一、需求
经过多年的发展,该省发改委机房建设初具规模,其上运行着该省投资项目在线审批监管平台、该省固定资产投资项目“两库”管理平台、该省信用信息公共服务平台,信息系统的建设应用了当前主流的硬件和应用软件平台。从网络上可以分为电子政府外网和互联网两大块。
电子政务外网接受全省的厅局接入,边界上设置了启XXX的USG-FW-12600GP作为核心交换域防火墙,核心交换机与应用服务器之间也设置了启XXX的USG-FW-12600GP作为应用安全域防火墙,核心交换机与数据库服务器之间设置了启XXX的USG-FW-12600作为数据安全域防火墙。核心交换区设置了AF-1860-IPS入侵检测。
互联网边界由外到核心交换机之间依次设置了天XX的DDOS设备,网XNF1000出口防火墙,AF-1860-IPS入侵防御,天XXWAF防火墙TWF-6213。
电子政务外网和互联网之间设置了网XNF3000千兆边界防火墙、启XXXUSG-FW-2000GP千兆边界防火墙、天XXTOPACM5000网络行为审计、天XXTOPScanner7000漏洞扫描作为边界防护。
二、方案
基于当前发改委信息系统拓扑图,嵌入我们的数据安全设备,形成如下解决方案:
由上图所示,对电子政务外网和互联网的数据库安全域分别布署我们的数据安全产品,电子政务外网相对来说更重要,架构上使用了双链路,布署我们的产品中时略有不同:
(一)电子政务外网方案:
1、在数据库安全域前面的双链路上分别串接数据库防火墙系统,对数据库的访问请求进行过滤,对于可疑请求进行告警,对于删库、删表、清库等恶意操作或者误操作的数据库指令进行阻断;
2、在数据库安全域前面的接入交换机上布署数据库审计系统,对数据库的访问请求进行日志记录,一方面起到威慑作用,一方面在出问题后便于溯源:
1)可利用交换机旁路镜像端口实现对载体为物理机的数据库的访问进行审计(最佳方式);
2)可利用布署于虚拟机中数据库所在操作系统中的软件探针(一种包转发程序),将数据库访问流量转发至审计系统,实现对虚拟机中数据库的访问审计;
3)对于已经设置了数据库防火墙的数据库,也可以将防火墙的日志直接转发至审计服务器实现审计。
3、在安全管理域布署态势感知服务器,它与数据库审计路由可达,能在大屏上用图表的方式显示:
1)敏感数据在哪里
2)敏感数据去哪了
3)谁在访问敏感数据
4、在数据库安全域前面的接入交换机上布署数据库加密系统,对各数据库表中敏感数据进行加密,将明文数据变成密文存储,从根本上杜绝数据泄露的风险;
5、在数据库安全域前面的接入交换机上布署数据库实时脱敏系统,对业务系统中非必要的敏感数据显示进行脱敏处理,对于没有业务查询权限的数据库用户的查询结果进行脱敏处理,对于运维相关的数据库查询结果进行脱敏处理;
6、在数据库安全域前面的接入交换机上布署数据库批量脱敏系统,为开发测试以及培训区批量的提供经过处理的准真实数据(格式不变,不影响开发测试的假数据)。
(二)互联网方案:
1、在数据库安全域前面串接数据库防火墙系统(双机热备,两台防火墙服务器管理口连到同一交换机的同一vlan下,互为备份,一台失效,另一台立即接管),对数据库访问请求进行过滤,对于可疑请求进行告警,对于删库、删表、清库等恶意操作或者误操作的数据库指令进行阻断;
2、在数据库安全域前面的接入交换机上布署数据库审计系统,同电子政务外网一样的方式实现审计和数据安全态势感知。
三、价值
具体来说,中安威士数据库安全加固系统可以带来如下价值:
1、简化业务治理,提高数据安全管理能力。由于数据库系统是一个复杂的软件“黑盒子”,其可视化程度很低。数据库管理员很难说清:在任意时刻数据被访问的情况,这对业务治理带来了很大的困难。尤其在云环境中,这种不可视化程度更加严重。公司产品通过多种手段全面监控数据的访问情况,并提供丰富的预设统计报表,以图形化的方式将数据的访问情况和风险情况可视化,进而提供访问控制能力,极大的简化了业务治理,提高了数据安全管理能力。
2、完善纵深防御体系,提升整体安全防护能力。建立纵深的防御体系已是信息安全建设的共识。数据库到应用系统这一段,是信息安全的最后一公里,也是最后一道防线,涉及的是最直接的敏感数据安全管理,直接关系到敏感数据的安全。同时,在数据/业务层加强安全防护,也逐步成为信息安全的新方向。公司系统紧贴核心数据,针对信息安全的最后一公里以及数据/业务层提供丰富的防护手段,有利于完善纵深防御体系,提升整体安全防护能力。
3、减少核心数据资产被侵犯,保障业务连续性。信息系统最有价值的资产是数据,而数据也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯,轻者导致业务中断,重者导致泄密和篡改,严重影响企事业单位的声誉乃至生存,围绕核心数据的攻防对抗将长期存在。公司系统产品紧密贴合数据,提供数据发现、风险评估、审计、防火墙、加密等手段,实现数据安全的可视性和可控性,并最终减少核心数据资产被侵犯的可能性,保障正常的业务。
从访问数据库的SQL语句级别和查看数据库的字段级别进行防控,从根源上彻底防止了SQL注入等攻击。
4、满足合规要求,快速通过评测。产品实现独立的审计和访问控制,直接输出合规的报表,满足政府机构多个法规和标准的要求,快速通过各种安全保密检查和评测,比如等保评测。
综上所述,中安威士数据安全产品,可有针对性的对重要敏感数据提供了全方位,全天候的保护。
相关推荐
该部分内容介绍了某省地税信息安全规划方案的范围,包括地税信息系统的安全保护、网络安全、数据安全、应用安全等方面。 规划原则 该部分内容介绍了某省地税信息安全规划方案的原则,包括安全性、可靠性、高效性、...
通过对某省移动公司业务运营支撑系统(BOSS)的分析,提出了基于BOSS的安全方案,并对某省移动公司的BOSS安全技术体系的第一期部署进行了分析。
某知名IT公司出具的电子政府解决方案,资料虽然老了一些,但内容还是比较全面的,而且政府办公系统的常见应用模块功能介绍都有
该资源提供了电子政务云数据中心安全解决方案的详细设计和技术建议,涵盖了安全合规性、整体规划、分步建设安全保障体系、等保三级合规需求、安全威胁分析、六层技术维度、三个发展阶段等方面的知识点。 1. 安全...
电信运营商驾校物联网解决方案.ppt电信运营商驾校物联网解决方案.ppt电信运营商驾校物联网解决方案.ppt电信运营商驾校物联网解决方案.ppt电信运营商驾校物联网解决方案.ppt
中国联通-某省智慧农业顶层设计与解决方案,精品一级
中国联通-某省智慧农业顶层设计与解决方案.ppt
某省智慧农业顶层设计与解决方案,精品一级
某省民防信息区域存储方案设计
某省智慧农业顶层设计与解决方案.zip
某省智慧农业顶层设计与解决方案.ppt
某省智慧农业顶层设计与解决方案_图文,精品一级
"某省移动核心数据库迁移方案" 某省移动核心数据库迁移方案是指将某核心数据库从当前平台(AIX+ORACLE9.2.0.7)迁移到新平台(HPUX+ORACLE9.2.0.7)。该迁移方案涉及到数据库迁移、跨平台迁移、大数据量迁移、停机...
在中国联通的这个“某省智慧农业顶层设计与解决方案”中,我们可以深入探讨智慧农业这一现代科技在农业生产中的应用和前景。智慧农业是通过信息技术与农业深度融合,实现精准化、智能化、高效化的农业生产方式,旨在...
该报告书是针对甘肃省IP网络安全需求提出的详细解决方案,旨在确保该省数据局的网络安全性,防止非法入侵和保护信息资源。以下是对报告书内容的详细解析: 1. **招标与应答流程**: - 投标方需依据招标方的规范和...
智慧医院临床数据中心解决方案是针对当前医疗机构信息化建设中存在的问题,如数据分散、无法共享以及缺乏有效利用等,而提出的一种综合性的信息技术策略。该方案旨在通过构建一个统一的数据平台,打破信息孤岛,实现...
某省农业信息化推广方案.pptx