一、需求

創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、成都網(wǎng)站制作、網(wǎng)站營(yíng)銷推廣、網(wǎng)站開發(fā)設(shè)計(jì)，對(duì)服務(wù)成都茶藝設(shè)計(jì)等多個(gè)行業(yè)擁有豐富的網(wǎng)站建設(shè)及推廣經(jīng)驗(yàn)。創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司成立于2013年,提供專業(yè)網(wǎng)站制作報(bào)價(jià)服務(wù),我們深知市場(chǎng)的競(jìng)爭(zhēng)激烈，認(rèn)真對(duì)待每位客戶，為客戶提供賞心悅目的作品。 與客戶共同發(fā)展進(jìn)步，是我們永遠(yuǎn)的責(zé)任！

經(jīng)過多年的發(fā)展，該省發(fā)改委機(jī)房建設(shè)初具規(guī)模，其上運(yùn)行著 該 省投資項(xiàng)目在線審批監(jiān)管平臺(tái)、 該 省固定資產(chǎn)投資項(xiàng)目“兩庫(kù)”管理平臺(tái)、 該 省信用信息公共服務(wù)平臺(tái)，信息系統(tǒng)的建設(shè)應(yīng)用了當(dāng)前主流的硬件和應(yīng)用軟件平臺(tái)。從網(wǎng)絡(luò)上可以分為電子政府外網(wǎng)和互聯(lián)網(wǎng)兩大塊。

電子政務(wù)外網(wǎng)接受全省的廳局接入，邊界上設(shè)置了啟XXX的USG-FW-12600GP作為核心交換域防火墻，核心交換機(jī)與應(yīng)用服務(wù)器之間也設(shè)置了啟XXX的USG-FW-12600GP作為應(yīng)用安全域防火墻，核心交換機(jī)與數(shù)據(jù)庫(kù)服務(wù)器之間設(shè)置了啟XXX的USG-FW-12600作為數(shù)據(jù)安全域防火墻。核心交換區(qū)設(shè)置了AF-1860-IPS入侵檢測(cè)。

互聯(lián)網(wǎng)邊界由外到核心交換機(jī)之間依次設(shè)置了天XX的DDOS設(shè)備，網(wǎng)XNF1000出口防火墻，AF-1860-IPS入侵防御，天XXWAF防火墻TWF-6213。

電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)之間設(shè)置了網(wǎng)XNF3000千兆邊界防火墻、啟XXXUSG-FW-2000GP千兆邊界防火墻、天XXTOPACM5000網(wǎng)絡(luò)行為審計(jì)、天XXTOPScanner7000漏洞掃描作為邊界防護(hù)。

二、方案

基于當(dāng)前發(fā)改委信息系統(tǒng)拓?fù)鋱D，嵌入我們的數(shù)據(jù)安全設(shè)備，形成如下解決方案：

由上圖所示，對(duì)電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的數(shù)據(jù)庫(kù)安全域分別布署我們的數(shù)據(jù)安全產(chǎn)品，電子政務(wù)外網(wǎng)相對(duì)來說更重要，架構(gòu)上使用了雙鏈路，布署我們的產(chǎn)品中時(shí)略有不同：

（一）電子政務(wù)外網(wǎng)方案：

1、在數(shù)據(jù)庫(kù)安全域前面的雙鏈路上分別串接數(shù)據(jù)庫(kù)防火墻系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)的訪問請(qǐng)求進(jìn)行過濾，對(duì)于可疑請(qǐng)求進(jìn)行告警，對(duì)于刪庫(kù)、刪表、清庫(kù)等惡意操作或者誤操作的數(shù)據(jù)庫(kù)指令進(jìn)行阻斷；

2、 在數(shù)據(jù)庫(kù)安全域前面的接入交換機(jī)上布署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)的訪問請(qǐng)求進(jìn)行日志記錄，一方面起到威懾作用，一方面在出問題后便于溯源:

1）可利用交換機(jī)旁路鏡像端口實(shí)現(xiàn)對(duì)載體為物理機(jī)的數(shù)據(jù)庫(kù)的訪問進(jìn)行審計(jì)（最佳方式）；

2）可利用布署于虛擬機(jī)中數(shù)據(jù)庫(kù)所在操作系統(tǒng)中的軟件探針（一種包轉(zhuǎn)發(fā)程序），將數(shù)據(jù)庫(kù)訪問流量轉(zhuǎn)發(fā)至審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)虛擬機(jī)中數(shù)據(jù)庫(kù)的訪問審計(jì)；

3）對(duì)于已經(jīng)設(shè)置了數(shù)據(jù)庫(kù)防火墻的數(shù)據(jù)庫(kù)，也可以將防火墻的日志直接轉(zhuǎn)發(fā)至審計(jì)服務(wù)器實(shí)現(xiàn)審計(jì)。

3、在安全管理域布署態(tài)勢(shì)感知服務(wù)器，它與數(shù)據(jù)庫(kù)審計(jì)路由可達(dá)，能在大屏上用圖表的方式顯示：

1)敏感數(shù)據(jù)在哪里

2)敏感數(shù)據(jù)去哪了

3)誰在訪問敏感數(shù)據(jù)

4、在數(shù)據(jù)庫(kù)安全域前面的接入交換機(jī)上布署數(shù)據(jù)庫(kù)加密系統(tǒng)，對(duì)各數(shù)據(jù)庫(kù)表中敏感數(shù)據(jù)進(jìn)行加密，將明文數(shù)據(jù)變成密文存儲(chǔ)，從根本上杜絕數(shù)據(jù)泄露的風(fēng)險(xiǎn)；

5 、 在數(shù)據(jù)庫(kù)安全域前面的接入交換機(jī)上布署數(shù)據(jù)庫(kù)實(shí)時(shí)脫敏系統(tǒng)，對(duì)業(yè)務(wù)系統(tǒng)中非必要的敏感數(shù)據(jù)顯示進(jìn)行脫敏處理，對(duì)于沒有業(yè)務(wù)查詢權(quán)限的數(shù)據(jù)庫(kù)用戶的查詢結(jié)果進(jìn)行脫敏處理，對(duì)于運(yùn)維相關(guān)的數(shù)據(jù)庫(kù)查詢結(jié)果進(jìn)行脫敏處理；

6、在數(shù)據(jù)庫(kù)安全域前面的接入交換機(jī)上布署數(shù)據(jù)庫(kù)批量脫敏系統(tǒng)，為開發(fā)測(cè)試以及培訓(xùn)區(qū)批量的提供經(jīng)過處理的準(zhǔn)真實(shí)數(shù)據(jù)（格式不變，不影響開發(fā)測(cè)試的假數(shù)據(jù)）。

（ 二）互聯(lián)網(wǎng)方案 ：

1 、 在數(shù)據(jù)庫(kù)安全域前面串接 數(shù)據(jù)庫(kù)防火墻系統(tǒng)(雙機(jī)熱備，兩臺(tái)防火墻服務(wù)器管理口連到同一交換機(jī)的同一vlan下，互為備份，一臺(tái)失效，另一臺(tái)立即接管)，對(duì)數(shù)據(jù)庫(kù)訪問請(qǐng)求進(jìn)行過濾，對(duì)于可疑請(qǐng)求進(jìn)行告警，對(duì)于刪庫(kù)、刪表、清庫(kù)等惡意操作或者誤操作的數(shù)據(jù)庫(kù)指令進(jìn)行阻斷；

2、在數(shù)據(jù)庫(kù)安全域前面的接入交換機(jī)上布署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，同電子政務(wù)外網(wǎng)一樣的方式實(shí)現(xiàn)審計(jì)和數(shù)據(jù)安全態(tài)勢(shì)感知。 

三、價(jià)值

具體來說，數(shù)據(jù)庫(kù)安全加固系統(tǒng)可以帶來如下價(jià)值：

1 、簡(jiǎn)化業(yè)務(wù)治理，提高數(shù)據(jù)安全管理能力 。由于數(shù)據(jù)庫(kù)系統(tǒng)是一個(gè)復(fù)雜的軟件“黑盒子”，其可視化程度很低。數(shù)據(jù)庫(kù)管理員很難說清：在任意時(shí)刻數(shù)據(jù)被訪問的情況，這對(duì)業(yè)務(wù)治理帶來了很大的困難。尤其在云環(huán)境中，這種不可視化程度更加嚴(yán)重。公司產(chǎn)品通過多種手段全面監(jiān)控?cái)?shù)據(jù)的訪問情況，并提供豐富的預(yù)設(shè)統(tǒng)計(jì)報(bào)表，以圖形化的方式將數(shù)據(jù)的訪問情況和風(fēng)險(xiǎn)情況可視化，進(jìn)而提供訪問控制能力，極大的簡(jiǎn)化了業(yè)務(wù)治理，提高了數(shù)據(jù)安全管理能力。

2 、完善縱深防御體系，提升整體安全防護(hù)能力 。建立縱深的防御體系已是信息安全建設(shè)的共識(shí)。數(shù)據(jù)庫(kù)到應(yīng)用系統(tǒng)這一段，是信息安全的最后一公里，也是最后一道防線，涉及的是最直接的敏感數(shù)據(jù)安全管理，直接關(guān)系到敏感數(shù)據(jù)的安全。同時(shí)，在數(shù)據(jù)/業(yè)務(wù)層加強(qiáng)安全防護(hù)，也逐步成為信息安全的新方向。公司系統(tǒng)緊貼核心數(shù)據(jù)，針對(duì)信息安全的最后一公里以及數(shù)據(jù)/業(yè)務(wù)層提供豐富的防護(hù)手段，有利于完善縱深防御體系，提升整體安全防護(hù)能力。

3 、減少核心數(shù)據(jù)資產(chǎn)被侵犯，保障業(yè)務(wù)連續(xù)性 。信息系統(tǒng)最有價(jià)值的資產(chǎn)是數(shù)據(jù)，而數(shù)據(jù)也是攻擊者想偷窺、篡改、甚至刪除的終極目標(biāo)。核心數(shù)據(jù)被侵犯，輕者導(dǎo)致業(yè)務(wù)中斷，重者導(dǎo)致泄密和篡改，嚴(yán)重影響企事業(yè)單位的聲譽(yù)乃至生存，圍繞核心數(shù)據(jù)的攻防對(duì)抗將長(zhǎng)期存在。公司系統(tǒng)產(chǎn)品緊密貼合數(shù)據(jù)，提供數(shù)據(jù)發(fā)現(xiàn)、風(fēng)險(xiǎn)評(píng)估、審計(jì)、防火墻、加密等手段，實(shí)現(xiàn)數(shù)據(jù)安全的可視性和可控性，并最終減少核心數(shù)據(jù)資產(chǎn)被侵犯的可能性，保障正常的業(yè)務(wù)。

從訪問數(shù)據(jù)庫(kù)的SQL語(yǔ)句級(jí)別和查看數(shù)據(jù)庫(kù)的字段級(jí)別進(jìn)行防控， 從根源上徹底防止了 SQL 注入等攻擊 。

4 、滿足合規(guī)要求 ，快速通過評(píng)測(cè)。產(chǎn)品實(shí)現(xiàn)獨(dú)立的審計(jì)和訪問控制，直接輸出合規(guī)的報(bào)表，滿足政府機(jī)構(gòu)多個(gè)法規(guī)和標(biāo)準(zhǔn)的要求，快速通過各種安全保密檢查和評(píng)測(cè)，比如等保評(píng)測(cè)。

綜上所述，中安威士數(shù)據(jù)安全產(chǎn)品，可有針對(duì)性的對(duì)重要敏感數(shù)據(jù)提供了全方位，全天候的保護(hù)。

標(biāo)題名稱：某省發(fā)改委數(shù)據(jù)安全解決方案-創(chuàng)新互聯(lián)
鏈接地址：http://weahome.cn/article/dgecgg.html