某省發改委資料安全解決方案
一、需求
經過多年的發展,該省發改委機房建設初具規模,其上執行著 該 省投資專案線上審批監管平臺、 該 省固定資產投資專案“兩庫”管理平臺、 該 省信用資訊公共服務平臺,資訊系統的建設應用了當前主流的硬體和應用軟體平臺。從網路上可以分為電子政府外網和網際網路兩大塊。
電子政務外網接受全省的廳局接入,邊界上設定了啟XXX的USG-FW-12600GP作為核心交換域防火牆,核心交換機與應用伺服器之間也設定了啟XXX的USG-FW-12600GP作為應用安全域防火牆,核心交換機與資料庫伺服器之間設定了啟XXX的USG-FW-12600作為資料安全域防火牆。核心交換區設定了AF-1860-IPS入侵檢測。
網際網路邊界由外到核心交換機之間依次設定了天XX的DDOS裝置,網XNF1000出口防火牆,AF-1860-IPS入侵防禦,天XXWAF防火牆TWF-6213。
電子政務外網和網際網路之間設定了網XNF3000千兆邊界防火牆、啟XXXUSG-FW-2000GP千兆邊界防火牆、天XXTOPACM5000網路行為審計、天XXTOPScanner7000漏洞掃描作為邊界防護。
二、方案
基於當前發改委資訊系統拓撲圖,嵌入我們的資料安全裝置,形成如下解決方案:
由上圖所示,對電子政務外網和網際網路的資料庫安全域分別佈署我們的資料安全產品,電子政務外網相對來說更重要,架構上使用了雙鏈路,佈署我們的產品中時略有不同:
(一)電子政務外網方案:
1、在資料庫安全域前面的雙鏈路上分別串接資料庫防火牆系統,對資料庫的訪問請求進行過濾,對於可疑請求進行告警,對於刪庫、刪表、清庫等惡意操作或者誤操作的資料庫指令進行阻斷;
2、 在資料庫安全域前面的接入交換機上佈署資料庫審計系統,對資料庫的訪問請求進行日誌記錄,一方面起到威懾作用,一方面在出問題後便於溯源:
1)可利用交換機旁路映象埠實現對載體為物理機的資料庫的訪問進行審計(最佳方式);
2)可利用佈署於虛擬機器中資料庫所在作業系統中的軟體探針(一種包轉發程式),將資料庫訪問流量轉發至審計系統,實現對虛擬機器中資料庫的訪問審計;
3)對於已經設定了資料庫防火牆的資料庫,也可以將防火牆的日誌直接轉發至審計伺服器實現審計。
3、在安全管理域佈署態勢感知伺服器,它與資料庫審計路由可達,能在大屏上用圖表的方式顯示:
1)敏感資料在哪裡
2)敏感資料去哪了
3)誰在訪問敏感資料
4、在資料庫安全域前面的接入交換機上佈署資料庫加密系統,對各資料庫表中敏感資料進行加密,將明文資料變成密文儲存,從根本上杜絕資料洩露的風險;
5 、 在資料庫安全域前面的接入交換機上佈署資料庫實時脫敏系統,對業務系統中非必要的敏感資料顯示進行脫敏處理,對於沒有業務查詢許可權的資料庫使用者的查詢結果進行脫敏處理,對於運維相關的資料庫查詢結果進行脫敏處理;
6、在資料庫安全域前面的接入交換機上佈署資料庫批次脫敏系統,為開發測試以及培訓區批次的提供經過處理的準真實資料(格式不變,不影響開發測試的假資料)。
( 二)網際網路方案 :
1 、 在資料庫安全域前面串接 資料庫防火牆系統(雙機熱備,兩臺防火牆伺服器管理口連到同一交換機的同一vlan下,互為備份,一臺失效,另一臺立即接管),對資料庫訪問請求進行過濾,對於可疑請求進行告警,對於刪庫、刪表、清庫等惡意操作或者誤操作的資料庫指令進行阻斷;
2、在資料庫安全域前面的接入交換機上佈署資料庫審計系統,同電子政務外網一樣的方式實現審計和資料安全態勢感知。
三、價值
具體來說,資料庫安全加固系統可以帶來如下價值:
1 、簡化業務治理,提高資料安全管理能力 。由於資料庫系統是一個複雜的軟體“黑盒子”,其視覺化程度很低。資料庫管理員很難說清:在任意時刻資料被訪問的情況,這對業務治理帶來了很大的困難。尤其在雲環境中,這種不視覺化程度更加嚴重。公司產品透過多種手段全面監控資料的訪問情況,並提供豐富的預設統計報表,以圖形化的方式將資料的訪問情況和風險情況視覺化,進而提供訪問控制能力,極大的簡化了業務治理,提高了資料安全管理能力。
2 、完善縱深防禦體系,提升整體安全防護能力 。建立縱深的防禦體系已是資訊保安建設的共識。資料庫到應用系統這一段,是資訊保安的最後一公里,也是最後一道防線,涉及的是最直接的敏感資料安全管理,直接關係到敏感資料的安全。同時,在資料/業務層加強安全防護,也逐步成為資訊保安的新方向。公司系統緊貼核心資料,針對資訊保安的最後一公里以及資料/業務層提供豐富的防護手段,有利於完善縱深防禦體系,提升整體安全防護能力。
3 、減少核心資料資產被侵犯,保障業務連續性 。資訊系統最有價值的資產是資料,而資料也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心資料被侵犯,輕者導致業務中斷,重者導致洩密和篡改,嚴重影響企事業單位的聲譽乃至生存,圍繞核心資料的攻防對抗將長期存在。公司系統產品緊密貼合資料,提供資料發現、風險評估、審計、防火牆、加密等手段,實現資料安全的可視性和可控性,並最終減少核心資料資產被侵犯的可能性,保障正常的業務。
從訪問資料庫的SQL語句級別和檢視資料庫的欄位級別進行防控, 從根源上徹底防止了 SQL 注入等攻擊 。
4 、滿足合規要求 ,快速透過評測。產品實現獨立的審計和訪問控制,直接輸出合規的報表,滿足政府機構多個法規和標準的要求,快速透過各種安全保密檢查和評測,比如等保評測。
綜上所述,中安威士資料安全產品,可有針對性的對重要敏感資料提供了全方位,全天候的保護。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69914889/viewspace-2668139/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 昂楷為國網某省電力提供一站式資料安全綜合解決方案
- 雲資料庫安全解決方案資料庫
- 騰訊安全釋出《資料安全解決方案白皮書》
- 杉巖資料安全儲存解決方案
- 高校資料安全解決方案-網站版網站
- 重磅推薦|綠盟資料安全解決方案
- 天空衛士API資料安全解決方案API
- 確保帳戶安全 談MySQL資料庫安全解決方案MySql資料庫
- XX稅務局銀行徵信介面 資料安全解決方案
- 資料中心安全解決方案
- 大資料解決方案大資料
- 亞信安慧AntDB資料庫高可用解決方案助力西南某省高速清分結算系統成功升級資料庫
- 資料安全防”脫庫”解決方案資訊洩密根源
- [PHP高可用後端]②③--資料安全解決方案開篇PHP後端
- 海量資料和高併發的解決方案
- Sentry 企業級資料安全解決方案 - Relay PII 和資料清理
- 案例精選 | 志翔科技資料安全解決方案 築牢晶片企業資料安全屏障晶片
- 海量資料庫解決方案資料庫
- xx稅務局網上開票系統 資料安全解決方案
- Sentry 企業級資料安全解決方案 - Relay 操作指南
- Sentry 企業級資料安全解決方案 - Relay 入門
- 騰訊安全聯合成立資料安全專委會
- 綠盟資料安全解決方案榮獲“2019年度通訊產業網路安全影響力解決方案獎”產業
- 解決方案丨資料治理實戰:滴滴資料資產管理產品解決方案
- 鑄造資料安全堤壩,華為雲資料災備解決方案就是強!
- 智慧網聯汽車功能安全開發解決方案
- Sentry 企業級資料安全解決方案 - Relay 執行模式模式
- Sentry 企業級資料安全解決方案 - Relay 配置選項
- Sentry 企業級資料安全解決方案 - Relay 專案配置
- 華為雲資料災備解決方案,你最佳的安全衛士
- 資料安全與風控解決方案測試實踐與思考
- 資料庫回檔解決方案資料庫
- 開源大資料解決方案大資料
- 大資料和資料倉儲解決方案大資料
- 原始碼安全加密解決方案原始碼加密
- 遠端安全接入解決方案
- CA的安全解決方案(轉)
- 靈感觸發:網路底層安全解決方案