一、建設目的

1、合法合規目的

依據《中華人民共和國網路安全法》、《資訊保安技術網路安全等級保護基本要求》約束與要求，要求網路運營者應按照網路安全等級保護制度，切實履行網路、資料安全保護義務。

2、保護自身安全目的

當前雲資源池相應網路安全能力，無法完全滿足雲資源池三級等保安全的防護需求，為保證雲資源以及租戶網路、資料安全，需補充符合可滿足等保三級安全建設的安全能力，以及可向雲租戶提供同等級的雲安全防護能力。

二、建設要求

1、整體要求

雲資源池結合等級保護標準與自身實際網路情況，需要對安全物理環境、安全通訊網路、安全區域邊界、安全計算環境、安全管理中心5大方面進行等級保護與風險防護建設。

2、資料庫安全要求

全要素發現記錄的要求

需保證雲環境下資料採集的全面性、有效性、實時性，實時記錄風險行為發生時間、型別、MAC、埠、IP、資料庫名、使用者名稱、客戶端IP、伺服器端IP、操作指令、操作返回狀態值等資訊。語句類似覆蓋：DQL、DDL、DML、DCL、函式、儲存、以及運維協議，保證審計資訊鏈的完整性，為事後風險行為溯源提供有效資料支撐。

多條件檢索審計的要求

需保證租戶對所屬DB歷史操作行為的檢索審計能力，提供多種查詢條件，可根據日誌的型別、發生時間、不同欄位等內容進行查詢。提供不同維度檢索能力，達到快速定位風險的要求，檢索維度包含但不限於：風險檢索、語句檢索、會話檢索、告警檢索等能力。

低誤報與資料保護的要求

需具備有效的自學習機制，自行建立針對當前DB的安全基線，對超出基線的行為自動識別，記錄、告警與阻斷，降低誤報率。同時DB返回結果資訊，收錄審計時需需提供自動化脫敏防護能力，包含但不限於：關鍵字脫敏、正則脫敏、列名定義脫敏等方式，防止租戶敏感資訊外洩。

多租戶管理的要求

可由雲安全集中管理平臺統一管理，保證各使用者審計服務的邏輯隔離前提下，一套安全服務多個租戶安全審計服務能力的管理與使用。保障運算資源高效利用，避免運算資源浪費和減低成本。

三、建設規模

公有云根據等保標準，滿足公有云資源池等保三級安全能力。

四、建設價值

1、整體價值

滿足雲資源池雲等保的需求，搭建雲安全集中管理平臺與多種安全能力，滿足雲資源架構下的等保三級防護要求，提供等保三級防護能力。雲等保系統可防護南北向和東西向流量，南北向由外網進入，牽引至雲等保系統，防護後的流量再回注原網路；東西向的防護為在雲主機上部署虛擬化元件，滿足雲主機使用者之間的安全防護。

2、資料庫審計部署價值

完善資料庫網路安全防護

提供針對威脅資料庫網路安全事件進行全量閉環的審計記錄，起到事後取證，為安全事件追責提供有力依據。同時威懾心存僥倖、惡意操作人員，規範資料庫側使用行為。

完善資料庫邊界安全防護

對進出資料庫邊界的各類網路行為進行有效記錄與審計分析，與主機審計、應用審計、網路審計共同形成多層次的審計發現，形成有效安全溯源鏈。

完善資料庫計算環境安全防護

針對資料庫的諸如SQL隱碼攻擊、漏洞攻擊等威脅進行審計告警，防止破壞資料庫系統與計算環境，同時對訪問儲存敏感資料的行為進行審計告警，防止敏感資料外洩。

完善雲資源安全體系建設

有效補充雲資源池在資料庫側的安全防護建設，補充等級保護建設以及資料安全保護建設，並完善了雲資源自身安全防護能力與雲租戶安全防護能力。