發現數據庫服務器、敏感數據的分布情況,為后續安全加固明確目標;

【2】實時掌握數據庫系統的可用性。要求能對數據庫運行狀態進行實時監控,在狀態異常時進行預警,提前防止業務癱瘓,保障業務系統的連續可用性;

【3】實時掌握數據庫存在的風險狀況。要求能通過掃描的方式,靜態的評估企業數據庫系統的風險,掃描內容包括:弱口令檢測、系統漏洞、配置風險等;

【4】需要進行數據活動監控。實時監控數據活動情況,記錄數據訪問行為,尤其是對敏感數據的訪問行為。要求能實現對數據庫的直接訪問和通過Web和應用對數據庫的間接訪問進行全面監控。

【5】對高危風險進行報警。通過策略配置識別網絡中的數據庫操作語句,是否存在風險,對風險級別進行管理并告警處理。


(2) 數據的可控性

【1】在日常數據庫使用中針對合法權限濫用、被盜用等造成的數據泄露、數據損毀、數據被篡改等采取技術手段降低風險;

【2】需要進行數據庫攻擊檢測和保護。由于數據庫系統本身可能存在的通訊協議漏洞、數據庫平臺漏洞等造成系統被SQL注入攻擊、緩沖區溢出攻擊等來自數據庫日常使用邊界之外的惡意攻擊風造成的數據泄露、損毀風險。


(3)數據合規性

信息系統需要通過各種安全檢查和測評。比如等保、分保測評,或者行業法規標準的檢查。


二、總體方案

1、方案概述

針對數字X東的數據庫安全安全需求,為加強業務系統敏感信息的訪問安全審計監控,防止數據庫的高危操作,防止SQL攻擊。中安威士給出基于數據庫審計,數據庫防火墻的綜合數據安全解決方案,實現“可視”、“可控”、“合規”的需求,如下圖,擬對存儲敏感信息的數據庫進行重點審計,核心數據庫進行防火墻高危阻斷。確保數據庫訪問合法合規,重點實現“數據庫操作事后追溯取證”、“數據庫違規訪問行為實時預警”、“核心數據資產的防泄露,防篡改,防攻擊”。



該方案概括來講,就是把數據關進籠子,讓數據的訪問在陽光下進行,為兩個遞進層次:



(1)把數據關進籠子

通過數據庫防火墻產品,基于自動學習和規則配置,生成細粒度的訪問控制規則,阻斷異常的查詢和訪問,防止敏感數據泄漏。阻斷異常的和違規的數據修改和刪除操作,防止敏感數據被非法篡改。


(2)讓數據的訪問在陽光下進行

通過數據庫審計產品,對數據的分布、性能、訪問和活動情況進行全方位的監控和記錄,做到哪個用戶、在什么時間、訪問了哪些數據庫中的什么語句,便于事后審計和追查。及時發現數據的異常活動情況和風險,產生報警。輸出可視化的報表,便于分析。


2、功能部署結果

通過數據庫審計+防火墻的結合部署,能很好的實現可視、可控、合規的需求,能很好解決下圖所面臨的風險,回歸到風險圖中可以看到我們的具體解決思路是:



1) 數據庫相當于一個黑盒子,我們無法可視化的了解數據庫的訪問狀況,無法對風險進行查看,無法對風險進行報警 ,缺乏詳盡的審計

解決方法:通過部署數據庫審計系統,詳細記錄數據庫的訪問行為,形成可視化的界面日志供查看,同時對數據庫進行性能監控和風險掃描,防止數據庫的宕機,并且欲知數據庫風險,高風險行為進行告警處理,并且形成可視化的報表供查看。


2) 在業務服務器區存在用于無法全部清理的系統漏洞、開發人員留的后門及SQL注入漏洞等,那么客戶區,業務辦公區,運維區都可能利用這種漏洞對數據庫進行攻擊

解決方法:通過部署數據庫防火墻系統,進行SQL注入、漏洞攻擊的防護。具體防護措施為:

(1)啟用數據庫的SQL注入規則,該規則內置大量注入模板,對匹配到的數據注入攻擊進行阻斷操作。

(2)漏洞、后門等行為,體現到數據庫中,是一些違反常規的操作語句,可以通過手動配置規則+自動學習策略進行規則匹配


3) 業務人員和內部人員可以利用內網進行數據導出也存在很大風險

解決方法:通過數據庫審計系統,運維審計功能,內部人員對數據庫的exp,imp等行為進行審計。通過部署數據庫防火墻系統,根據手動配置規則,對exp,imp 等操作行為進行阻斷,實現防范業務人員和內部人員進行數據導出。


4) 運維人員的越權訪問,或者權限過高,例如:DBA新建用戶時,沒有細化權限,導致本應只有查詢權限的用戶,進行數據刪除,或者更新操作,或者DBA利用管理權限進行竊取數據

解決方法:通過數據庫防火墻系統,根據手動策略設置實現用戶+操作的策略,在DBA權限的基礎上,進行二次認證,防止因為DBA權限分配不細等出現的權限過高,權限濫用。


5) 內部人員也有可能對數據庫做了誤操作的行為,導致生產事故

解決方法:通過數據庫防火墻系統,根據手動策略設置實現默認高風險阻斷的策略,例如:禁止DROP, TRUNCATE, ALTER等操作,防范惡意刪除,或者誤操作。


3、功能優勢

1)保護核心數據資產,防止內部越權訪問

2)防止內部人員泄密、違規備份、權限濫用、誤操作等;

3)防止運維人員和第三方人員違規訪問敏感數據。

4)保護核心數據資產,防止外部攻擊

5)防止外部黑客攻擊,竊取數據;

6)防止SQL注入攻擊、緩沖區溢出以及權限盜用等。

7)對合法應用和用戶透明

8)智能學習,自動生成安全基線,無需手工配置復雜的規則;

9)高穩定性與高性能,支持雙機熱備,保證業務連續不中斷;

10)不需要對當前網絡環境、應用配置做審核更改;

11)對授權用戶的訪問與管理過程無影響。


三、方案價值

通過上述解決方案,有效解決了政務云的數據安全所面臨的威脅:

1、使數據活動可視。實時顯示政務云的敏感數據的分布情況、訪問情況、風險狀況,及時發現數據的異常活動狀況和風險,實現數據庫安全最基本的要求。


2、使數據安全可控。即通過控制對政務云的數據的活動和訪問,防止數據庫中的敏感信息部分或全部被偷窺、拖庫或者鏡像,防止數據庫中的敏感信息被非法修改或者刪除。


3、滿足合規要求,快速通過評測。產品實現獨立的審計和訪問控制,直接輸出合規的報表,滿足政務云的多個法規和標準的要求。能夠幫助政務云的快速通過各種安全保密檢查和評測,比如等保評測。



4、具體來說,中安威士數據庫安全加固系統帶給客戶如下價值:

1)簡化業務治理,提高數據安全管理能力

由于數據庫系統是一個復雜的軟件“黑盒子”,其可視化程度很低。數據庫管理員很難說清在任意時刻數據被訪問的情況。這對業務治理帶來了很大的困難。尤其在云環境中,這種不可視化程度更加嚴重。數據安全解決方案通過多種手段全面監控數據的訪問情況,并提供豐富的預設統計報表,以圖形化的方式將數據的訪問情況和風險情況可視化,極大的簡化了業務治理,提高了數據安全管理能力。


2)減少核心數據資產被侵犯,保障業務連續性

數據是最有價值的資產,也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心數據被侵犯,輕則導致業務中斷,重則導致信息泄密和篡改,嚴重威脅國家信息安全。應用系統中管理權和所有權的分離也大大提升了數據被侵犯的風險。數據安全解決方案緊密貼合數據,實現數據安全的可視性和可控性,并最終減少核心數據資產被侵犯的可能性,保障正常的業務連續性。


3)完善縱深防御體系,提升整體安全防護能力

建立縱深的防御體系已是信息安全建設的共識。數據庫到應用系統這一段,是信息安全的最后一公里,也是最后一道防線,涉及的是最直接的敏感數據安全管理,直接關系到敏感數據的安全。同時,在數據/業務層加強安全防護,也逐步成為信息安全的新方向。公司系統緊貼核心數據,針對信息安全的最后一公里以及數據/業務層提供豐富的防護手段,有利于政務云完善縱深防御體系,提升整體安全防護能力。通過數據庫審計+防火墻的結合可以對完美的解決數據庫所面臨的主要風險。

(1)越權權限的濫用:數據庫權限設置違反了“權限最小原則”在很多信息系統中比較普遍。如果這些超出的權限被濫用,則極易發生敏感數據泄漏事件;

(2)合法權限濫用:系統中總是有一部分用戶合法的擁有較大甚至是超級管理權限。如果這些權限被濫用,則極易發生嚴重后果;

(3)權限盜用:由于商用數據庫的用戶認證方式主要為單一的口令方式,權限盜用容易發生,進而極易導致嚴重的數據泄漏事件;

(4)數據庫平臺漏洞:數據庫管理系統是個復雜的軟件系統,從數據庫廠家發布的補丁情況來看,數據庫系統無一例外的具有嚴重的安全漏洞。如緩沖區注入漏洞或者認證、權限管理漏洞。這些漏洞極易被攻擊者利用以竊取數據;

(5)SQL注入、緩沖區溢出風險:數據庫本身不具備SQL注入攻擊檢測能力。通過Web/APP插入惡意語句,或者利用連接工具發動緩沖區溢出攻擊,攻擊者便有機會獲得整個數據庫的訪問權限;

(6)弱鑒權機制:商業數據庫系統提供的基本的管理機制,主要是自主訪問控制(DAC)和基于角色的訪問控制(RBAC)。并沒有采用強制訪問控制的方式(MAC),基于用戶和數據的敏感級別來進行權限的鑒別。這容易使得低密級用戶訪問到高密級的數據;

(7)缺乏詳盡審計:審計是每個數據庫管理系統標配的安全特性,用于記錄對數據的訪問情況,從而形成對非法訪問的威懾。而數據庫自身的審計功能在可視化、智能化、入侵檢測能力等方面能力較弱,通常無法滿足實際的安全需求。


4)滿足合規要求,快速通過評測

實現獨立的審計和訪問控制,直接輸出合規的報表,滿足多個行業多個法規和標準的要求,能夠幫助企業快速通過各種安全保密檢查和評測。

綜上所述,中安威士數據保護產品,對政務云數據提供了全方位,全天候的保護,為政務云帶來嶄新的數據保護體驗。


江苏快3 - 一定牛