新冠疫情影響下， 會展業與 雲端計算、大資料、物聯網等數字技術加速融合，“雲上會展”成為新趨勢。然而風口之下，高價值的展會敏感資料無時不面臨著被竊取、攻擊的風險。 因此，成熟配套的資料安全能力體系建設，也是會展業創新求變的重中之重。

廈門市會議展覽局（以下簡稱：會展局）主要負責協助主管部門承擔全市會展業有關政策規定的研究擬訂和實施，會展營銷推介、調研分析、招展引會，會展實體和專案策劃、引進等招商引資，會展專項資金管理等方面技術性、輔助性和事務性工作及投洽會等政府主導型展會的籌辦工作等。

一、 需求背景

隨著業務的發展及各類資訊系統的快速建設，會展局各類業務系統產生海量資料並趨於大集中，涉及的資料資訊包括：個人資訊、志願者資訊、企業資訊、參展資訊（包括國內外參展方註冊資料）。這些資訊對單位的運營、乃至區域經濟發展及社會安全穩定影響具有重要的價值。

目前，會展局從業務場景出發，對各類重要系統以等保三級為標準進行安全建設，現已具備基礎的網路安全能力，包括網路安全態勢、網路邊界訪問控制、應用/終端的安全防禦能力。但在資料安全層面， 尤其是對各類敏感資訊還未做到安全防護，一方面缺少敏感資料訪問控制防護手段；另外敏感資訊存在洩漏風險。

面對敏感資料竊取、攻擊愈發頻繁的現象，會展局為保護資料資產安全，在等保三級能力的基礎上，對資料安全防護能力提升加固。

二、 解決方案

基於上述安全現狀，會展局選擇攜手美創設計一套體系化的資料安全建設方案，透過“資料庫防火牆系統、資料庫透明加密系統、動態脫敏系統”等產品，構建縱深防護模型，快速提升資料安全防護能力，助力廈門會展產業數字化升級。

本次方案主要針對三大場景做技術能力建設，具體如下：

一）資料內控安全， 透過動態脫敏技術，對未授權的賬戶訪問敏感資料實現動態脫敏，實現即允許運維人員訪問業務生存資料庫又無法看到核心敏感資料，來保護敏感資料資訊保安性，不被非正常業務需求訪問，防止敏感資料資訊洩露。

准入控制：支援多維身份管理；支援對運維工具或客戶端應用程式進行簽名登陸驗證，防止惡意和仿冒工具/程式登陸資料庫；支援安全管理員、系統管理員、安全審計員三權分立。

訪問控制：支援禁止DBA、SYSDBA、Schema User、Any等特權使用者訪問和操作敏感資料集合。支援查詢結果返回行數控制，避免資料大量洩漏；支援訪問頻次控制，避免一定時間內的高頻次訪問，避免資料流失；支援敏感SQL管理。

全面運維審計，記錄包括使用者名稱、IP地址、MAC地址、客戶端程式名、執行語句的時間、執行的SQL語句、操作的物件等，對其行為進行全程細粒度的審計分析。

二）資料入侵防護， 該項能力建設主要彌補IPS、WAF等安全裝置對資料庫防禦能力的短板。依託美創資料庫防火牆系統，基於業內領先的機器學習技術、SQL解析技術、完善的SQL隱碼攻擊特徵庫及漏洞特徵庫，實時檢測和阻斷外部攻擊行為，主動防禦撞庫、拖庫和SQL隱碼攻擊。

同時提供虛擬補丁功能，檢測並阻斷利用資料庫漏洞發起的攻擊行為，有效避免了因打補丁造成資料庫重啟失敗的可能；再加上基於身份授權下的敏感SQL操作管理，有效保證了不中斷連線會話下業務流的智慧安全管控。

三）資料儲存安全， 資料儲存安全場景下的能力建設主要規範了資料儲存加密的要求，透過採用美創資料庫透明加密系統，無需對單位業務進行改造即可實現對存量、增量敏感資料的加密儲存，創新的閃電加密模式加密過程無需業務停機，在保障業務連續性的基礎上，快速保障在取數過程中、儲存落地的安全。同時具備《商用密碼產品認證證書》，滿足商密合規要求。

透過以上三大場景技術能力的落地，會展局實現了在資料安全方面的深度防禦效果，具備了“進不來”、“拿不走”、“看不懂”、“逃不掉”的安全防護能力，並配合現有安全管理制度，提升整體資料安全能力和意識。

三、 客戶價值

透過上述規劃建設，會展局具備了外防內控的安全防禦能力，具體如下：

1、防止內部高危操作：系統外包維護人員、開發人員等，沒有了直接訪問資料庫的許可權，也無法進行有意無意的進行高危操作來破壞資料庫系統和資料。

2、防止應用違規操作：業務操作人員和開發人員日常操作，透過資料庫防火牆的安全控制策略，從而形成一個資料庫的外圍防禦圈，避免違規操作、外部攻擊等行為的破壞。

3、防止敏感資料洩漏：外部駭客攻擊以及內部高許可權使用者，可能繞開合法應用系統直接訪問資料庫，直接將資料庫拖庫，透過資料庫透明加密技術進行加密儲存，有效防止明文儲存引起的資料洩漏、突破邊界防護後的資料竊取可能。

4、增強威懾：各類安全產品具備審計能力，透過審計加強了威懾力，並針對運維工作規範和流程進行了加強。也提高了業務操作人員安全意識，保障業務資料安全。

廈門市會展局攜手美創：以資料為核心的安全建設守護“雲上會展”

相關文章