《中華人民共和國(guó)數(shù)據(jù)安全法》頒布施行��,數(shù)據(jù)安全保護(hù)正式被國(guó)家提升到了重要高度��?���!稊?shù)據(jù)安全法》從數(shù)據(jù)安全與發(fā)展�、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)�����、政務(wù)數(shù)據(jù)安全與開(kāi)放多個(gè)方面對(duì)數(shù)據(jù)的保護(hù)與利用進(jìn)行了總體布局和戰(zhàn)略規(guī)劃�,從而有效規(guī)范數(shù)據(jù)處理活動(dòng),保障數(shù)據(jù)安全���,維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益�。
某市財(cái)政局作為管理財(cái)政的職能機(jī)構(gòu)���,信息化建設(shè)已經(jīng)逐步完善�����,目前已有前置數(shù)據(jù)庫(kù)、直達(dá)資金監(jiān)管系統(tǒng)����、部標(biāo)數(shù)據(jù)庫(kù)�、集中財(cái)務(wù)系統(tǒng)��、轉(zhuǎn)移支付系��、電子決算系統(tǒng)、部標(biāo)前置數(shù)據(jù)庫(kù)�����、OA達(dá)夢(mèng)數(shù)據(jù)庫(kù)等�����。數(shù)據(jù)庫(kù)做為承載關(guān)鍵業(yè)務(wù)系統(tǒng)的核心和基礎(chǔ),是最重要的數(shù)據(jù)資產(chǎn)。目前主要是通過(guò)傳統(tǒng)的網(wǎng)絡(luò)安安全防護(hù)手段構(gòu)筑了一道安全防線,雖然在數(shù)據(jù)庫(kù)安全管控方面有堡壘機(jī)但對(duì)于數(shù)據(jù)安全保障而言仍有不足�。
客戶需求分析
技術(shù)層面:通過(guò)堡壘機(jī)發(fā)起的數(shù)據(jù)庫(kù)運(yùn)維操作��,數(shù)據(jù)訪問(wèn)追蹤信息出現(xiàn)斷層,無(wú)法定位到原始操作者的身份信息,造成取證不完整���。
管理層面:現(xiàn)在維護(hù)人員的操作沒(méi)有做到細(xì)膩度監(jiān)控,數(shù)據(jù)庫(kù)的維護(hù)工作基本都是外包或者是應(yīng)用系統(tǒng)廠自行負(fù)責(zé),數(shù)據(jù)庫(kù)維護(hù)過(guò)程沒(méi)有受到監(jiān)管��,一旦數(shù)據(jù)安全事件發(fā)生��,無(wú)法追溯并定位真實(shí)的操作者����;最高權(quán)限的濫用��,讓數(shù)據(jù)安全變得更加脆弱����,也讓責(zé)任劃分和威脅追蹤變得更加困難。
審計(jì)層面:現(xiàn)有的依賴于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法���,存在諸多的弊端。如:數(shù)據(jù)庫(kù)審計(jì)功能的開(kāi)啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能��、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)���,難于體現(xiàn)審計(jì)信息的真實(shí)性���,一旦有意外發(fā)生導(dǎo)致系統(tǒng)的崩潰�����,這些審計(jì)日志也隨之消失,管理人員無(wú)法得知系統(tǒng)到底發(fā)生了什么。
為貫徹落實(shí)國(guó)家法律法規(guī)要求���,某市財(cái)政局積極開(kāi)展數(shù)據(jù)安全防護(hù)提升工作,對(duì)財(cái)政局內(nèi)部數(shù)據(jù)庫(kù)信息安全領(lǐng)域的深層次安全審計(jì)分析提出了需求,要針對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全審計(jì)專(zhuān)項(xiàng)建設(shè)。在此基礎(chǔ)上�,某市財(cái)政局經(jīng)過(guò)POC測(cè)試及溝通討論��,最終與昂楷科技達(dá)成合作共識(shí)。
數(shù)據(jù)安全解決方案
本方案遵循“精準(zhǔn)可視,安全可控”的設(shè)計(jì)思路���,在市財(cái)政局部署一套數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),將數(shù)據(jù)庫(kù)安全審計(jì)貫穿在市財(cái)政局核心數(shù)據(jù)庫(kù)運(yùn)行的全過(guò)程,彌補(bǔ)目前安全能力的短板�,增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力��,使得管理人員可以對(duì)重要系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行全方位的監(jiān)測(cè)和審計(jì)工作,幫助市財(cái)政局提升內(nèi)部風(fēng)險(xiǎn)控制水平�����。
市財(cái)政局?jǐn)?shù)據(jù)庫(kù)在傳統(tǒng)物理服務(wù)器和新架構(gòu)云環(huán)境中��,本方案兼顧全流量采集�����,確保審計(jì)能覆蓋關(guān)鍵數(shù)據(jù)庫(kù),同時(shí)支持華為麒麟ARM架構(gòu)服務(wù)器上的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。
數(shù)據(jù)庫(kù)審計(jì)與財(cái)政局現(xiàn)有堡壘機(jī)安全聯(lián)防�,追蹤到由堡壘機(jī)發(fā)起的數(shù)據(jù)庫(kù)運(yùn)維的原始操作者身份信息定位到人����,解決數(shù)據(jù)訪問(wèn)追蹤信息出現(xiàn)斷層的問(wèn)題����。
部署拓?fù)?/strong>
流量采集是數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的基礎(chǔ),只有做到數(shù)據(jù)庫(kù)訪問(wèn)流量的全采集,才能保證數(shù)據(jù)庫(kù)審計(jì)的可用性和價(jià)值����,市財(cái)政局流量采集方式主要有兩種:
旁路鏡像+agent方式混合部署�����,如下圖:
客戶價(jià)值
建立完整的詮釋責(zé)任認(rèn)定體系,通過(guò)穩(wěn)定而成熟的審計(jì)技術(shù)��,可以建立起一個(gè)行為不可抵賴��、數(shù)據(jù)可靠���,完整并且強(qiáng)有力的責(zé)任認(rèn)定體系����。
數(shù)據(jù)庫(kù)審計(jì)和堡壘機(jī)協(xié)同工作���,相互補(bǔ)充�,安全價(jià)值最大化�����。
兼容X86環(huán)境和信創(chuàng)環(huán)境數(shù)據(jù)庫(kù)的安全審計(jì)����,避免重復(fù)采購(gòu)。
滿足國(guó)家《網(wǎng)絡(luò)安全法》��、《數(shù)據(jù)安全法》�����、《等保2.0》以及行業(yè)規(guī)定中對(duì)于數(shù)據(jù)庫(kù)審計(jì)的合規(guī)性需求����,并可根據(jù)需求形成不同的審計(jì)報(bào)表�����。
從業(yè)務(wù)流程角度出發(fā)�,為防止違規(guī)操作奠定了技術(shù)手段����,實(shí)現(xiàn)“教育為先、制度為主����、技術(shù)為輔”多管齊下的管理要求���。
題-4.jpg)
