云數據安全

是指大力推進商務、生產、生活等領域的信息化,促進信息產業、信息技術、信息資源和信息環境全面發展,建成全球重要的信息產業研發制造基地、亞洲重要的電子商務中心、全國網絡民生民主先行示范區、網絡創業創新集聚地,成為面向全世界、服務全國的信息區域中心。
售前咨詢 售后服務
  • 綜述
  • 總體方案
  • 方案價值
  • 客戶案例
綜述

一、項目背景

是指大力推進商務、生產、生活等領域的信息化,促進信息產業、信息技術、信息資源和信息環境全面發展,建成全球重要的信息產業研發制造基地、亞洲重要的電子商務中心、全國網絡民生民主先行示范區、網絡創業創新集聚地,成為面向全世界、服務全國的信息區域中心。


值得注意的是,在信息化數字平臺的建設中,人們往往較重視服務器的可用性和安全性,而忽視了數據安全保護。實際上,數據才是各類應用的中樞所在,災難發生時,服務器、路由器、存儲設備等硬件資源容易快速恢復或重新配置,但是若是數據損壞或丟失,信息系統依然不能正常對外提供服務。同時,隨著大數據時代的來臨,數據成為最有價值的核心資產。大數據平臺系統為各行業、部門的精確化管理與業務優化,提供戰略的規劃與決策,同時提供了及時、準確、有力的數據支撐。與此同時,各類涉及商業秘密和敏感數據信息在處理、共享和使用過程中也面臨被違規越權使用或被用于非法用途等數據信息泄漏的安全風險。因此,數據信息已經成為信息化平臺建設中的核心資產,尤其敏感數據信息泄露事件的頻繁發生,嚴重的影響著國家和人民的利益。


二、項目分析

1、數據安全政策分析

隨著信息化平臺的深入建設,云平臺內部的各種業務和信息支撐系統不斷增加,網絡規模也迅速擴大。數據庫做為信息技術的核心和基礎,承載著越來越多的關鍵業務系統,漸漸成為信息安全中最具有重要性的資產,數據庫的安全穩定運行也直接決定著項目能否創造出應有的價值。綜上所述,數據安全也成為開展需要考慮的重大問題。另外,國家、保密委、國家等級保護體系中都對數據庫安全情況做出了明確的要求,其中:


2016年11月7日,《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)正式通過,2017年6月1日起施行。《網絡安全法》共包括七章,七十九條,對網絡安全等級保護制度、關鍵信息基礎設施保護和用戶個人信息保護制度等從法律層面上進行了規定。網絡安全法特別強調了數據的安全問題,明確指出需要對數據的采集、使用、傳輸、存儲等環節進行保護,具體條款如下:


1)第二十一條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求【誰主管誰負責】 ,履行下列安全保護義務保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改;


(1)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;


(2)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;


(3)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;


(4)采取數據分類、重要數據備份和加密等措施;


(5)法律、行政法規規定的其他義務。


解讀如下:


(1)本條明確網絡安全等級保護制度(也就是常說的”等保”)是信息安全建設的基本要求;


(2)明確數據安全的內容:保護網絡數據不被泄露或者被竊取、篡改。


(3)在以前的等保中,數據安全常常是可選項,而且常常是不被選擇的項目。通過本法本條,可以認為數據安全不再是“可選項”,而是必選項。這將極大的改變等保的實施內容。


(4)當前的網絡攻擊、網絡侵入很多是以竊取數據為目的的,需要采取防止數據竊取的技術措施。對網絡安全事件的日志留存時間不少于六個月。這對數據訪問記錄的日志留存時間做出了明確要求,要高于6個月。


(5)要對數據根據敏感性進行分級和分類,從而對數據進行細粒度的訪問控制。


(6)明確要求對重要數據進行備份和加密。


2)第四十二條:網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。


解讀如下:


(1)本條要求,對他人提供所收集到的個人信息,必須是“經過處理的無法識別且不能復原的”。在技術上,這即是指要求對敏感數據進行脫敏處理。


(2)本條明確要求網絡運營者采取技術措施防止數據的泄露、毀損、丟失。


(3)本條要求發生數據安全事件時,網絡運營者應該主動上報并采取補救措施。但是現實情況是很多數據泄露事件和數據篡改事件發生過很久以后,網絡運營者才知道。所以在主動發現數據安全事件方面,還需要更多的技術投入。而且在補救方面,如何找到攻擊路徑,也是一大難題。合格的數據庫審計產品能夠在一定程度上主動發現數據安全事件,并能在數據安全事件溯源方面提供幫助。


3)公安部 《信息系統安全等級保護基本要求》


網絡安全要求:


(1)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄


(2)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息


(3)應能夠根據記錄數據進行分析,并生成審計報表


(4)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等


主機安全要求:


(1)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶


(2)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件


(3)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等


(4)應能夠根據記錄數據進行分析,并生成審計報表


(5)應保護審計進程,避免受到未預期的中斷


(6)保護審計記錄,避免受到未預期的刪除、修改或覆蓋等


(7)應能夠根據信息系統的統一安全策略,實現集中審計


數據安全要求:


(1)應采用加密或其他有效措施實現系統管理數據、鑒別信息和重要業務數據傳輸保密性。


另外一些行業性的法規和標準也陸續被推出和執行,例如:《計算機信息系統安全保護等級劃分準則》、《數據庫管理系統安全技術要求》、《涉及國家秘密的信息系統分級保護技術要求》、《涉及國家秘密的信息系統分級保護管理規范》、《中國人民解放軍計算機信息系統安全保密規定》、《中國塞班斯法案(SOX)》、《信用卡標準 (PCI)》,以及電力SG168、衛生部防統方、互聯網金融安全基本法、央企商業機密保護條例……


這些法規和標準中,對結構化數據和數據庫的保護提出了明確的要求和相應實踐的標準。


2、風險分析

下圖是一個典型的信息系統和安全防范情況示意圖,描述了當前信息安全的情況。從圖中可以看出,從用戶終端瀏覽器或APP用戶到Web/APP服務器這一段的防護手段是比較多的。但是,在Web/APP服務器之后,防護手段就相當有限。在這種情況下,數據庫和其中的數據,極易遭受來自于外部和內部的形式多樣的攻擊。外部攻擊者可以繞過前端防護系統或者穿透應用程序直接訪問數據庫。而內部人員的蓄意越權訪問、誤操作、或是介質竊取等,都是數據泄露的通常途徑。雖然被報道的數據泄密事件主要是來自于外部攻擊,但是據多個調查結果顯示,來自于內部的數據泄漏事件占70%以上。







據Verizon2017年發布的數據泄露調查分析報告和對發生的信息安全事件技術分析,排名在前4的攻擊模式(各種失誤、犯罪軟件、內部人員/權限濫用、物理偷竊/丟失)涵蓋了90%的數據泄密事件,而這4種類型中有3種類型是人為的因素導致的數據泄露。數據泄露也常常發生在內部,大量的運維人員直接接觸敏感數據,傳統以防外為主的網絡安全解決方案失去了用武之地。


中安威士在多年的項目實踐過程中,對網絡環境下的數據安全管理和數據庫安全問題進行了調研,總結了數據庫及其管理的數據所面臨的主要泄密風險如下圖所示,在一個具體的網絡環境示意圖中,我們可以看到:


1)   數據庫相當于一個黑盒子,我們無法可視化的了解數據庫的訪問狀況,無法對風險進行查看,無法對風險進行報警 ,缺乏詳盡的審計


2)   在業務服務器區存在用于無法全部清理的系統漏洞、開發人員留的后門及SQL注入漏洞等,那么客戶區,業務辦公區,運維區都可能利用這種漏洞對數據庫進行攻擊


3)   業務人員和內部人員可以利用內網進行數據導出也存在很大風險


4)   運維人員的越權訪問,或者權限過高,例如:DBA新建用戶時,沒有細化權限,導致本應只有查詢權限的用戶,進行數據刪除,或者更新操作,或者DBA利用管理權限進行竊取數據


5)   內部人員也有可能對數據庫做了誤操作的行為,導致生產事故




通過對上圖場景的分析,中安威士根據多年數據安全的項目經驗,總結出數據庫面臨的主要風險:


1)   越權權限的濫用:數據庫權限設置違反了“權限最小原則”在很多信息系統中比較普遍。如果這些超出的權限被濫用,則極易發生敏感數據泄漏事件;


2)   合法權限濫用:系統中總是有一部分用戶合法的擁有較大甚至是超級管理權限。如果這些權限被濫用,則極易發生嚴重后果;


3)   權限盜用:由于商用數據庫的用戶認證方式主要為單一的口令方式,權限盜用容易發生,進而極易導致嚴重的數據泄漏事件;


4)   數據庫平臺漏洞:數據庫管理系統是個復雜的軟件系統,從數據庫廠家發布的補丁情況來看,數據庫系統無一例外的具有嚴重的安全漏洞。如緩沖區注入漏洞或者認證、權限管理漏洞。這些漏洞極易被攻擊者利用以竊取數據;


5)   SQL注入、緩沖區溢出風險:數據庫本身不具備SQL注入攻擊檢測能力。通過Web/APP插入惡意語句,或者利用連接工具發動緩沖區溢出攻擊,攻擊者便有機會獲得整個數據庫的訪問權限;


6)   弱鑒權機制:商業數據庫系統提供的基本的管理機制,主要是自主訪問控制(DAC)和基于角色的訪問控制(RBAC)。并沒有采用強制訪問控制的方式(MAC),基于用戶和數據的敏感級別來進行權限的鑒別。這容易使得低密級用戶訪問到高密級的數據;


7)   缺乏詳盡審計:審計是每個數據庫管理系統標配的安全特性,用于記錄對數據的訪問情況,從而形成對非法訪問的威懾。而數據庫自身的審計功能在可視化、智能化、入侵檢測能力等方面能力較弱,通常無法滿足實際的安全需求。


3、需求分析

在信息資產上存在大量的政務數據及公民信息,有大量包括姓名、身份證號、地址、銀行卡號、合同號等個人隱私信息。而這些數據,在政務的很多工作場景中都會使用,例如業務分析、開發測試、審計監管,甚至是一些外包業務等,使用的都是真實的業務數據和信息。一旦信息泄露,無論對公司還是管理人員都會造成嚴重影響。敏感信息保護是緊迫性高、影響程度大的風險管理工作,直接影響到建設聲譽和業務開展。


通過對數據庫存在的風險分析,和相關的法規標準要求,中安威士將數據庫安全的真實需求概括為三點:


1)數據安全風險可視化

了解數據資產的分布。需要自動發現數據庫服務器、敏感數據的分布情況,為后續安全加固明確目標;


實時掌握數據庫系統的可用性。要求能對數據庫運行狀態進行實時監控,在狀態異常時進行預警,提前防止業務癱瘓,保障業務系統的連續可用性;


實時掌握數據庫存在的風險狀況。要求能通過掃描的方式,靜態的評估企業數據庫系統的風險,掃描內容包括:弱口令檢測、系統漏洞、配置風險等;


需要進行數據活動監控。實時監控數據活動情況,記錄數據訪問行為,尤其是對敏感數據的訪問行為。要求能實現對數據庫的直接訪問和通過Web和應用對數據庫的間接訪問進行全面監控。


對高危風險進行報警。通過策略配置識別網絡中的數據庫操作語句,是否存在風險,對風險級別進行管理并告警處理。


2)數據的可控性

在日常數據庫使用中針對合法權限濫用、被盜用等造成的數據泄露、數據損毀、數據被篡改等采取技術手段降低風險;


需要進行數據庫攻擊檢測和保護。由于數據庫系統本身可能存在的通訊協議漏洞、數據庫平臺漏洞等造成系統被SQL注入攻擊、緩沖區溢出攻擊等來自數據庫日常使用邊界之外的惡意攻擊風造成的數據泄露、損毀風險。


3)數據合規性

信息系統需要通過各種安全檢查和測評。比如等保、分保測評,或者行業法規標準的檢查。


總體方案

一、方案概述

針對的數據庫安全安全需求,為加強業務系統敏感信息的訪問安全審計監控,防止數據庫的高危操作,防止SQL攻擊。中安威士給出基于數據庫審計,數據庫防火墻的綜合數據安全解決方案,實現“可視”、“可控”、“合規”的需求,如下圖,擬對存儲敏感信息的數據庫進行重點審計,核心數據庫進行防火墻高危阻斷。確保數據庫訪問合法合規,重點實現“數據庫操作事后追溯取證”、“數據庫違規訪問行為實時預警”、“核心數據資產的防泄露,防篡改,防攻擊”。

 

1、該方案概括來講,就是把數據關進籠子,讓數據的訪問在陽光下進行,為兩個遞進層次:

 


1)把數據關進籠子

通過數據庫防火墻產品,基于自動學習和規則配置,生成細粒度的訪問控制規則,阻斷異常的查詢和訪問,防止敏感數據泄漏。阻斷異常的和違規的數據修改和刪除操作,防止敏感數據被非法篡改。


2)讓數據的訪問在陽光下進行

通過數據庫審計產品,對數據的分布、性能、訪問和活動情況進行全方位的監控和記錄,做到哪個用戶、在什么時間、訪問了哪些數據庫中的什么語句,便于事后審計和追查。及時發現數據的異常活動情況和風險,產生報警。輸出可視化的報表,便于分析。


二、建設原則

為實現的建設目標,中安威士在資源整合及未來擴展方面進行全面考慮,并遵循以下幾項原則進行項目建設建議及產品選型:


1、技術先進性

在設計過程中,應采用國際先進的技術、成熟的產品和設計規范,保證系統的穩定、高效運行,選用符合國際標準的技術和產品,保證系統的一致性,并保證在以后的發展過程中能適應信息技術的發展趨勢,采用的技術和產品能夠提供清晰地發展路線,很好的保證項目建設總體投資回報率。


2、實用性與成熟性

根據系統實際應用需求進行方案的設計,采用高性能的技術成熟的標準,選用性價比高的設備,建設好的數據庫審計、數據庫防護墻系統,應該既能夠滿足業務系統的數據庫審計防護需求,又能適應將來應用需求的擴展,使系統能夠方便地升級,充分地保護原有的架構。


3、開放性與標準化

我公司主要關注用戶的投資保護以及良好的升級路徑,采用標準化和開放的標準能夠使在選擇硬件、軟件和服務產品是具有靈活選擇能力,以便獲得更高性價比的產品和服務。


4、結構的合理性

采用合理高效的系統結構,設計的數據庫審計、防火墻系統結構應能合理安排冗余和負載,能夠避免投資浪費,保證總擁有成本。


5、高可靠性

數據庫審計、防火墻系統設計特別是關鍵節點的設計中,選用高可靠性產品,并有合理的冗余和可靠的系統備份升級改造設計策略,保證系統具有故障自愈的能力,確保系統可靠運行,也是保障系統正常運行的關鍵。


6、高性能

構建高質量的數據庫審計服務平臺,為關鍵業務提供高可靠的數據庫審計平臺,業務的特點(高峰和低谷)期間滿足核心系統及數據庫應用系統的數據庫審計訪問的需要,并保證有較快的響應速度。


7、安全性

設計的數據庫審計、防火墻系統具有足夠的安全性,能夠防止來自系統內部的惡意破壞及來自系統外部的惡意攻擊;能有效地防止因人為誤操作帶來的影響,提供有效的容災、容錯等風險保障機制,對人為誤操作等不可預知的問題應有良好的預防和恢復措施。


8、可擴展性

采用的設備、技術和其它產品必須標準化,系統結構及設備應易于擴展,技術和產品發展具有良好的可持續性、可擴充性,方案設計能夠保證方便平滑地對原有系統進行升級和更新,最大限度地保證業務的連續性、可擴展性、數據的高安全性。


三、集成方式


針對現有網絡結構,我們通過實際調研,選擇最佳部署方式,部署方式原則本著“最大限度不改變拓撲結構”、“最大限度減少對業務影響”、“最大限度減少性能影響”的原則。為客戶提供最適宜的方式實現數據安全的防護工作。


1、數據庫審計


1)分別在互聯網云資源區、云資源區,以及運維管理區部署高性能的數據庫審計系統,對所有數據庫部署數據庫審計,有效監控數據庫訪問行為,準確掌握數據庫系統的安全狀態,及時發現違反數據庫安全策略的事件,實時記錄,并且實現安全事件的定位分析,事后追查取證。

2)在兩臺相同功能的交換機做冗余部署的情況下,部署一臺高性能的審計系統,將兩臺交換機的數據庫流量端口都做鏡像,統一發送到審計設備,審計設備針對兩個流量口部署相應的數據庫引擎,進行數據審計。


2、數據庫防火墻


1)針對數據庫的防護,需結合交換機策略路由的方式部署數據庫防火墻,分別在互聯網資源區以及政務外網區域部署數據庫防火墻系統,下面以政務外網資源區為例,對兩臺交換機分別做策略路由,將訪問數據庫的資源發送到數據庫防火墻,防火墻系統接收到數據后,進行策略的匹配,對高危操作進行阻斷,對無危險的行為通過防火墻的路由功能或者交換機進行回注,回注到帶路由的交換機,然后通過路由策略,發送到數據庫進行業務交互。

2)數據庫防火墻以純透明方式部署,可通過軟件bypass和硬件bypass來保障鏈路的高可用性不影響原吞吐量。


 


四、功能部署建議


1、對所有數據庫進行審計,對敏感數據庫部署防火墻


項目的數據庫主要部署在政務外網云資源區,和互聯網云資源區,根據數據安全原則,就需要對這里的所有數據庫進行訪問行為的審計,做到訪問留痕與事后追查,而在整個系統中,需要梳理出認為比較重要的數據庫,這里存在的數據被認為是敏感數據,那么就需要通過部署數據庫防火墻,實現敏感數據的保護。


2、數據庫的性能監控


通過數據庫審計的性能監控功能,實時監控數據的運行狀態,設定運行的閾值限制,當超出閾值范圍內,我們就認為數據庫的健康狀態有一定的危險,該功能可以對超出閾值的行為進行報警,起到提前預防宕機的可能。

具體監控內容如下:

1)支持監控設備自身的CPU、內存、硬盤、網絡等狀態,保證系統的穩定運行

2)支持對數據庫系統進行全面的狀態監控,實時監測數據庫系統的運行參數,包括監視器信息、連接時間、用戶活動、表空間狀態、SGA狀態、數據文件性能、回滾段、緩沖區、鎖統計、cache信息、線程信息等參數,保證數據庫系統運行穩定

3)數據庫狀態監控所有指標,支持報警





 


3、數據庫的風險評估

通過審計產品的輔助功能,數據庫風險掃描,可以對指定的數據庫進行掃描,通過掃描給出風險報告,協助數據庫管理員,更好的優化數據庫的漏洞。風險掃描的具體設置如下:

1)通過弱口令檢測,保證口令的強壯度

2)通過對數據庫系統用戶權限分配的風險掃描,發現權限分配是否合理

3)對數據庫、操作系統的安全配置進行檢測,檢測范圍包括:系統類、授權類、認證類,此項目可根據實際情況進行自定義

4)掃描完成生成掃描報告,對掃描結果進行分析,報告,報告中提供修復建議,掃描結果例如下圖所示:



 


4、數據庫審計策略支撐
      綜合運用數據庫審計的基本審計規則,默認高風險審計規則,SQL注入規則,白名單規則,訪問行為基線規則,通過了解業務系統的特性,進行針對化的策略配置,在策略運行的同時,定期進行修正,使策略達到最佳狀態。

 


自定義規則可從如下角度進行配置:

 


通過數據庫審計提供靈活的審計策略配置,以保證安全審計員可定義精準的分級審計策略。審計策略可定義條件包括但不限于:策略生效時間周期、源目的IP、目的端口、被審計服務、客戶端程序、操作規則集、響應方式、響應時間、影響行數等。

可從安全風險等角度分類提供缺省操作規則集合,安全審計員也可自定義操作規則集。操作規則定義范圍需包括:數據庫、表、操作類型(命令)、SQL等,需要支持等于、包含等非正則表達式方式。

對上述數據庫協議解析還原準確、完整不丟失,不產生亂碼截斷等問題。解析細粒度必須涵蓋源目IP、目的端口、用戶名、客戶端工具名、主機名、操作系統用戶名、SQL語句、操作類型、表對象、錯誤代碼、執行時長、返回結果集、返回行數、綁定變量等,對協議里的部分特性要保證無損還原,確

日志的完整可信;支持對返回結果集全部記錄及行解析、列值解析,支持返回結果集檢索。

對審計存儲過程的創建、執行等命令,同時還能夠自動學習到存儲過程的具體內容,防止有人使用存儲過程執行一些敏感操作躲避審計系統監控;生成符合審計要求的結構化和半結構化日志記錄。

中安威士根據豐富的項目經驗,總結了一套默認的風險行為處理規則,這套規則可以讓客戶實現快速的部署并應用。如下圖所示:


 


5、數據庫防護墻高危阻斷支撐

通過數據庫審計一定時間的審計結果,總結出數據庫面臨的風險行為。


 


根據風險行為,在數據庫防火墻中根據對應的策略設置,將風險行為進行阻斷。

數據庫防火墻的策略配置方式,與審計的配置方式基本一致。


6、加強數據庫違規操作實時預警

主要是針對內外部人員及業務系統對數據庫系統訪問存在的違規行為通過預設規則實時預警,實時通過郵件、短信、syslog方式及時通知安全審計員,確保第一時間了解數據庫違規行為狀態。

1)內置漏洞識別攻擊策略:內置常見的數據庫漏洞攻擊策略,包含SQL注入、緩沖區溢出等規則,可發現黑客攻擊行為并產生告警。

2)自定義規則:支持自定義安全審計規則,并支持黑白名單系統,保證黑白名單能從整體上做為自定義規則的一個補充和完善。

3)自定義規則條件:支持客戶端工具、主機名、操作系統用戶名、表對象、操作類型、SQL報文、執行時長、返回行數等規則。

4)支持審計過濾功能:對可信數據庫服務器之間的數據抽取訪問行為不進行審計。

5)實時預警通知:通過郵件、短信、syslog、ftp等方式實時外送告警日志,并對告警外送日志頻率有一定的控制,避免因為惡意的攻擊行為覆蓋已有的審計日志信息。


7、建設數據庫審計事后追查能力

數據庫審計系統對所有應用和維護人員的數據庫操作及結果記錄日志,日志保留周期6個月,確保6個月內的日志可以快速取證追溯,審計取證性能不低于1億數據檢索時間不超過1分鐘,提供給安全審計員進行合規分析。

1)流量解析還原處理及日志記錄保障。

(1)通過數據庫審計采集器對鏡像流量按照不同的數據庫協議解析引擎進行還原,確保還原成標準的審計記錄事件,不丟失任何審計日志記錄

(2)對日志中源IP、用戶名、客戶端工具名、主機名、操作系統用戶名、SQL語句、操作類型、表對象、錯誤代碼、執行時長、返回結果集、返回行數的解析,對協議里的部分特性要保證無損還原,確保日志的完整可信;

(3)對返回結果集全部記錄及行解析,對返回結果集檢索。

2)審計對象自動識別:自動從鏡像流量識別目標數據庫IP、端口、版本等信息,確保所有數據庫訪問自動發現并記錄日志。

3)分布式部署、集中式管理:管理中心能對所有設備進行統一的配置管理、策略下發、數據查詢、報表生成等。

4)針對間接訪問數據庫場景的審計支撐:實現以下間接訪問數據庫場景審計,直接追蹤到真實的源IP和客戶端賬號。

(1)客戶端通過應用服務器對數據庫服務器的訪問行為審計,需要通過應用配合改造記錄源IP和客戶端賬號。

(2)客戶端通過堡壘機對數據庫服務器間接訪問行為審計,需要關聯堡壘機日志。

(3)客戶端通過堡壘機再通過跳板機對數據庫間接訪問進行審計,需要關聯堡壘機日志。

5)日志關聯分析:對審計日志實時關聯處理,確保每條審計日志關聯到對應的責任人姓名、部門,確保準確可查;

6)日志存儲:審計日志保留周期不低于三個月,確保日志不可篡改不可刪除,系統支持自動清理策略,確保系統的正常運行;

7)數據統計報表:建立多維度統計報表,以多個審計維度,自動導出word、pdf、excel、HTML等格式的報表。


8、審計日志外送

審計日志以多種方式全量定時自動發送、支持C/S客戶端工具或WEB端查詢結果按需導出,導出excel、文本等格式的日志文件,導出日志包含審計的所有維度要素,同時可自定義數據外送維度,按需送出所需的審計數據。


9、數據統計報表

綜合性報表理念,以日報、月報、周報、自定義報表等形式,基于系統性能、高危風險、會話語句等多個維度進行系統性分析,建立多維度的審計數據分析報表,內置數據分析模板,可以從不同維度展示數據庫的運行訪問狀態,導出word、pdf、excel等格式報表。

報表自定義條件支持全審計維度,同時支持自動報表導出自動郵件發送功能,支持按照日、周、月自動發出。

報表結果如下圖所示:

支持默認報表40個,支持自定義報表,支持SOX防統方報表等等。

 

五、功能部署結果

1、通過數據庫審計+防火墻的結合部署,能很好的實現可視、可控、合規的需求,能很好解決下圖所面臨的風險,回歸到風險圖中可以看到我們的具體解決思路是:


 


1) 數據庫相當于一個黑盒子,我們無法可視化的了解數據庫的訪問狀況,無法對風險進行查看,無法對風險進行報警 ,缺乏詳盡的審計

解決方法:通過部署數據庫審計系統,詳細記錄數據庫的訪問行為,形成可視化的界面日志供查看,同時對數據庫進行性能監控和風險掃描,防止數據庫的宕機,并且欲知數據庫風險,高風險行為進行告警處理,并且形成可視化的報表供查看。

2) 在業務服務器區存在用于無法全部清理的系統漏洞、開發人員留的后門及SQL注入漏洞等,那么客戶區,業務辦公區,運維區都可能利用這種漏洞對數據庫進行攻擊

解決方法:通過部署數據庫防火墻系統,進行SQL注入、漏洞攻擊的防護。

具體防護措施為:

(1)啟用數據庫的SQL注入規則,該規則內置大量注入模板,對匹配到的數據注入攻擊進行阻斷操作。

(2)漏洞、后門等行為,體現到數據庫中,是一些違反常規的操作語句,可以通過手動配置規則+自動學習策略進行規則匹配

3) 業務人員和內部人員可以利用內網進行數據導出也存在很大風險

解決方法:通過數據庫審計系統,運維審計功能,內部人員對數據庫的exp,imp等行為進行審計。通過部署數據庫防火墻系統,根據手動配置規則,對exp,imp 等操作行為進行阻斷,實現防范業務人員和內部人員進行數據導出。

4) 運維人員的越權訪問,或者權限過高,例如:DBA新建用戶時,沒有細化權限,導致本應只有查詢權限的用戶,進行數據刪除,或者更新操作,或者DBA利用管理權限進行竊取數據

解決方法:通過數據庫防火墻系統,根據手動策略設置實現用戶+操作的策略,在DBA權限的基礎上,進行二次認證,防止因為DBA權限分配不細等出現的權限過高,權限濫用。

5) 內部人員也有可能對數據庫做了誤操作的行為,導致生產事故

解決方法:通過數據庫防火墻系統,根據手動策略設置實現默認高風險阻斷的策略,例如:禁止DROP, TRUNCATE, ALTER等操作,防范惡意刪除,或者誤操作。 


六、功能優勢

1、保護核心數據資產,防止內部越權訪問

2、防止內部人員泄密、違規備份、權限濫用、誤操作等;

3、防止運維人員和第三方人員違規訪問敏感數據。

4、保護核心數據資產,防止外部攻擊

5、防止外部黑客攻擊,竊取數據;

6、防止SQL注入攻擊、緩沖區溢出以及權限盜用等。

7、對合法應用和用戶透明

8、智能學習,自動生成安全基線,無需手工配置復雜的規則;

9、高穩定性與高性能,支持雙機熱備,保證業務連續不中斷;

10、不需要對當前網絡環境、應用配置做審核更改;

11、對授權用戶的訪問與管理過程無影響。


方案價值

一、方案價值


1、通過上述解決方案,有效解決了政務云的數據安全所面臨的威脅:


1)使數據活動可視。實時顯示政務云的敏感數據的分布情況、訪問情況、風險狀況,及時發現數據的異常活動狀況和風險,實現數據庫安全最基本的要求。

2) 使數據安全可控。即通過控制對政務云的數據的活動和訪問,防止數據庫中的敏感信息部分或全部被偷窺、拖庫或者鏡像,防止數據庫中的敏感信息被非法修改或者刪除。

3.)滿足合規要求,快速通過評測。產品實現獨立的審計和訪問控制,直接輸出合規的報表,滿足政務云的多個法規和標準的要求。能夠幫助政務云的快速通過各種安全保密檢查和評測,比如等保評測。


 


2、具體來說,中安威士數據庫安全加固系統帶給客戶如下價值:


1)簡化業務治理,提高數據安全管理能力

由于數據庫系統是一個復雜的軟件“黑盒子”,其可視化程度很低。數據庫管理員很難說清在任意時刻數據被訪問的情況。這對業務治理帶來了很大的困難。尤其在云環境中,這種不可視化程度更加嚴重。數據安全解決方案通過多種手段全面監控數據的訪問情況,并提供豐富的預設統計報表,以圖形化的方式將數據的訪問情況和風險情況可視化,極大的簡化了業務治理,提高了數據安全管理能力。

2)減少核心數據資產被侵犯,保障業務連續性

數據是最有價值的資產,也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心數據被侵犯,輕則導致業務中斷,重則導致信息泄密和篡改,嚴重威脅國家信息安全。應用系統中管理權和所有權的分離也大大提升了數據被侵犯的風險。數據安全解決方案緊密貼合數據,實現數據安全的可視性和可控性,并最終減少核心數據資產被侵犯的可能性,保障正常的業務連續性。

3)完善縱深防御體系,提升整體安全防護能力

建立縱深的防御體系已是信息安全建設的共識。數據庫到應用系統這一段,是信息安全的最后一公里,也是最后一道防線,涉及的是最直接的敏感數據安全管理,直接關系到敏感數據的安全。同時,在數據/業務層加強安全防護,也逐步成為信息安全的新方向。公司系統緊貼核心數據,針對信息安全的最后一公里以及數據/業務層提供豐富的防護手段,有利于政務云完善縱深防御體系,提升整體安全防護能力。通過數據庫審計+防火墻的結合可以對完美的解決數據庫所面臨的主要風險。

(1)越權權限的濫用:數據庫權限設置違反了“權限最小原則”在很多信息系統中比較普遍。如果這些超出的權限被濫用,則極易發生敏感數據泄漏事件;

(2)合法權限濫用:系統中總是有一部分用戶合法的擁有較大甚至是超級管理權限。如果這些權限被濫用,則極易發生嚴重后果;

(3)權限盜用:由于商用數據庫的用戶認證方式主要為單一的口令方式,權限盜用容易發生,進而極易導致嚴重的數據泄漏事件;

(4)數據庫平臺漏洞:數據庫管理系統是個復雜的軟件系統,從數據庫廠家發布的補丁情況來看,數據庫系統無一例外的具有嚴重的安全漏洞。如緩沖區注入漏洞或者認證、權限管理漏洞。這些漏洞極易被攻擊者利用以竊取數據;

(5)SQL注入、緩沖區溢出風險:數據庫本身不具備SQL注入攻擊檢測能力。通過Web/APP插入惡意語句,或者利用連接工具發動緩沖區溢出攻擊,攻擊者便有機會獲得整個數據庫的訪問權限;

(6)弱鑒權機制:商業數據庫系統提供的基本的管理機制,主要是自主訪問控制(DAC)和基于角色的訪問控制(RBAC)。并沒有采用強制訪問控制的方式(MAC),基于用戶和數據的敏感級別來進行權限的鑒別。這容易使得低密級用戶訪問到高密級的數據;

(7)缺乏詳盡審計:審計是每個數據庫管理系統標配的安全特性,用于記錄對數據的訪問情況,從而形成對非法訪問的威懾。而數據庫自身的審計功能在可視化、智能化、入侵檢測能力等方面能力較弱,通常無法滿足實際的安全需求。

4)滿足合規要求,快速通過評測

實現獨立的審計和訪問控制,直接輸出合規的報表,滿足多個行業多個法規和標準的要求,能夠幫助企業快速通過各種安全保密檢查和評測。

綜上所述,中安威士數據保護產品,對政務云數據提供了全方位,全天候的保護,為政務云帶來嶄新的數據保護體驗。

江苏快3 - 一定牛