数据库安全之* 博客分类： 数据安全 数据库大数据大数据安全 

 

*行业系统特殊性

*行业在*机构中承载着人口信息、罪犯追逃、出入境等相关职能；所以*系统数据存在着非常大的敏感和特殊性，保障*系统的数据安全是非常关键和必要的；因此在建立一个*行业数据稳定传输的网络，以实现数据共享、信息互通的同时，如何确保敏感数据和信息的安全就成为了*行业主要考虑的因素。

目前*系统内部主要以“全国人口基本信息资源库”、“全国在逃人员信息资源库”等多个资源库为核心，存放着大量相关行业机密数据，任何一个资源库中的数据被篡改、被删除、被窃取都会造成严重的后果。

 

*行业数据安全现状

*系统作为*行政机构，90年代就已经开始了网络系统工程的建设，随着建设的不断完善，*信息通信专网基本上形成了四通八达的信息高速网络，实现了从*部、各省厅、各地市*局，最终延伸至下属各派出所的数据高效、可靠的传输平台。

伴随*信息系统广泛联通和频繁的数据传输，也带来了一定的数据安全风险，例如来自系统外部攻击的威胁、来自系统内部使用人员的威胁等等，都会对*系统内部的重要数据造成破坏、泄露等威胁，因此，建立一个多层级、立体的安全网络已经成为*系统的核心需求。

 

 

1）如何防范核心数据资产的破坏和泄漏

对*业务系统来说，真正重要的核心信息资产往往存放在少数几个关键数据库服务器上，因此这几个数据库服务器所面临的威胁和风险非常大，外部黑客或不法分子虎视眈眈，内部违规或犯罪事件正呈上升趋势，如何防范来自外部和内部对关键数据库数据资产的破坏和泄漏？

 

2）如何实现对敏感数据的操作告警

当用户未经授权对敏感信息进行了不合理的操作时，系统管理员或相关负责人能及时获得相关的告警，以及时控制损失。

3）数据库与业务系统的关联分析

在*业务系统现有的三层B/S架构中，终端用户通过访问业务系统到最终的数据操作请求，中间通过WEB服务器、应用中间件、数据库等多层架构，从数据库查看信息时只有一个数据库前端（中间件）的访问信息，无法查询到最原始的客户端信息，如何在发生安全事件或信息泄露时精确定位到事件发生的源头，进行追责。

4）如何弥补传统网络安全防护在数据层存在的缺陷

传统网络安全方案，依靠传统的网络防火墙及入侵保护系统IPS，在网络中检查并实施数据库访问控制策略。但是网络防火墙只能实现对IP地址、端口及协议的访问控制，无法识别特定用户的数据库活动，比如用户使用数据库客户端删除某张数据库表等。而IPS虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击，但同样无法判别具体的数据库用户活动，更谈不上细粒度的审计。因此，无论是网络防火墙，还是IPS都不能解决数据库特权滥用等问题；那以作为*行业系统的特殊性，该如何弥补传统防护手段的缺陷？

 

 

总体方案

中安威士总结对多个*系统进行安全加固经验，针对*行有效的数据库安全加固解决方案，是由不同层面的安全防护功能模块所构成。模块间相互关联，防护颗粒度不断递增。中安威士提出的针对*行业的数据安全管理方案如下：

 

 

1）数据活动的三层关联审计。详细记录敏感数据被访问的情况，包括从数据库访问SQL语句和Web应用访问细节的关联，最终实现终端用户到Web应用、Web应用到数据库的三层审计；尤其是对批量访问的审计、越权操作的审计、以及更改和删除操作所影响的原始数据的审计。

2）细粒度访问控制。阻断异常的、违规的、以及攻击性的查询和访问，防止敏感数据泄漏以及被破坏。

3）敏感内容脱敏。有针对性的对不同系统和用户，通过动态脱敏手段，实时授予对敏感数据的遮蔽、替换等不同展示方式，防止数据泄漏。同时，对例如开发、测试、数据外发等环境，提供静态脱敏手段，批量的对敏感数据脱敏，防止真实敏感数据外泄。

4）敏感内容加密。有选择性的对敏感内容加密，使敏感数据在存储、备份时以密文方式存在。通过控制加密和解密权限，提供对敏感数据访问的增强权限管理，防止超级权限被盗用和滥用导致的数据泄漏。

 

实施方案

中安威士数据安全解决方案基于自主研发的系列数据库安全加固产品实现。以某市*局为例，具体的实施方案如下：

 

 

该解决方案的要点如下：

1) 在*业务数据库前端部署数据库防火墙系统，从源头上阻止例如SQL注入、越权数据访问以及其它针对数据库攻击手段。防火墙系统通过自动学习，建立防火墙规则。

2) 用户基础数据库的敏感信息不允许外流，在数据库前部署数据库加密系统，保护敏感数据不泄露，即使泄露，由于敏感字段全部处于加密状态，也没有任何价值。

3) 在所有数据库前面加装数据库审计系统，所有访问任何数据库的操作将被记录下来，通过三层关联分析，能够精准定位真实用户访问情况，并自动发现数据库攻击和越权行为。

4) 在所有数据库前端部署数据库脱敏系统，确保从所有流径数据库的数据经过必要脱敏，防止开发、测试、外包人员不能接触真实数据。

 

 

中安威士数据安全管理解决方案基于数据库审计、数据库防火墙、数据库加密和数据脱敏产品实现。方案完整地解决了当前信息系统所广泛面临的数据泄露困境。该方案的优势体现在：

快：卓尔不群的处理性能。

智：智能化自动学习，实现数据库审计/防火墙零配置。

稳：十余年技术积累，国内新研发专利技术，上千实际部署案例，产品运行稳定。

全：功能全面、全面覆盖泄密路径。

美：美观的管理界面和报表。

细：达到字段、语句级的细粒度的数据活动审计和访问控制。

 

 

通过上述解决方案，有效满足了市*局所面临的数据层面安全管理缺乏手段的现状，形成了以下能力：

1) 简化业务治理，提高数据安全管理能力；

2) 完善纵深防御体系，提升整体安全防护能力；

3) 减少核心数据泄漏，保障业务连续性；

4) 满足行业安全规范，形成可视、可控、合规；

除以上客户价值体现外，中安威士安全加固解决方案，带给*行业的行业价值体现在：

1） 从事前预警、事中防护、事后追溯，三个层面对核心数据全生命周期提供安全防御机制和手段；

2） 对敏感数据的加密、脱敏，从数据维度确保敏感数据在非法获取后的不可用；

3） 有效弥补了网络安全层面的安全局限性，形成多层次，全方位的数据保护；

中安威士为北京中安比特科技有限公司专有品牌，以科学严谨的作风，为各行业用户带来高可靠的数据安全管理产品和服务。