一、建設目的
1、合法合規目的
依據《中華人民共和國網路安全法》、《資訊保安技術網路安全等級保護基本要求》約束與要求,要求網路運營者應按照網路安全等級保護制度,切實履行網路、資料安全保護義務。
2、保護自身安全目的
當前雲資源池相應網路安全能力,無法完全滿足雲資源池三級等保安全的防護需求,為保證雲資源以及租戶網路、資料安全,需補充符合可滿足等保三級安全建設的安全能力,以及可向雲租戶提供同等級的雲安全防護能力。
二、建設要求
1、整體要求
雲資源池結合等級保護標準與自身實際網路情況,需要對安全物理環境、安全通訊網路、安全區域邊界、安全計算環境、安全管理中心5大方面進行等級保護與風險防護建設。
2、資料庫安全要求
全要素發現記錄的要求
需保證雲環境下資料採集的全面性、有效性、實時性,實時記錄風險行為發生時間、型別、MAC、埠、IP、資料庫名、使用者名稱、客戶端IP、伺服器端IP、操作指令、操作返回狀態值等資訊。語句類似覆蓋:DQL、DDL、DML、DCL、函式、儲存、以及運維協議,保證審計資訊鏈的完整性,為事後風險行為溯源提供有效資料支撐。
多條件檢索審計的要求
需保證租戶對所屬DB歷史操作行為的檢索審計能力,提供多種查詢條件,可根據日誌的型別、發生時間、不同欄位等內容進行查詢。提供不同維度檢索能力,達到快速定位風險的要求,檢索維度包含但不限於:風險檢索、語句檢索、會話檢索、告警檢索等能力。
低誤報與資料保護的要求
需具備有效的自學習機制,自行建立針對當前DB的安全基線,對超出基線的行為自動識別,記錄、告警與阻斷,降低誤報率。同時DB返回結果資訊,收錄審計時需需提供自動化脫敏防護能力,包含但不限於:關鍵字脫敏、正則脫敏、列名定義脫敏等方式,防止租戶敏感資訊外洩。
多租戶管理的要求
可由雲安全集中管理平臺統一管理,保證各使用者審計服務的邏輯隔離前提下,一套安全服務多個租戶安全審計服務能力的管理與使用。保障運算資源高效利用,避免運算資源浪費和減低成本。
三、建設規模
公有云根據等保標準,滿足公有云資源池等保三級安全能力。
四、建設價值
1、整體價值
滿足雲資源池雲等保的需求,搭建雲安全集中管理平臺與多種安全能力,滿足雲資源架構下的等保三級防護要求,提供等保三級防護能力。雲等保系統可防護南北向和東西向流量,南北向由外網進入,牽引至雲等保系統,防護後的流量再回注原網路;東西向的防護為在雲主機上部署虛擬化元件,滿足雲主機使用者之間的安全防護。
2、資料庫審計部署價值
完善資料庫網路安全防護
提供針對威脅資料庫網路安全事件進行全量閉環的審計記錄,起到事後取證,為安全事件追責提供有力依據。同時威懾心存僥倖、惡意操作人員,規範資料庫側使用行為。
完善資料庫邊界安全防護
對進出資料庫邊界的各類網路行為進行有效記錄與審計分析,與主機審計、應用審計、網路審計共同形成多層次的審計發現,形成有效安全溯源鏈。
完善資料庫計算環境安全防護
針對資料庫的諸如SQL隱碼攻擊、漏洞攻擊等威脅進行審計告警,防止破壞資料庫系統與計算環境,同時對訪問儲存敏感資料的行為進行審計告警,防止敏感資料外洩。
完善雲資源安全體系建設
有效補充雲資源池在資料庫側的安全防護建設,補充等級保護建設以及資料安全保護建設,並完善了雲資源自身安全防護能力與雲租戶安全防護能力。