1、背景概述

當前，信息時代進入數(shù)據(jù)時代，數(shù)據(jù)的價值正在進一步的凸顯和被挖掘。同時，數(shù)據(jù)已經(jīng)成為企業(yè)的核心資產(chǎn)。相應(yīng)的，以數(shù)據(jù)為目標的網(wǎng)絡(luò)攻擊已經(jīng)成為數(shù)據(jù)時代新的安全威脅。來自Verizon的報告顯示，數(shù)據(jù)泄漏事件愈發(fā)廣泛且后果愈發(fā)嚴重。

2015年全球有近8萬家公司被黑，其中2122家公司公開確認信息被竊取，全球500強企業(yè)大面積淪陷。2016年更是數(shù)據(jù)泄漏集中爆發(fā)的一年，甚至導(dǎo)致了一定程度的社會恐慌，以致于多個漏洞發(fā)布平臺被迫關(guān)閉。

市場上現(xiàn)有的網(wǎng)絡(luò)安全和操作系統(tǒng)安全產(chǎn)品，都從不同的方向提供對數(shù)據(jù)的防護。但是由于距離真實數(shù)據(jù)較遠，無法從根本上防止這些數(shù)據(jù)庫泄密風險。只有在現(xiàn)有的安全防護體系中，以數(shù)據(jù)庫為中心，補充對數(shù)據(jù)的防護這一環(huán)節(jié)，部署“術(shù)業(yè)有專攻”的數(shù)據(jù)安全管理系統(tǒng)，才能從根本上解決數(shù)據(jù)安全問題。

2、需求分析

某省政務(wù)云平臺管理大量的政府應(yīng)用。所管理的數(shù)據(jù)庫服務(wù)器以物理機方式部署于云下，數(shù)據(jù)庫全部為Oracle，大概有300余個實例。政務(wù)應(yīng)用則部署于云上。業(yè)務(wù)資源層分為政務(wù)信息網(wǎng)業(yè)務(wù)區(qū)、托管區(qū)、測試區(qū)和云平臺管理區(qū)，重點需要對數(shù)據(jù)庫服務(wù)器所在的托管區(qū)進行防護。

需要解決的具體問題有兩類：

(1) 一是解決該政務(wù)云內(nèi)部數(shù)據(jù)安全，也就是針對該政務(wù)云內(nèi)部人員運維過程中的數(shù)據(jù)安全問題;

(2) 另一個是為該政務(wù)云的租戶解決數(shù)據(jù)安全管理問題。

3、解決方案

3.1. 總體方案

依據(jù)多年對數(shù)據(jù)安全管理的經(jīng)驗，我司提出數(shù)據(jù)安全管理思路是“將數(shù)據(jù)關(guān)進籠子，在陽光下被訪問”。如下圖所示。

1)數(shù)據(jù)活動的全面審計。詳細記錄敏感數(shù)據(jù)被訪問的情況，包括來自于外網(wǎng)用戶和內(nèi)部人員的訪問，尤其是對批量訪問的審計、越權(quán)操作的審計、以及特權(quán)操作的審計;

2)細粒度訪問控制。阻斷異常的、違規(guī)的、以及SQL注入等攻擊性的查詢和訪問，防止敏感數(shù)據(jù)泄漏以及被破壞;

3)敏感內(nèi)容脫敏。有針對性的對不同系統(tǒng)和運維人員，通過動態(tài)脫敏技術(shù)，實時授予對敏感數(shù)據(jù)的遮蔽、替換等不同展示方式，防止數(shù)據(jù)泄漏;同時，對例如開發(fā)、測試、數(shù)據(jù)外發(fā)等環(huán)境，提供靜態(tài)脫敏技術(shù)，批量的對敏感數(shù)據(jù)脫敏，防止真實敏感數(shù)據(jù)外泄。

4)敏感內(nèi)容加密。有選擇性的對敏感內(nèi)容加密，使敏感數(shù)據(jù)在存儲、備份時以密文方式存在。通過控制加密和解密權(quán)限，提供對敏感數(shù)據(jù)訪問的增強權(quán)限管理，防止超級權(quán)限被盜用和濫用導(dǎo)致的數(shù)據(jù)泄漏。

3.2. 實施方案

上述數(shù)據(jù)安全解決方案基于我司系列數(shù)據(jù)庫安全加固產(chǎn)品實現(xiàn)。針對具體網(wǎng)絡(luò)情況，具體的實施方案如下：

對于政務(wù)云內(nèi)部運維和工作人員：

1) 在物理數(shù)據(jù)庫服務(wù)器前部署數(shù)據(jù)庫動態(tài)脫敏系統(tǒng)，確保運維人員能進行運維的同時又接觸不到真實的數(shù)據(jù)，防止了敏感數(shù)據(jù)的泄漏;

2) 在物理數(shù)據(jù)庫服務(wù)器前部署數(shù)據(jù)庫靜態(tài)脫敏系統(tǒng)，確保從生產(chǎn)庫到開發(fā)/測試庫的數(shù)據(jù)經(jīng)過必要脫敏，定期批量的生成開發(fā)測試庫，防止開發(fā)測試人員接觸真實數(shù)據(jù);

3) 在物理數(shù)據(jù)庫服務(wù)器前通過旁路或者分光的方式部署數(shù)據(jù)庫審計系統(tǒng)，記錄數(shù)據(jù)庫訪問操作，并自動發(fā)現(xiàn)數(shù)據(jù)庫攻擊和越權(quán)行為，起到威懾作用，并為事后追溯提供依據(jù);

4) 部署數(shù)據(jù)庫加密系統(tǒng)，保護尤其重要的敏感數(shù)據(jù)，這樣即使數(shù)據(jù)被竊取也看不到明文;

5) 應(yīng)用既可以通過防火墻訪問數(shù)據(jù)庫，也可以通過動態(tài)脫敏訪問數(shù)據(jù)庫。

該解決方案對于租戶的系統(tǒng)和工作人員：

1) 云上的租戶可以選擇是否用審計、防火墻、加密和脫敏，此時我司的設(shè)備均以虛擬機的方式部署;

2) 對于云上的審計，以獨有的DB探針實現(xiàn)。該探針技術(shù)使用SQL語句實現(xiàn)，獲取并記錄對租戶數(shù)據(jù)庫的一切訪問，發(fā)送到獨立運行的數(shù)據(jù)庫審計服務(wù)器中;

3) 租戶的運維人員通過動態(tài)脫敏訪問數(shù)據(jù)庫，或者先后通過動態(tài)脫敏和防火墻訪問數(shù)據(jù)庫;

4) 對于云上的數(shù)據(jù)庫防火墻和動態(tài)脫敏，以單臂代理方式部署。數(shù)據(jù)庫防火墻/動態(tài)脫敏在轉(zhuǎn)發(fā)數(shù)據(jù)庫訪問通信流量的同時，對訪問情況進行記錄或者過濾。數(shù)據(jù)庫防火墻系統(tǒng)通過自動學習，建立防火墻規(guī)則，從源頭上阻止SQL注入、越權(quán)數(shù)據(jù)訪問以及其它對數(shù)據(jù)庫的攻擊。動態(tài)脫敏系統(tǒng)則防止云上租戶內(nèi)部辦公人員通過截屏等方式泄漏敏感信息。

4、方案價值和優(yōu)勢

中安威士數(shù)據(jù)安全管理解決方案基于數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密和數(shù)據(jù)庫脫敏產(chǎn)品實現(xiàn)。方案完整地解決了貴單位信息系統(tǒng)所廣泛面臨的數(shù)據(jù)泄漏困境。該方案的優(yōu)勢體現(xiàn)在：

快：業(yè)界最高的處理性能：

· 連續(xù)處理能力：1~10萬SQL/s

· 日志檢索速度: <10秒鐘，1億記錄，任意關(guān)鍵字組合查詢

· 日志存儲能力: 30~100億SQL/TB

· 帶索引的加密速率: >9k/s

智：智能化自動學習，基本實現(xiàn)零配置;

穩(wěn)：十余年技術(shù)積累，國內(nèi)最早專利技術(shù)，上千實際案例，產(chǎn)品運行穩(wěn)定;

全：全面的功能和全面的審計：

· 不丟包：高峰流量不丟包，完全審計

· 不漏審：全方位的審計，不漏掉從任何途徑對數(shù)據(jù)庫的訪問

· 全功能：具有敏感數(shù)據(jù)發(fā)現(xiàn)、性能審計、漏洞掃描和風險評估

· 能夠部署于任何環(huán)境

美：美觀的報表和界面。提供大量報告模板，包括各種審計報告、安全趨勢等?？蓪崿F(xiàn)報表格式和模板的自定義;

細：細粒度的審計和訪問控制，達到字段、語句級。