`
数据安全
  • 浏览: 15930 次
  • 性别: Icon_minigender_1
社区版块
存档分类
最新评论

数据库安全之政府

阅读更多

当前电子政务内网信息系统中的涉密数据在数据库集中存储,传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略,但这些方案在现实中变得弱不禁风,大量信息泄露事件频繁爆发。

传统解决方案对应用访问和数据库访问协议没有任何控制能力,比如:SQL注入就是一个典型的数据库黑客攻击手段;数据泄露常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地;由于数据库漏洞被攻击破坏将可能牵连多个部门的系统的数据库不能使用,导致被刷库后数据集中泄密;缺乏数据库安全管控手段,需要实现精细控制,当前的技术手段下,信息中心无法控制和追踪数据库管理员对敏感数据的访问;数据库的存储文件解析后为明文,主流的大型数据库数据文件的组织结构主动或被动公开化,只要得到这些数据文件,存储的数据其实就是透明的。数据访问追踪信息出现断层,需要业务用户关联审计,信息中心需要最精确、详细的审计记录,需要将数据的访问真正定位到操作人,才能有效定责问责。

新的信息化形势下,电子政务内网往往要做到异地数据协同,在数据访问过程中应该采用数据库加固保证数据的安全性,同时不同地域的数据库之间要同步,这样既可以保证数据的保密性,同时也不能影响正常的使用。

安全政策要求分级保护,保护国家秘密的安全,国家保密局于2007年发布并实施的分保保密要求,对涉及国家秘密的信息系统的安全保密措施,分别提出了分级保护的技术要求和及测评要求,对于达不到分级保护要求的涉密信息系统则停止运行。

在数据保密方面,分级保护要求机密级以上系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行了一系列的技术和测评要求,并占据了较高的比重。

电子政府内网中的诸多数据均属机密数据,需要严格的保护,防止信息的泄漏和篡改,同时对数据的访问踪迹实现完全可追踪化。

由于历史的原因,信息中心的诸多核心系统主要使用的是Oracle和SQLServer为代表的国外数据库产品,同时由于数据库技术的复杂性,短期内难以替代。斯诺登事件的发生,证明了我国的机密数据放在国外数据库中,若是不采用国产自主可控的数据库安全技术进行加固,数据库中的涉密信息将有很大的泄漏风险。

即使在实现了国产化数据库系统的涉密信息系统中,当前也存在数据库运维的三元分立、防止sql注入、漏洞攻击和全部操作要审计等诸多数据库安全需求,因此,数据库安全加固方案具有普遍意义。

本方案对电子政务内网门户、内网办公和纵向内网业务三大类信息系统,后台的数据库系统面临的安全风险、核心安全需求进行认真分析,并提出了通过事前诊断、事中控制和事后审计实现全防护时机的数据库安全解决方案,以满足对国内外数据库的安全加固要求。

在数据库系统已有的基本安全机制基础上,引入一套可信的数据库访问控制机制,具备数据库的风险隐患早发现、危险操作可控制、管理员权限受限制、敏感数据难窃视、涉密数据加密存、访问行为可审计等安全保障能力,以保障数据库中数据的存储安全、使用安全和安全保密性,满足数据中心信息安全保护和分级保护要求。

通过对安全威胁的分析,进行整体设计与规划,系列安全产品相互之间分工协作,共同形成整体的防护体系,覆盖了数据库安全防护的事前诊断、事中控制和事后分析。事前诊断:通过数据库漏扫产品,有效检测数据库已知漏洞,并有效修复。定期进行数据库安全检查,防患于未然,对数据库安全风险进行综合评估,使用专门的数据库漏洞扫描系统,对生产域中数据库的安全现状进行全面检测。安全漏洞项包括:弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等,评估是否存在安全漏洞并提供修复建议,为系统的安全配置提升提供有效的参考。事中控制:通过数据库防火墙和数据库加密解决。数据库防火墙-从访问源头来保护数据,监测数据库的访问,防止未授权的访问、SQL Injection、权限或角色的非法提升以及对敏感数据的非法访问。高度精准的基于SQL语法的分析,避免误判;基于黑、白名单的灵活的SQL级策略设置;支持Bypass和Proxy及混合部署模式,支持高可用,最大限度的适应企业需求;虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问。

在数据库中加密存储敏感信息防止被解析为明文,通过独立于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段,防止DBA、第三方外包人员和程序开发人员越权访问敏感信息,结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题。事后分析:通过数据库审计技术解决。网络旁路审计通过在核心路由设备上设置端口镜像或采用分流监听,使安全审计能够监听到所有用户通过路由设备与数据库进行通讯的操作,并把数据库操作进行协议还原和分析,细致的数据库操作审计和用户审计,并有丰富的查询检索和报表功能,维护简单、具备专业审计功能,节约人力,减少维护费用。

本方案规划使用专门的数据库漏洞扫描,对当前系统中重要数据库进行全面的安全漏洞检测,有效暴露当前数据库系统的安全问题,同时提出漏洞修复的建议,进行整体安全加固。从而提升数据库系统整体的安全性。

三权分立、权责明晰,打破传统数据库运维,由DBA行使特权的独立控制体系。DBA(数据库管理员):仍由个部门自行负责,维护数据库。DSA(安全管理员):由信息中心负责。配置敏感数据的访问策略,包括对包含DBA在内的数据库用户、IP、MAC等。DAA(审计管理员):由信息中心负责。负责对DBA在内的所有数据库用户的访问行为、DSA的配置行为进行审计。

三权分立后,DBA仍负责常规数据的运维,但对于最敏感的数据,能否访问受安全管理员控制,在制约DBA的同时,其也是对DBA们的主动免责,降低其被怀疑的风险。

通过虚拟补丁预防数据库被入侵或攻击,利用虚拟补丁技术,在数据库外创建了一个安全层,以防止通过已知漏洞对数据库的攻击,数据库漏洞恶意攻击特征库能及时更新,做到数据库不打补丁的情况下,在数据库之前形成虚拟的防护层。

实现对敏感数据的访问严格管,通过SQL白名单技术对应用的数据库访问行为进行精细控制,所有通过应用服务器的非应用访问行为均被告警和拦截,实现对应用端的严格防护。

通过数据库防火墙串接在运维侧,有效防止DBA等与业务无关的高权限用户访问敏感数据,对IP|MAC等要素进行策略配置,确保应用程序的身份安全可靠。

通过数据库加密解决明文存储泄漏问题,数据库存储文件是明文,需要对敏感字段进行加密存储,对敏感数据实现脱敏,确保数据库文件即使丢失了,也不会造成整库泄密。备份文件也要严格管理,对敏感列也采用加密方式存储。登陆数据库服务器本地维护和应急数据库操作,此时有明文数据泄漏风险,需要安全管理员同时在场,密级度高的数据要加密存储,通过三权分立的方式进行管理。

通过精确的应用关联审计有效定责到具体的工作人员,精确审计、有效定责,需要具备一些关键要素:需要最精确、详细的审计记录,才能为追责提供有效的取证:如浏览器IP来源、工作人员标识、访问时间、操作内容、使用的工具、访问的内容结果集。

数据库防火墙系统的审计能力,不仅能高效、准确地实现一般的数据库访问审计,而且通过部署在应用服务器上的AppSniffer,可以将SQL操作与通过浏览器访问业务系统的工作人员有效关联起来,实现真正定位到操作人,实现有效定责问责。

数据库漏洞扫描系统分析内部不安全配置,防止越权访问:通过只读账户,实现由内到外的检测;提供现有数据的漏洞透视图和数据库配置安全评估;避免内外部的非授权访问。发现外部黑客攻击漏洞,防止外部攻击:实现非授权的从外到内的检测;模拟黑客使用的漏洞发现技术,在没有授权的情况下,对目标数据库的安全性作深入的探测分析;收集外部人员可以利用的数据库漏洞的详细信息。监控数据库安全状况,防止数据库安全状况恶化:对于数据库建立安全基线,对数据库进行定期扫描,对所有安全状况发生的变化进行报告和分析。

0
1
分享到:
评论

相关推荐

    数据库安全技术白皮书汇总

    ### 数据库安全技术白皮书知识点汇总 #### 一、背景与重要性 - **CSDN数据库泄露事件**:2011年末,国内最大的程序员社区CSDN发生重大数据库泄露事件,这一事件迅速引发了全国范围内的广泛关注,并对互联网安全性...

    数据库安全防护解决方案.pptx

    【数据库安全防护解决方案】 在数字化转型的背景下,数据库安全已成为企业信息安全的核心环节。"数据库安全防护解决方案"旨在构建一个全方位的数据库安全纵深防御体系,确保数据在使用过程中的安全性。安华金和作为...

    数据库安全数据库安全.ppt

    【数据库安全概述】 数据库安全是保护数据库免受各种威胁,确保数据资产的完整性和可用性的关键环节。数据库中存储的敏感信息,如个人隐私、企业财务数据和政府机密,都要求高度的安全保障。然而,数据库的安全性...

    [详细完整版]1数据库安全.doc

    数据库安全是信息系统中至关重要的一个环节,特别是在当前信息化高度发展的时代,无论是企业、政府还是军事部门,都极度依赖计算机应用程序和数据库来存储关键信息。数据库的安全性直接关系到整个系统的安全,一旦...

    2016数据库运维安全现状调查报告 数据库运维(02).pdf

    5. **数据库安全管控技术手段**:数据库防火墙是最常见的管控技术,但仍有半数单位未使用专业的数据库安全管控产品,近一半单位的管理手段无法满足数据库管理制度要求。 6. **数据库访问审计**:大多数企业进行了...

    云计算环境下数据库安全性策略研究.pdf

    云计算环境下数据库安全性的研究是一个重要的课题,随着云计算技术的发展,企业和组织越来越依赖于云服务来存储和处理大量数据,这使得数据库安全性的问题愈发突出。云数据库相较于传统的本地数据库,具有更高的计算...

    PS-政府机关数据库管理.pdf

    ### 政府机关数据库管理的关键知识点 #### 一、政府机关数据管理的重要性 政府机关作为公共服务的提供者,需要处理大量的信息和数据。这些数据涵盖了各个领域的信息,包括但不限于公民个人信息、财政预算、法规...

    数据库安全保护数据库安全保护.ppt

    数据库安全保护是确保数据库中敏感信息免受非法访问、篡改或破坏的重要措施。随着计算机技术的广泛应用,数据库已经成为存储关键信息的核心平台,包括企业数据、政府事务信息以及国防情报等。数据库管理系统(DBMS)...

    2016数据库运维安全现状调查报告 数据库运维(01).docx

    - **技术手段提升**:鉴于仍有较多单位未能满足数据库管理制度的要求,应考虑引入专业的数据库安全管控产品,如数据库防火墙或数据库访问管控平台,以提升整体安全性。 - **定期安全检查**:鼓励所有企业定期进行...

    数据库系统概论04数据库安全性.ppt

    数据库安全性是确保数据库中敏感信息不被非法访问、修改或泄漏的关键方面,尤其在涉及军事、政府、商业和私人信息的存储时显得尤为重要。数据库系统概论中的第四章重点讨论了如何保护数据库免受各种安全威胁。 首先...

    Oracle数据库的安全性提高策略

    因此,探讨并实施有效的Oracle数据库安全性提高策略显得尤为重要。 #### 一、数据库系统的自身安全策略 数据库系统的安全性很大程度上取决于其所部署的操作系统及硬件环境的安全性。为了提高Oracle数据库的安全性...

    论Oracle数据库安全策略.pdf

    然而,随着数据库应用的普及,数据库安全问题逐渐成为关注焦点,尤其是对于存储敏感信息的政府机关和企事业单位而言,数据库安全性更是重中之重。数据库安全策略涉及系统安全、数据安全、用户安全、密码安全、审计和...

    数据库安全性讲义.pptx

    数据库安全性是保障信息系统中至关重要的一个环节,尤其是在数据密集型的领域,如金融、医疗、政府和商业等。数据库管理系统(DBMS)负责管理和控制数据库中的数据,确保数据的安全、可靠和正确性。本讲义主要围绕...

    网络安全实用项目教程-项目3-网络数据库安全.pptx

    计算机网络安全项目教程 项目1 认识网络安全 主 讲:XXX Q Q:XXXXX TEL :XXXXXXX 网络安全实用项目教程 项目3 网络数据库安全 网络安全实用项目教程-项目3-网络数据库安全全文共63页,当前为第1页。 计算机网络...

    当前数据库安全现状及其安全审计.doc

    ### 当前数据库安全现状及其安全审计 #### 数据库概述 在大学数据库原理教科书中,数据库被定义为一种专门管理数据库资源的系统,是计算机应用系统的重要组成部分。数据可以是多样的形式,例如文本、数字、符号、...

    9数据库安全性.pptx

    数据库安全性是确保数据库中数据免受非法访问、更改或破坏的关键方面。本章重点讨论了数据库安全性的控制和措施,以防止并发执行引起的数据不一致、人为破坏以及数据操作引入的错误。首先,我们理解数据库安全性是指...

    数据库安全性【共享精品-ppt】.ppt

    数据库安全性是信息系统中至关重要的一个方面,它涉及到保护数据库免受恶意破坏和非法存取的措施。数据库安全性和完整性紧密相关,前者关注于防止非法用户的访问和操作,后者则聚焦于确保输入和输出数据的正确性和...

Global site tag (gtag.js) - Google Analytics