4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

电子政务外网数据库安全解决方案

行业需求与挑战

电子政务外网系统主要包括政府单位门户网站、公共服务系统类型的政务公用网络;系统分为中央、省、市、县四级电子政务外网平台。通过对各业务系统及各层级政务平台的安全状况进行梳理,我们将目前电子政务外网面临的安全风险和需求归纳为以下几点:

传统防护薄弱:传统的网络防火墙及入侵保护系统等,由于不具备对数据库通讯协议的解析能力,无法实现对数据库访问行为的细粒度审计和防护。

安全配置缺陷:对于数据库系统中的默认配置、高危程序、弱口令、权限分配过高等配置缺陷缺乏严格的检查及相应的优化,可能导致内部用户的非法访问或越权操作。

外部黑客攻击:数据库系统本身存在多种安全漏洞,加之电子政务系统平台需要对外开放访问接口,外部黑客可以通过漏洞攻击或SQL注入的方式对数据库进行攻击。

内部违规操作:第三方人员、下级单位、运维人员、外包人员都有权限访问数据库高权限账户,可以对数据库进行增删改查等操作,缺乏对此类操作的管控将可能导致数据被篡改、泄漏等风险。

安全取证困难:数据库系统中,数据库自身的日志系统可以实时或非实时的记录侵入者,但是数据库系统遭受入侵和非授权操作时,攻击者也可获取到数据库系统高权限账户,这样可以有选择的删除部分或全部审计日志,导致无法准确回溯破坏和泄露行为,对日后调查取证造成严重阻碍。

政策性要求

电子政务外网需要符合国家颁布的相关等级保护要求,其中对数据库系统的访问行为审计、数据安全性等方面提出了明确的安全防护要求。



方案概述

对电子政务外网的数据库系统实现数据动态监管,自动化完成对数据的定期检查,针对为安全管理人员、数据管理员和受控人员建立敏感数据安全管控的平台。将数据的类型及敏感程度进行整体管理,并针对不同级别的数据的操作及流转进行管理、审计,可以将数据分布情况以及使用情况进行可视化处理,生成数据分析报告,并依托分析报告完成数据安全风险评估,最终做出合理建议,为电子政务外网提升数据库安全管理工作水平。

检查预警-安全状况检查

通过部署数据库漏洞扫描系统,对电子政务外网中的核心数据库进行安全状况检查,包括相关数据库安全漏洞、安全配置、弱口令、缺省口令、补丁更新、脆弱代码、程序后门等检测项,有效评估后建立数据库安全基线。,并提供加固建议。

主动防御-访问控制防护

电子政务外网的业务应用系统种类繁多,其中不乏有需要对公众开放的系统,而WEB服务器被暴露在网络之中,攻击者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放端口。对这样的隐患进行数据库级别的访问行为控制、危险操作阻断、可疑行为拦截,面对来自于外部的入侵行为,提供防SQL注入禁止和数据库虚拟补订包功能;通过虚拟补丁防护,保证数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。有效的保护后台数据库不暴露在复杂的网络环境中,构建数据库的安全防护。

1.jpg

事后追查,数据流向监控

对于电子政务外网存在的批量导出敏感数据的“刷库”行为,需要构建应用的行为模型,通过数据库审计系统学习模式,在学习期内将合法应用的SQL语句全部捕获,统一放到“白名单”里,防止合法语句被误报,学期完善期后切换到保护期,此时如果出现了通过Web网站批量导出敏感数据的行为,会被数据库审计系统识别并进行风险行为告警,让安全管理员第一时间了解电子政务外网系统的风险情况。

通过数据库审计系统帮助安全管理员建立数据库的“摄像头”, 对数据库协议进行精确识别,记录和回放电子政务外网数据库的攻击、篡改、批量、误操作等风险行为,提升数据库的安全监控和溯源能力,为事后追溯定责提供准确依据。

2.jpg

方案价值

通过对数据库进行整体安全防护,电子政务外网可从以下几点收益:

敏感数据修改记入审计记录

对敏感信息的修改需要在进行数据库操作的时候全部记入审计记录,同时要确保数据库审计设备不可绕过,审计数据不会被篡改。

软件开发商和信息维护人员权责分明

通过独立的权限控制能力,以及基于IP和时间的精细控制,严格保证合法的用户才能访问敏感信息,通过敏感数据详细变更审计能力,准确追踪敏感信息的访问行为。在出现问题的时候,可以能分清是哪方出的问题。

外网数据防黑客入侵和批量导出

面对来自于外部黑客的入侵行为,提供防SQL注入和数据库虚拟补丁包功能;通过虚拟补丁包,数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。

及时阻止数据库运维侧的误操作和恶意操作

通过SQL协议分析,根据预定的白名单、黑名单策略决定让合法的SQL操作通过执行,让可疑的非法违规操作禁止。实现主动防御机制、数据库的访问行为权限控制、恶意及危险操作阻断式防范。



方案优势

 事前主动防护:明确识别敏感信息。以这些敏感数据为防护要点,在信息安全方面建立有纵深的防护体系。

事中控制:严格细化敏感数据的访问控制,主动预防批量泄露、恶意篡改。

事后分析:全面审计、及时对恶意攻击、非法访问、恶意操作进行告警,实现事后追溯,有效地追责定责。

运维人员的防控:使用专业的数据库防火墙系统,对DBA、第三方运维实施人员等,实施访问敏感信息的精细控制,包括表、字段、访问的数据量范围(行数)等。

同时避免敏感信息被恶意篡改,或误操导致被批量修改或删除。同时将敏感数据的访问控制细化到IP地址和时间范围。

使用专业的数据库防火墙等技术手段,防止外部入侵攻击者利用数据库漏洞,间接批量窃取外网数据。



北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号