4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

电子政务内网数据库安全解决方案

行业需求与挑战

业务驱动需求

当前电子政务内网信息系统中的涉密数据在数据库集中存储,传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略,但这些方案在现实中变得弱不禁风,大量信息泄露事件频繁爆发。

(1)传统解决方案对应用访问和数据库访问协议没有任何控制能力,比如:SQL注入就是一个典型的数据库黑客攻击手段;

(2)数据泄露常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地;

(3)由于数据库漏洞被攻击破坏将可能牵连多个部门的系统的数据库不能使用,导致被刷库后数据集中泄密;

(4)缺乏数据库安全管控手段,需要实现精细控制,当前的技术手段下,信息中心无法控制和追踪数据库管理员对敏感数据的访问;

(5)数据库的存储文件解析后为明文,主流的大型数据库数据文件的组织结构主动或被动公开化,只要得到这些数据文件,存储的数据其实就是透明的。

(6)数据访问追踪信息出现断层,需要业务用户关联审计,信息中心需要最精确、详细的审计记录,需要将数据的访问真正定位到操作人,才能有效定责问责。

新的信息化形势下,电子政务内网往往要做到异地数据协同,在数据访问过程中应该采用数据库加固保证数据的安全性,同时不同地域的数据库之间要同步,这样既可以保证数据的保密性,同时也不能影响正常的使用。

安全政策要求

分级保护

为保护国家秘密的安全,国家保密局于2007年发布并实施的分保保密要求,对涉及国家秘密的信息系统的安全保密措施,分别提出了分级保护的技术要求和及测评要求,对于达不到分级保护要求的涉密信息系统则停止运行。

在数据保密方面,分级保护要求机密级以上系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行了一系列的技术和测评要求,并占据了较高的比重。 



方案概述

电子政府内网中的诸多数据均属机密数据,需要严格的保护,防止信息的泄漏和篡改,同时对数据的访问踪迹实现完全可追踪化。

由于历史的原因,信息中心的诸多核心系统主要使用的是Oracle和SQL Server为代表的国外数据库产品,同时由于数据库技术的复杂性,短期内难以替代。斯诺登事件的发生,证明了我国的机密数据放在国外数据库中,若是不采 用国产自主可控的数据库安全技术进行加固,数据库中的涉密信息将有很大的泄漏风险。

即使在实现了国产化数据库系统的涉密信息系统中,当前也存在数据库运维的三元分立、防止SQL注入、漏洞攻击和全部操作要审计等诸多数据库安全需求,因此,数据库安全加固方案具有普遍意义。

本方案对电子政务内网门户、内网办公和纵向内网业务三大类信息系统,后台的数据库系统面临的安全风险、核心安全需求进行认真分析,并提出了通过事前诊断、事中控制和事后审计实现全防护时机的数据库安全解决方案,以满足对国内外数据库的安全加固要求。



方案价值

1)三权分立、权责明晰

打破传统数据库运维,由DBA行使特权的独立控制体系。

DBA(数据库管理员):仍由个部门自行负责,维护数据库。

DSA(安全管理员):由信息中心负责。配置敏感数据的访问策略,包括对包含DBA在内的数据库用户、IP、MAC等。

DAA(审计管理员):由信息中心负责。负责对DBA在内的所有数据库用户的访问行为、DSA的配置行为进行审计。

三权分立后,DBA仍负责常规数据的运维,但对于最敏感的数据,能否访问受安全管理员控制,在制约DBA的同时,其

也是对DBA们的主动免责,降低其被怀疑的风险。

(2)通过虚拟补丁预防数据库被入侵或攻击

利用虚拟补丁技术,在数据库外创建了一个安全层,以防止通过已知漏洞对数据库的攻击,数据库漏洞恶意攻击特征库能及时更新,做到数据库不打补丁的情况下,在数据库之前形成虚拟的防护层。


   
   (3)实现对敏感数据的访问严格管

通过SQL白名单技术对应用的数据库访问行为进行精细控制,所有通过应用服务器的非应用访问行为均被告警和拦截,实现对应用端的严格防护。

通过数据库防火墙串接在运维侧,有效防止DBA等与业务无关的高权限用户访问敏感数据,对IP|MAC等要素进行策略配置,确保应用程序的身份安全可靠。

(4)通过数据库加密解决明文存储泄漏问题

数据库存储文件是明文,需要对敏感字段进行加密存储,对敏感数据实现脱敏,确保数据库文件即使丢失了,也不会造成整库泄密。备份文件也要严格管 理,对敏感列也采用加密方式存储。登陆数据库服务器本地维护和应急数据库操作,此时有明文数据泄漏风险,需要安全管理员同时在场,密级度高的数据要加密存 储,通过三权分立的方式进行管理。

(5)通过精确的应用关联审计有效定责到具体的工作人员

精确审计、有效定责,需要具备一些关键要素:

需要最精确、详细的审计记录,才能为追责提供有效的取证:如浏览器IP来源、工作人员标识、访问时间、操作内容、使用的工具、访问的内容结果集。

数据库防火墙系统的审计能力,不仅能高效、准确地实现一般的数据库访问审计,而且通过部署在应用服务器上的AppSniffer,可以将SQL操作与通过浏览器访问业务系统的工作人员有效关联起来,实现真正定位到操作人,实现有效定责问责。 



方案优势

关键思路

在数据库系统已有的基本安全机制基础上,引入一套可信的数据库访问控制机制,具备数据库的风险隐患早发现、危险操作可控制、管理员权限受限制、 敏感数据难窃视、涉密数据加密存、访问行为可审计等安全保障能力,以保障数据库中数据的存储安全、使用安全和安全保密性,满足数据中心信息安全保护和分级 保护要求。

整体规划

通过对安全威胁的分析,进行整体设计与规划,系列安全产品相互之间分工协作,共同形成整体的防护体系,覆盖了数据库安全防护的事前诊断、事中控制和事后分析。

事前诊断:通过数据库漏扫产品,有效检测数据库已知漏洞,并有效修复。

定期进行数据库安全检查,防患于未然,对数据库安全风险进行综合评估,使用专门的数据库漏洞扫描系统,对生产域中数据库的安全现状进行全面检 测。安全漏洞项包括:弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等,评估是否存在安全漏洞并提供修复建议,为系统的 安全配置提升提供有效的参考。

事中控制:通过数据库防火墙和数据库加密解决。

数据库防火墙-从访问源头来保护数据,监测数据库的访问,防止未授权的访问、SQL Injection、权限或角色的非法提升以及对敏感数据的非法访问。高度精准的基于SQL语法的分析,避免误判;基于黑、白名单的灵活的SQL级策略设 置;支持Bypass和Proxy及混合部署模式,支持高可用,最大限度的适应企业需求;虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问。

在数据库中加密存储敏感信息防止被解析为明文,通过独立于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段,防止 DBA、第三方外包人员和程序开发人员越权访问敏感信息,结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题。

事后分析:通过数据库审计技术解决。

网络旁路审计通过在核心路由设备上设置端口镜像或采用分流监听,使安全审计能够监听到所有用户通过路由设备与数据库进行通讯的操作,并把数据库 操作进行协议还原和分析,细致的数据库操作审计和用户审计,并有丰富的查询检索和报表功能,维护简单、具备专业审计功能,节约人力,减少维护费用。

防护措施

数据库安全事前检测。

本方案规划使用专门的数据库漏洞扫描系统,对当前系统中重要数据库进行全面的安全漏洞检测,有效暴露当前数据库系统的安全问题,同时提出漏洞修复的建议,进行整体安全加固。从而提升数据库系统整体的安全性。

数据库漏洞扫描系统的价值在于:

1. 分析内部不安全配置,防止越权访问:通过只读账户,实现由内到外的检测;提供现有数据的漏洞透视图和数据库配置安全评估;避免内外部的非授权访问。

2. 发现外部黑客攻击漏洞,防止外部攻击:实现非授权的从外到内的检测;模拟黑客使用的漏洞发现技术,在没有授权的情况下,对目标数据库的安全性作深入的探测分析;收集外部人员可以利用的数据库漏洞的详细信息。

3. 监控数据库安全状况,防止数据库安全状况恶化:对于数据库建立安全基线,对数据库进行定期扫描,对所有安全状况发生的变化进行报告和分析。

数据库安全加固

本方案规划使用数据库加密产品,实现对数据库中重要敏感信息的安全保护,从存储层、数据库访问控制层、应用安全层面实现全方位防止敏感信息泄密。

数据库加密系统的价值在于:

存储加密

数据库安全加固系统能够实现敏感数据的存储加密,防止数据从数据库存储文件和备份文件中泄漏;实现涉密信息的存储保密性。

三权分立

通过提供安全管理员、审计管理员角色,使得数据库安全从管理上能实现DBA和安全管理员、审计管理员三者权限分离,相互制约和监督。

独立的权限控制

可对重要敏感信息采用强制访问控制策略。主体精确到数据库用户、客体精确到信息的列级。

能够防止DBA等高权限、超级用户对敏感数据信息的违规访问;

细粒度访问控制

能够通过指定IP地址和时间,尽量缩小敏感数据访问的范围。

数据库安全审计。

能够对敏感数据的访问行为,实现详细审计,记录访问的时间、地点,访问的内容等,进行事后分析追踪。

数据库安全防护及分析。

本方案规划使用数据库防火墙产品,通过防SQL注入、防高危操作来阻止外部黑客攻击者入侵行为,实时的告警,同时采用防火墙产品中的审计能力,进行事后分析。

数据库防火墙系统的价值在于:

防控功能

数据库安全分析可以智能的识别SQL类型,从而灵活的构建行为模型,且能够快速、准确的配置和定位策略。此外,通过智能的SQL识别,采用启发式风险评估,能够及时发现SQL的潜在风险,并进行控制(包括告警、拦截等),从而能够将攻击行为阻止。

审计功能

数据库安全分析提供了全面详细的TraceLog(详细审计记录),和丰富的告警、跟踪事件记录,并在此基础上实现了内容丰富的、动态可跟踪的实时审计分析和追踪。

细粒度权限管理

对于数据库用户提供比DBMS系统更详细的虚拟权限控制。控制策略包括:用户+操作+对象+时间。在控制操作中增加了update Nowhere、delete Nowhere等高危操作;控制规则中增加返回行数和影响行数控制。

全面的审计规则

数据库安全分析提供了可配置的审计规则,可以根据系统的需要,确定不同的审计策略,包括:TraceLog审计的内容:SQL语句、SQL语句参数、执行结果(成功、失败和详细的失败原因)、被影响的记录、详细的查询结果集、事务状态、会话登录和登出信息等。

方案部署

将数据库网络安全控制系统接入到应用服务器和数据服务器之间,实现所有的数据库访问都需要通过控制系统:
   单一系统的接入模式如下:


     
   多应用系统的接入模式如下:

结合本系统内纵向网络和内部网络两套网络拓扑结构,产品分别部署图如下:

(1)内部网络的数据库防火墙部署

内部网络拓扑中,防火墙设备以透明网桥模式接入,对涉密系统数据库使用数据库加密提供全方位的安全防护和行为审计。

(2)纵向网络的数据库防火墙部署

在纵向网络拓扑中,该设备在实施初期可以以旁路的方式接入,进行系统访问行为学习建模,并能够对数据库访问行为进行全面审计,部署方式如下图所示。

当学习期结束后,该设备即切换为串联方式部署,对系统进行全方位的安全防护及审计,部署方式见下图。



北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号