数据库安全整体解决方案
©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。目录
1.概述2.电子政务安全分析2.1.安全概述2.2.系统分析2.3.安全问题2.4.安全误区2.5.安全威胁3.防护思路分析3.1逐级防护3.2用户管理3.3权限控制3.4分类展示3.5数据保密3.6敏感混淆3.7兼容扩展3.8内容审计3.9政策合规4.数据库整体安全设计4.1.设计原则4.2.总体思路4.3.数据库分区分域设计4.4.数据库安全防护设计5.方案优势5.1周期防护构建纵深5.2主动防御减少威胁5.3权限控制解决拖库5.4透明部署零改应用5.5政策合规满足标准33345661111121314151718192021212224253636363636361.概述
随着互联网的发展,电子政务信息化浪潮日益深刻,信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如业务部门服务系统、行政部门办公系统、机关部门涉密系统等。随着电子政务网络的层次化、分组化以及宽带化发展,政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变,这符合当前信息网络融合发展的趋势。电子政务在多网融合后各类信息系统的数据变得集中,数据是电子政务业务的根本,数据库承载了电子政务信息系统的运行,作为电子政务业务系统的信息载体,使之能方便的收集各单位、部门上传来的数据,海量的数据信息因为数据库的而变得更加容易管理和使用。伴随信息化的普及,数据安全日益成为影响电子政务效能的重要问题,而电子政务所具有的公开性、便捷性和权威性,在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受到安全威胁,已成为政府机构、事业单位信息化健康发展所要考虑的重要事情之一。2.电子政务安全分析
2.1.安全概述
信息技术是一把双刃剑,为电子政务的进步和发展带来便利的同时,也带来了许多的安全隐患。在电子政务信息安全的管理制度中,虽然物理安全和网络安全方面做了完善的安全防护(如采取了网络防火墙和容灾备份等安全措施等),但是,从近年来发生的安全事件来看,电子政务的信息安全问题远远不止是物理层面安全和网络层面的安全。数据库系统的安全是整个电子政务信息系统安全的核心,数据库中往往储存电子政务业务系统生成的数据,这些数据中会包含着许多重要的政务敏感数据,这些敏感数据一旦被篡改或者泄露,轻则对电子政务业务运行产生影响,严重的事件甚至会直接影响社会安全。可见,从信息安全的角度来看电子政务的数据安全至关重要。2.2.系统分析
电子政务网络的应用系统和网络连接方式多样,按照工作类型及作用分为三种类型:2.2.1.电子政务外网
电子政务外网是利用互联网通过统一门户对外统一发布信息和向社会提供信息服务、业务办理和管理监督等政务活动的公共信息网络,他与互联网通过防火墙进行逻辑隔离。电子政务外网主要承载各级政务部门业务协同、社会管理、公共服务、应急联动等面向社会服务的业务应用系统,主要满足中央和各级地方对口政务部门之间信息纵向传输、汇聚及各级政务部门之间、政务部门与公众、企业之间信息交换与共享的需求,与互联网安全联结,支持各级政务部门面向社会的门户网站,承载政府非涉密外部信息发布系统。主要包括政府单位门户网站、公共服务系统类型的政务公用网络;系统分为中央、省、市、县四级电子政务外网平台。2.2.2.电子政务专网
电子政务专网是党政机关的非涉密内部办公网,主要用于机关非涉密公文、信息的传递和业务流转,它与互联网之间不是通过传统的防火墙来隔离,而是通过网闸,仅以数据“摆渡”方式交换信息(网闸的HTTP、FTP、SMTP等通用协议全部关闭或不提供这些协议支持),以便实现公共服务与内部业务流转的衔接。由于隔离方式并不能使专网与互联网连接,因此,专网基本不受互联网不安全因素的威胁,具有较高的安全性。另外,政务专网不是涉密网,又可实现广泛的内部互联,还可与外网实现安全信息交换。因此,政务专网完全能够作为不涉及国家秘密的内部业务流转和信息处理的主要平台,并形成公共服务的外网受理、内(专)网办理、外网反馈的闭环机制。主要包含政府办公自动化系统、招商引资系统、网上协同办公系统、政府安全管理系统等内部办公系统。2.2.3.电子政务内网
电子政务内网为涉密信息办公网,主要是指政府内部办公、包括向公务员提供服务及政府机关之间的互联互通,与其它网络从物理上断开,与上一级电子政务内网互联,在满足工作需求的前提下,覆盖范围尽可能少。电子政务内网是电子政务的核心和基础之一,电子政务内网主要为领导决策和指挥提供信息支持和技术服务,并承担公文、应急、值班、邮件、会议等办公业务。主要包含党务系统、公务员人事系统、财政管理系统等涉密应用系统。2.3.安全问题
随着信息和网络技术的普及,政府和企事业单位的核心业务信息系统不断的信息化,电子政务数据库也与各单位、各部门、各下级机构互联,随之而来的就是信息安全风险日益增加。而这些安全风险中,来自数据库的违规操作和信息泄漏较为突出,近年电子政务系统已经成为数据泄露的“重灾区”。由于不同的电子政务网络特性及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。所以电子政务的数据库的安全性是指在信息系统的不同层次保护数据库,防止未授权的数据访问,避免数据的泄漏、不合法的修改或对数据的破坏。安全性问题不是数据库系统所独有的,它来自各个方面,其中既有数据库本身的安全机制如用户认证、存取权限、视图隔离、跟踪与审查、数据加密、数据完整性控制、数据访问的并发控制、数据库的备份和恢复等方面,也涉及到计算机硬件系统、计算机网络系统、数据库系统、Web服务、客户端应用程序、网络浏览器等。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出,每一个方面产生的安全问题都可能导致数据库数据的泄露、意外修改、丢失等后果。2.4.安全误区
对数据安全性的领域错误的分析往往会导致设计出无效的安全解决方案,下面是几种常见安全性误区误区1:黑客是导致大部分安全崩溃的主要原因。事实:80%的数据丢失是来自内部。误区2:防火墙可以保证数据安全。事实:尽管安装了防火墙,40%的网络入侵仍然发生。误区3:加密可以保证你的数据安全。事实:加密仅仅是保护数据安全的一种途径,安全性同样也需要访问控制、数据完整性、系统的可用性以及审计等。2.5.安全威胁2.5.1.传统防护薄弱
依靠传统的网络防火墙及入侵保护系统(IPS),在网络中检查并实施数据库访问控制策略。但是网络防火墙只能实现对IP地址、端口及协议的访问控制,无法识别特定用户的具体数据库活动(比如:某个用户使用数据库客户端删除某张数据库表);而IPS虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击,但他同样无法判别具体的数据库用户活动,更谈不上细粒度的审计。因此,无论是防火墙,还是IPS都不能解决数据库特权滥用等问题。2.5.2.脆弱配置风险
目前电子政务外网、专网数据库应用类型相当复杂,要进行安全的配置和维护需要具备丰富的经验,例如数据库存在哪些默认配置,是否存在高危程序,有多少数据库系统漏洞;并且数据库中都有哪些用户,这些用户的权限是什么,哪些用户存在弱口令,这些正是数据库管理工作的重点,但政府的数据库管理员往往缺乏有效的措施扫描统计这些信息,忽略了安全隐患和不正确的安全配置检查工作,从而导致弱口令、数据库漏洞等脆弱点被非法用户利用。2.5.3.外部渗透破坏
由于电子政务外网系统是通过互联网向公众提供服务的,那么在电子政务外网系统在运行的过程中,黑客可以通过互联网针对在电子政务外网数据库展开试探和攻击行为,利用系统漏洞、SQL注入、提权操作等手段,非法入侵电子政务外网数据库系统,进行恶意篡改、删除、批量拷贝数据等操作,从而对电子政务外网系统的数据进行有目的的破坏行为。2.5.4.访问来源未知
电子政务系统数据库种类及数量较多,第三方人员、下属单位、运维人员、外包人员都有权限访问数据库,但由于无法按照时间、IP、账户、语句等维度对数据库用户的操作进行可信识别,导致非授权访问事件时有发生,那么电子政务的安全管理员就无法建立一个可信的访问白名单,将非法访问者阻挡在外。2.5.5.超级权限滥用
对电子政务专网和内网络来讲,数据库运维管理员等合法人员的行为值得关注,因为这类人群掌握着数据库的超级管理权限,那么他们的行为同样存在着针对专网、内网核心数据库的违规操作安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问内网系统数据库、运维误操作、(delete、update)高危指令的操作等等行为,都存在着重大安全隐患。2.5.6.数据明文存储
目前存储在电子政务系统数据库中的数据均为明文,而数据明文存储的威胁主要体现在数据篡改、数据窃取两方面:数据篡改篡改就是对数据库中的数据未经授权就进行修改,破坏数据的真实性。明文存储的数据可以直观的看到真实的内容,那么只要能够登录到数据库上的用户都可以找到需要篡改的数据,如修改成绩、伪造发货单等。这类修改是一个潜在的问题,表面上看来是没有任何迹象的,在造成影响之前,数据库管理者一般很难发现。数据窃取窃取数据是一个非常严重的问题,由于数据是明文的,非法操作者就可以将敏感数据复制到其他介质上,或是输出成可直接或间接读取的资料(如打印),还有可能是通过网络连接对敏感数据进行未授权的访问或处理。2.5.7.敏感数据威胁
电子政务专网系统数据库中存储的大量敏感信息的数据,无论是从管理角度,还是数据安全角度,这些敏感信息都应得到有效的保护,一旦发生信息泄密行为,不仅会造成重大的财产损失,也会对政府的名誉造成严重影响。并且目前在电子政务业务系统的开发过程中,第三方开发/测试、第三方应用以及云计算环境中使用的数据均是的由电子政务专网生产库中抽取的数据,那么这些数据中往往包含未经过处理的生产数据,如何保证生产数据的安全已经成为一个重要的问题。2.5.8.系统漏洞问题
电子政务系统数据库大多功能庞大且结构复杂,在提供强大的数据管理服务能力的同时,进行安全的配置和维护,需要具备丰富的经验。随着数据库系统版本的功能不断扩充,出现的漏洞会更加复杂、种类更加繁多,而数据库管理员更多的精力是投入到复杂的日常维护工作中,往往忽略了漏洞安全隐患和不正确的安全配置所带来的威胁,这些问题如果得不到及时的解决,那么数据库的安全状况将日益恶劣。根据CNNVD统计分析结果表明,在累计报告的80300条漏洞信息中与主流数据库相关漏洞已达到10900多条,在包括网络、主机、系统、软件漏洞在内的所有安全漏洞中占13%以上,而这一比例在几年前还不足5%;其中2015年甲骨文数据库漏洞数占了总漏洞数的83%,这与它旗下两款数据库(Oracle、Mysql)占据的市场份额和支持的功能复杂度有着密切关系,这些中、高风险的漏洞呈现逐年增加的发展态势。2.5.9.安全取证困难
在电子政务现有的数据库系统中,数据库自身的日志系统可以实时或非实时的记录侵入者,但是数据库系统遭受入侵和非授权操作时,攻击者也可获取到数据库系统高权限账户,这样可以有选择的删除部分或全部审计日志,导致无法准确回溯破坏和泄露行为,对日后调查取证造成严重阻碍。以上数据库的安全威胁均与电子政务各类型系统数据库有直接或间接的关系。因此,需要设计一个完整的安全的解决方案,从多维度对数据库进行防护。3.防护思路分析
3.1逐级防护
在安全问题上,数据库系统安全保护措施是否有效是电子政务信息安全的重要指标之一。为了保护数据库,防止恶意的滥用,可以从数据库访问级别上设置各种安全措施。人员级:防止未经授权的用户访问数据库,正确授予用户访问数据库的权限。网络级:由于大多数据库系统都允许用户通过网络进行访问,因此对访问行为的安全性分析至关重要。系统级:对数据库系统的DBMS漏洞、缺省配置、补丁未升级等方面存在的问题进行检查,防止由系统造成的隐患。内容级:对于授权用户,需要检查使用数据库的权限是否正确,并对操作行为加以规范。对电子政务数据的安全建设需要从以下方面进行:首先根据访问数据库的用户进行身份鉴定,只有合法的用户才准许进入数据库系统;对授权访问的用户,DBMS要进行存取及操作控制,只允许合法的用户执行合法操作;数据库系统也要对自身的系统漏洞进行安全扫描,防止由于数据库系统漏洞造成的风险;数据最后还可以以密文形式存储在数据库中;电子政务系统数据库安全需要对包括用户认证、存取权限、数据加密、操作审查与数据库系统漏洞等方面进行整体安全防护。
3.2用户管理
用户管理指采取合理的安全管理机制实现电子政务数据库管理权限分配,现实世界里解决权力过度集中的方式之一就是三权分立,那么针对数据库的使用权限可以分为以下三个方面:执行管理数据的操作负责控制管理数据的规则监督和审计前两类的行为这样权力过度集中的问题就可以通过互相制约被解决,这就和政治学里著名的行政、立法、司法三权分立不谋而合。第一类用户是数据库管理员,他们有数据的管理权(行政权)。他们可以授予和取消普通用户数据访问的权限,执行数据管理的各种操作。他们仍然能做一些特殊的,需要数据库级权限的操作,比如备份整个数据库的数据。但是传统的数据库管理员的“万能”的权力被大大削减,包括创建新用户的权限也会被收回。第二类用户是安全管理员,他们拥有安全规则的制定权(立法权),和之前的由DBA管理用户权限不同的是,他们在数据库原有的权限管理之外,对数据的访问控制做更周密和灵活的规则设置。指定某些敏感数据的集合只能被指定的用户访问,如果没有被指定,即使是DBA也无法访问。即使是数据的所有者,也可以被安全管理员限制不能删除自己的数据。安全管理员可以规定某些操作只能在某个时间段内执行,或者某些操作只能在指定的IP地址上执行。但是安全管理员不能为用户授予各种权限,也就是说,如果要想让某个用户(包括安全管理员自己)看到另一个用户的数据,还必须由另一个用户自身或者数据库管理员先对该用户授权。这是一种互相制约的机制。安全管理员可以创建新用户,可以指定新用户为某些敏感数据的允许访问者,这是个必要条件。但是并不意味着这个新用户就可以看到这些敏感数据,他还需要得到DBA的授权。而DBA也不再能随意查询或修改其他用户的数据。DBA原来的种种特权也可以被安全管理员根据实际需求通过命令规则进行限制。第三类用户是审计管理员,他们拥有数据操作的审计权(司法权)。他们可以监督前两类用户的操作,如果发现有不符合法规或内部控制要求的活动,他们可以调查这些活动的细节。这些活动可能包括数据库管理员将权限授给不合适的用户,或者安全管理员临时取消某些安全规则,以方便某些用户执行非法操作等等。审计管理员和安全管理员一样,本身都不能执行对其他用户的具体数据的操作,这是一种平衡。但是审计管理员拥有一套机制,可以保护审计记录数据不会被数据库管理员或者安全管理员删除或者篡改。3.3权限控制
电子政务系统数据库安全性所关心的主要是DBMS的存取控制机制。并且数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未被授权的人员无法接近数据,这主要通过数据库系统的存取控制机制实现。存取控制是数据库系统内部对已经进入系统的用户的访问控制,是安全数据保护的前沿屏障,是数据库安全系统中的核心技术,也是较为有效的安全手段。在存取控制技术中,DBMS所管理的全体实体分为主体和客体两类。主体(Subject)是系统中的活动实体,包括DBMS所管理的实际用户。客体(Object)是存储信息的被动实体,是受主体操作的,包括文件、基本表、索引和视图等。数据库存取控制机制包括两个部分:一是定义用户权限,并将用户权限登记到数据字典中。用户权限是指不同的用户对不同的数据对象允许执行的操作权限。系统必须提供适当的语言定义用户权限,这些定义经过编译后存放在数据字典中,被称作系统的安全规则或授权规则。二是合法性权限检查,当用户发出存取数据库的操作请求后(请求一般应包括操作类型、操作对象、操作用户等信息),数据库管理系统查找数据字典,根据安全规则进行合法权限检查,若用户的操作请求超出了定义权限,系统将拒绝执行此操作或限显示请求范围内的内容。3.4分类展示
电子政务系统数据在使用的过程中,没有对数据的展示方式进行任何的处理手段,那么针对这种情况就需要进行特殊展示处理。视图是数据库系统提供给用户以多种角度观察数据库中数据的重要机制,是从一个或几个基表(或视图)导出的表,它与基表不同,是一个虚表。数据库中只存放视图的定义,而不存放视图对应的数据,这些数据仍存放在原来的基本表中。数据库的视图层次从某种意义上讲,视图就像一个窗口,透过它可以看到数据库中自己感兴趣的数据及其变化。进行存取权限控制时,可以为不同的用户定义不同的视图,把访问数据的对象限制在一定的范围内,也就是说,通过视图机制要把核心敏感的数据对无权存取的用户屏蔽起来,从而对数据提供一定程度的安全保护。需要指出的是,视图机制主要的功能在于提供数据独立性,在实际应用中,常常将视图机制与存取控制机制结合起来使用,首先用视图机制“掩盖”一部分敏感数据,其次在视图上进一步定义存取权限。通过定义不同的视图及有选择地授予视图上的权限,可以将用户、组或角色限制在不同的权限策略集内。3.5数据保密
电子政务内网系统中存在诸多重要敏感的数据,并且这些数据经常涉及政府核心机密,那么针对这些核心敏感的数据的管理,就需要进行特殊保密处理。对于数据保密而言,数据库系统提供的安全控制措施能满足一般的数据库应用,但对于一些重要部门或敏感领域的应用,仅有这些是难以完全保证数据的安全性的。因此有必要在存取管理、安全管理之上对数据库中存储的重要数据进行加密处理,以强化数据存储的安全保护。数据加密是防止数据库中数据泄露的有效手段,与传统的通信或网络加密技术相比,由于数据保存的时间要长得多,对加密强度的要求也更高,对数据加密要遵循以下特点:数据加密:数据库密码系统有其自身的要求和特点。传统的加密以报文为单位,加解密都是从头至尾顺序进行。数据库数据的使用方法决定了它不可能以整个数据库文件为单位进行加密。当找到符合检索条件的记录后,就必须对该记录迅速脱密。然而该记录是数据库文件中随机的一段,无法从中间开始脱密,除非从头到尾进行一次脱密,然后再去查找相应的这个记录,显然这是不合适的。必须解决随机地从数据库文件中某一段数据开始解密的问题。密钥机制:传统的密码系统中,密钥知道的人越少越好。一旦获取了密钥和密码体制就能攻破密码,解开密文。而数据库数据是共享的,有权限的用户随时需要知道密钥来查询数据。因此,数据库密码系统宜采用公开密钥的加密方法。字段加密:如果以文件或列为单位进行加密,必然会形成密钥的反复使用,从而降低加密系统的可靠性或者因加、解密时间过长而无法使用。只有以记录的字段数据为单位进行加、解密,才能适应数据库操作,同时进行有效的密钥管理并完成“一次一密”的密码操作。多级密钥结构:数据库查询路径依次是库名、表名、记录名和字段名。数据库关系运算中参与运算的最小单位是字段,因此,字段是最小的加密单位。也就是说当查得一个数据后,该数据所在的库名、表名、记录名、字段名都应是知道的。对应的库名、表名、记录名、字段名都应该具有自己的子密钥,这些子密钥组成了一个能够随时加、解密的公开密钥。加密范围:数据加密通过对明文进行复杂的加密操作,以达到无法发现明文和密文之间、密文和密钥之间的内在关系。另一方面,DBMS要完成对数据库文件的管理和使用,必须具有能够识别部分数据的条件。因此,只能对数据库中数据进行部分加密。加密方法:可分为对称加密与非对称加密两种对称加密:其加密所用的密钥与解密所用的密钥相同。典型的代表是DES(DataEncryptionStandard,数据加密标准)。非对称加密:其加密所用的密钥与解密所用的密钥不相同,其中加密的密钥可以公开,而解密的密钥不可以公开。加密层次:可以在2个不同层次实现对数据库数据的加密,这2个层次分别是DBMS内核层和DBMS外层。DBMS内核层加密:是指数据在物理存取之前完成加、解密工作。这种加密方式的优点是加密功能强,并且加密过程几乎不会影响DBMS的功能,缺点是需要结合不同类型的数据库内核进行开发,开发过程较为复杂。DBMS外层加密:是将数据库加密系统做成DBMS的一个外层工具,采用这种加密方式时,加/解密运算需要放在客户端进行,其优点是不会加重数据库服务器,缺点是需要对当前业务系统进行改造,并且会增加应用系统开发难度。3.6敏感混淆
在电子政务系统大多数环境下,针对外包、第三方测试/开发以及第三方数据分析人员使用数据无任何防护手段。数据库监控审计技术虽能够审核用户访问记录,并在发生数据泄漏问题后帮助进行识别,但这类技术都是在事后对事件提供追责依据。无法对这类人群使用数据时将敏感信息进行匿名化处理。而其他数据库技术则要求进行大规模的应用程序变更,导致电子政务应用系统性能大幅下降,并且无法保护敏感信息泄露的问题。那么针对这种情况,就需要对敏感数据通过混淆规则进行如下的操作:发现敏感数据:首先自动的找出数据库或文件中存储的敏感数据;抽取敏感数据:其次将找到的敏感数据抽取出来,保存到脱敏数据字典中,以便针对敏感数据进行脱敏;混淆敏感数据:然后对找到的敏感数据进行数据的变形或混淆,实现敏感隐私数据的可靠保护;发放敏感数据:最后将脱敏后的数据可以发放给开发、测试、外包环境以及其它非生产环境中安全地使用。借助数据敏感混淆技术,可以将对外提供的数据屏蔽掉敏感信息,并使屏蔽的信息保留其原始数据格式和属性,以确保应用程序及数据分析人员可在使用脱敏数据的开发、测试及分析的过程中正常运行。3.7兼容扩展
针对电子系政务数据库安全防护,最根本的手段是在数据库兼容层面上进行防护,在数据库存取接口上,通过扩展标准的SQL语句,透明地实现对数据库中敏感信息的加密和完整性保护,对数据库的操作可以采用SQLDDL和SQLDML语言,通过ODBC、JDBC、BDE等数据库驱动程序实现对数据库中表格、记录或字段的存取控制;并对用户操作行为进行日志记录和审计,从内部增强数据库的存储和存取安全。这种方式具有通用性,并且不会对数据库系统的性能造成大的影响。该模型在常规数据库驱动程序中增加密钥管理、审计日志管理、完整性验证和数据加解密等安全扩展模块,通过附加的安全属性如数据库存储加密密钥和审计日志等与安全相关的信息来加强数据库的安全;同时,增加数据库主密钥设置、更新和加密算法设置等安全属性来提高SQL语句的安全性。3.8内容审计
审计功能是电子政务数据库安全建设中必不可少的指标。是数据库系统非常重要的一道安全防线。审计功能把用户对数据库的所有操作自动记录下来,存入审计日志,事后可以利用审计信息,重现导致数据库现有状况的一系列事件,提供分析攻击者线索的依据,所以审计需要满足以下几点:审计类型对数据库的所有操作需要进行全面审计,数据库管理系统的审计主要分为语句审计、特权审计、模式对象审计和资源审计几种类型:语句审计:监视一个或者多个特定用户或者所有用户提交的SQL语句;特权审计:监视一个或者多个特定用户或者所有用户使用的系统特权;模式对象审计:指监视一个模式里在一个或者多个对象上发生的行为;资源审计:监视分配给每个用户的系统资源以及SQL吞吐量统计、网络流量和平均响应时间等。审计内容审计内容应该至少记录以下类型的事件:用户标识和认证、客体访问、授权用户进行的会影响系统安全的操作以及其他安全相关事件。对于每个被记录下来的事件,审计记录中需要包括事件时间、用户、时间类型、事件数据和事件的成功/失败情况。对于标识和认证事件,其事件源的终端ID、源地址等必须被记录下来。对于访问和删除对象的事件需要记录对象的名称。对于审计粒度与审计对象的选择,需要考虑系统运行效率与存储空间消耗的问题。为达到审计目的一般必须审计到对数据库记录与字段一级的访问,但这种小粒度的审计需要消耗大量的存储空间,同时使系统的响应速度降低,给系统运行效率带来影响。审计功能把用户对数据库的所有操作自动记录下来,存放在日志文件中。DBA可以利用审计跟踪的信息,重现导致数据库现有状况的一系列事件,找出非法访问数据库的人、时间、地点以及所有访问数据库的对象和所执行的动作。审计方式有两种审计方式,即用户审计和系统审计。(1)用户审计:DBMS的审计系统记下所有对表或视图进行访问的企图(包括成功的和不成功的)及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在数据字典(系统表)之中,利用这些信息用户可以进行审计分析。(2)系统审计:由系统管理员进行,其审计内容主要是系统一级命令以及数据库客体的使用情况。3.9政策合规
根据GB17859-1999《计算机信息系统安全保护等级划分准则》、BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》,对数据库安全有明确定义:数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。保密性:指保护数据库中的数据不被泄露和未授权的获取;完整性:指保护数据库中的数据不被破坏和删除;一致性:指确保数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;可用性:指确保数据库中的数据不因人为的和自然的原因对授用户不可用。该需求涉及到当数据库被使用时,应确保合法用户得到数据的正确性,同时要保护数据免受威胁,确保数据的完整性。数据库不仅储存数据,还要为使用者提供信息。应该确保合法用户应当在一定规则的控制和约束下使用数据库,同时应当防止入侵者或非授权者非法访问数据库。通过满足等保、分保合规性建设要求,从而达到电子政务系统数据库安全防护。4.数据库整体安全设计
4.1.设计原则
4.1.1.
总体设计原则
电子政务数据库安全设计应围绕生产实际业务应用安全需求为基础,依据国家等级保护、分级保护相关政策规范和技术标准要求,建成信息安全等级保护深度防御体系。在建设过程中,遵循统一规划、统一标准、统一管理、适度保护、重点保护、强化管理的原则。那么电子政务在数据库系统安全设计环节需要以如下思路进行:4.1.2.分区分域原则
考虑到电子政务不同类型网的数据库系统所面临不同的安全风险和重要性的不同,网络架构、软硬件部署位置,应对电子政务数据库分区分域进行安全设计。对安全风险相同的系统及设备应划分在同一安全域,采用一致的安全控制手段做到集中防护。对于存储在不同业务系统中的不同类型的数据,需要通过动态调整关联到准确的核心敏感数据,确保核心敏感数据可以在根源上达到安全性,分区分域应尽量少的改变电子政务系统的网络环境,以便于进行数据库安全保护措施的实施,从而起到纵深防御的效果,避免安全事件突破关键机制后造成整个防御体系的溃散。4.1.3.纵深防御原则
纵深防御原则是信息系统信息安全保障的核心思想,在信息安全防御体系设计、实施过程中,应建立等级保护纵深防御体系,对整个数据库系统的建立检查预警、主动防御、底线防守、事后追查,每一个层次都需要针对不同的电子政务系统,实施对应的信息安全策略和安全机制,保证访问者对每一个数据库系统组件的访问时,都多层次保障电子政务系统的安全性,以实现系统的充分防御,将电子政务数据库系统遭受攻击的风险降至最低,确保系统安全、可靠。4.1.4.集中防护原则
统一管理是建设电子政务信息安全等级保护、分级保护纵深防御体系中,主动安全防御是基本要求,对数据库系统范围内的访问资源和用户进行统一梳理,按照访问控制策略来进行实施,对于数据库的访问行为统一由审计技术进行分析和响应。做到管理全局统一、监控严密、响应及时得防护原则。4.1.5.动态调整原则
电子政务系统的核心数据安全问题不是静态的,它会随着管理相关的组织结构、组织策略、信息系统和操作流程的改变而改变,因此对核心和敏感数据,必须跟踪业务信息系统的变化情况,及时调整安全保护措施。
4.2.总体思路
4.2.1.
安全检测
电子政务系统应用首先要提醒网站用户定期修改账户密码,然后使用专门的数据库漏扫工具发现数据库的安全隐患,这些隐患包括数据库管理配置过程中存在的弱口令、权限宽泛、低安全配置、高危存储过程及函数程序等。在应用程序中加入输入表单的内容校验,同时在电子政务外网加强对应用的保护等措施。4.2.2.主动防御
电子政务外网通过专业的数据库防火墙,彻底对SQL注入、数据库漏洞攻击行为进行防御。数据库防火墙不同于传统的防火墙,传统的防火墙无法解析数据库协议,无法防止SQL注入等攻击;虽然目前已经有WAF这类产品能够防护SQL注入的攻击,但WAF产品只是解析HTTP协议,无法针对数据库的协议进行精确的解析,并且也有很多的SQL注入手段可以绕开WAF进攻数据库,而数据库防火墙对于SQL注入本身比WAF拦截得更为彻底,同时可以做到防止批量下载和后门程序。电子政务外网使用数据库防火墙对数据库的通讯过程进行精确的解析和控制,同时可以对应用建立应用特征模型,建立正常访问SQL语句的语句模版,防止恶意操作和批量导出敏感信息的行为。电子政务系统的测试数据库如果也采用生产区真实数据,那么程序开发、测试人员都有可能通过测试数据库获得大量敏感信息,面对这样的问题就需要通过数据库脱敏对真实数据进行混淆,避免真实数据用于测试系统。4.2.3.底线保护
安全防护与安全攻击一样,都有成功概率。即使能防护住99%的行为,也有可能存在1%的攻破概率,而且随着攻击人员不断“创新”攻击方案或程序,比如会存在短暂的攻方暂时领先,如同杀毒软件的病毒库更新一样。因此,在电子政务数据库安全的防护上,建议增加底线防护机制,通过使用数据记录行数阈值控制的技术,在邻近数据库的位置部署数据库防火墙,即使攻击方法穿透了网络、主机、应用,但是一旦超过一定阈值(这个阈值可以根据不同时间、不同数据表灵活调整),所有的访问行为将立即进行阻断、拦截,能做到避免大规模数据泄漏的灾难。对于已经获取操作系统访问权限或本地登录数据库服务器的情况,数据库自身需要使用数据库加密实现从根本上的安全加固,有效解决数据库存储文件明文泄漏、数据库管理员对敏感数据的非法访问、绕过合法应用的数据库操作。
4.2.4.告警追责
电子政务数据库系统需要全面的审计操作,通过旁路镜像流量的方式监控生产区业务系统,实现准确的追责和定责,并及时监控和告警,以业务语言呈现在数据库审计系统中。4.3.数据库分区分域设计
4.3.1分区分域思路随着电子政务信息系统安全等级保护、分级保护方面的政策和规范的发布,对信息安全控制的重要性正逐步提升。电子政务信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是对系统内不同业务区域进行不同等级的保护。因此,安全域划分是进行电子政务信息安全等级保护的开始步骤。安全域是指同一系统内根据信息性质、使用主体、安全目标和策略等元素的不同来划分不同逻辑子网,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域内具有相互信任关系,同一安全域共享同样的安全策略。电子政务系统未来集成的业务数据包括经济、人口、农业、工业等多个行业多领域业务数据,这些信息分散在各个系统中,不统一规划,很可能导致无法对信息资源进行有效综合利用,而不能充分发挥数据的价值。同时,对信息资源的有效设计能够保证信息资源采集、加工、存储、保护和使用的安全有效进行,因此,需要对电子政务数据库系统资源进行统一的规划与设计。安全域划分主要的目的是落实安全策略,由于安全域边界通常是基于网络划分,所以通常的方式是,在管理层面根据安全策略制定制度和要求,技术层面通过部署安全设备,使用相应的安全技术,实现安全域划分后的安全要求。4.3.2分区分域设计为了更好支撑电子政务数据库安全,建议对数据区域进行划分电子政务数据库区域划分总体架构1.电子政务外网数据区域
对外数据区域,应将对外政务、网上办事、数据查询的等对外相关数据库系统规划在此区域中,由于要面向广大互联网用户,在此需要与对内、核心数据进行隔离,一方面防止信息泄露,另一方面防止SQL注入攻击或渗透行为跳转到内部。2.电子政务专网数据区域
对内数据区域,应将内部生产数据,如自动化办公系统、政府业务系统等数据库规划在此区域中,此区域主要面向内部生产和统计,在此需要重要考虑与外部区域进行有效隔离,注意与对外区域的有效隔离,重点防范内部非授权访问和内部发起的信息泄露事件。3.电子政务内网数据区域
核心数据区域,应将与国家宏观指令、政策、敏感信息数据库规划在此区域中,此区域主要是电子政务内网核心且敏感数据,在此要重点考虑数据防泄密的问题,严防内部作案。本方案将结合风险分析、需求分析、区域划分要求对电子政务数据库展开安全防护设计。4.4.数据库安全防护设计
总体设计思路结合电子政务数据安全需求,对电子政务数据安全进行如下设计:4.4.1事前检查预警
通过对数据库漏洞实时检查,实现对数据库安全状况的监控,包括相关安全配置、连接状况、用户变更状况、权限变更状况、代码变更状况等全方面的安全状况评估;建立安全基线,实现安全变化状况报告与分析。监控数据库安全状况,防止数据库安全状况恶化:对于数据库建立安全基线,对数据库进行定期扫描,对所有安全状况发生的变化进行报告和分析。数据库配置核查DBMS漏洞:扫描数据库系统自身存在的漏洞,如果数据库存在漏洞会引发数据泄漏、权限提升或拒绝攻击问题。弱口令:数据库登录口令的安全强度是否符合安全性要求,比如使用了111111这样的弱口令,很容易被猜到。缺省口令:是否存在数据库系统安装的缺省口令,由于这样的口令是被公众掌握的,安全隐患很大。配置缺陷:由于数据库或系统的配置造成的安全缺陷或风险点,如果有安全配置缺陷极易被非法入侵者找到突破点,从而攻陷数据库。补丁检查:检查数据库的版本或相应功能版本是否已经不再被支持了,需要进行升级来实现更好的安全性。易受攻击代码:在数据库的系统表或存储程序中存在可能会被利用来进行攻击的代码,或存在已经发现的存在漏洞的存储程序。程序后门:由于不安全的程序造成在某种条件下会触发安全缺陷。数据库渗透检查在数据库的漏洞类型中,属SQL注入、缓冲区溢出和拒绝服务攻击这几种类型对数据库系统造成的危害最大,为了让管理员更清醒的认识到数据库的安全隐患。模拟黑客对数据库进行渗透测试,如弱口令测试、SQL注入测试和缓冲区溢出测试等,并确保不会对目标数据库造成危害。数据库加固建议针对系统检查出的数据库安全漏洞,系统在数据库漏洞详细报告中提供了详细的漏洞修复建议,保证每条建议有效可靠,不会造成修复后正常功能无法使用、数据库系统无法启动等故障,从而帮助管理员更加快速、有效地进行漏洞修复。4.4.2事中主动防御
电子政务有种类繁多的应用系统,其中不乏有需要对公众开放的系统,而WEB服务器被暴露在网络之中,攻击者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放端口。对这样的隐患进行数据库级别访问控制、入侵防御,会有效的保护后台数据库不暴露在复杂的网络环境中,构建类似内网的安全防护状态。对于攻击者通过WEB应用,用“SQL注入”攻击的方法从后台数据库服务器尝试进行“刷库”,通过SQL注入防护可以从根本上帮助管理员防止SQL注入的发生。网络可信接入应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备可以访问数据库。应用身份识别通过对应用身份识别,让合法应用发出的SQL语句可以直接访问数据库,而其他登陆工具和应用未经过授权或绑定,都无法登陆后台数据库,确保数据来自指定应用。抵御SQL注入建立SQL注入特征库,通过对SQL语句进行注入特征描述,完成对“SQL注入”行为的检测和阻断。虚拟补丁在数据库外的网络访问路径上创建了一个安全层,数据库在无需补丁情况下,完成对数据库漏洞防护,对于有“扩展脚本”和“缓冲区溢出”攻击的特征的SQL语句,可通过匹配特征库直接进行拦截。阻断漏洞攻击对数据库的访问设置许可或禁止模型,按照SQL自身语法结构划分SQL类别,通过自定义模型添加新的SQL注入特征,进行有效拦截。数据库漏洞攻击防控:开启虚拟补丁配置策略,即可防范数据库漏洞的攻击。
用户权限细粒度管理建立比DBMS系统更详细的虚拟权限控制,对建立的虚拟权限的用户提供细粒度的控制。控制策略例如:用户+操作+对象+时间;在控制操作中增加了UpdateNowhere、deleteNowhere等高危操作阻断;对于返回行数和影响行数实现精确控制。4.4.3运维访问安全
传统的数据库往往采用账户名+密码的单因子方式进行登录,在保险行业里运维使用者包含了开发、测试、运维、外包等人员,如果仅仅通过简单的授权方式进行防护,不但账号密码容易泄露,且有可能识别导致无法真实识别用户身份,导致权限滥用,一旦出现违规事件无法及时定责,追责,数据库面临着入侵、盗用后发生的破坏和失泄密问题,严重危害到数据的安全性性。如何解决数据库访问在使用过程中的安全问题,并进行统一身份认证管理,是当前亟待解决的问题。身份识别方案可以以动态口令为基础,为用户提供标准的用户身份即数字证书,基于数字证书在用户访问时结合数据库安全防护平台对用户进行身份识别,并对用户进行授权、审计等安全管理,从而实现数据库系统身份健壮性。角色划分用户身份信息主要包括数字证书编码、用户单位、用户名称、职位、颁发单位、颁发时间、权限范围等信息内容。并可根据客户要求灵活填写内容用于备注。数据库运维访问应根据用户采用:动态口令+数据库账户名+密码的双因子方式进行强身份认证。可以区分数据库管理员、外包人员、业务人员等职责身份授权根据时间段规则控制(1)管理员可以根据时间段规则策略控制某一时间段内,允许访问应用或者禁止访问应用(2)根据ip地址规则控制管理员可以根据IP地址规则策略控制某一ip地址或某一ip区间段允许访问应用或禁止访问应用(3)根据用户名控制管理员可以根据用户名策略控制某一用户允许或者禁止访问应用。(4)根据数字证书管理员可以根据同一数据库账户分配不同动态口令,区分不同业务模式下的使用需求。运维审批建议通过三种方式进行运维审批。第一种是提交要执行的完整语句,选择审批人,根据操作时间可以选定由指定人完成操作或自己完成操作。审批通过后系统会按照申请条件分配指定人员或下发执行口令给申请人由其本人代执行。第二种是按照“时间+对象+操作”的条件组合去提交申请。两种方式都支持多级审批,提交申请后等待审批结果,通过后系统会下发执行口令,每次申请会根据申请人的身份和内容生成唯一的口令。第三种是对于需要充分授权的内部运维人员,可以按照禁止某些高危操作和敏感表访问的方式进行授权,以使运维人员在规定时间内有效完成负责运维工作。最后一种是申请人可以提请定时任务,可以申请DBController在指定时间和周期执行数据库脚本。系统支持设置多个审批员,避免审批人员出差或不在岗影响运维人员工作,只要有一个审批通过即可;同时系统也支持多级审批,提高运维审批强度和规范运维流程。用户可以通过第三方工具登录数据库进行操作,简单口令认证,不改变原有工作习惯,口令通过者只能执行其申请的操作内容,杜绝误操作及违规操作。未经口令认证者无法操作敏感对象,防止越权操作。申请人在提交申请的过程中,系统会对语句的合理性,语法的正确性,以及是否存在潜在的风险进行判断与分析,并将其呈现给审批人作参考。申请人提交的内容和审批人的审核结果都会被系统保存,为日后的追责提供重要依据。访问控制系统可对运维人员的IP、客户端工具、账号、时间等进行登录限制,针对数据库数据表,可按照受影响数据行数(阀值)进行精细管控,包括查询、更新和删除动作,超出阀值的行为进行阻断或拦截,防止高危操作或大批量数据泄露。依据数据库协议精确解析与语句模板匹配技术,能够将运维人员对数据库的访问操作与预先申请的语句或规则进行准确对比。满足申请条件的访问行为将被放行,而未申请或匹配失败的操作将无法执行,从而降低了恶意操作或误操作的概率。实现拦截、阻断、实时告警等多种事中控制模式,并可对控制结果进行记录,提供日后追责依据。系统支持细粒度数据误操作恢复,对运维行为中某些常用行为如update、delete操作等进行误操作前数据恢复。对于审批后的定时任务,可以在制定时间和周期完成规定脚本,并将执行结果告知申请人和审批人。4.4.4核心数据加密
数据库存储文件是明文,需要对敏感字段进行加密存储,对敏感数据实现脱敏,确保数据库文件即使丢失了,也不会造成整库泄密。备份文件也要严格管理,对敏感列也采用加密方式存储。登陆数据库服务器本地维护和应急数据库操作,此时有明文数据泄漏风险,需要安全管理员同时在场,保密要求较高的数据要加密存储,并通过三权分立的方式对数据库进行管理。1)安全代理主要实现以下技术:多级视图:通过多级视图技术实现加密数据的透明访问,在被加密列所在的表上创建两个视图。一个内层视图包含特殊的伪列信息来标识行数据;另一个与原表同名的视图作为对外的视图(透明视图)屏蔽特殊的伪列,以保证表结构的一致性。在视图的查询语句中包含有相应加密列的解密操作,完成对外的加密数据透明访问。存储加密:利用数据库的触发器机制实现存储加密,例如在Oracle中的触发器可以实现对数据更新动作的特定行为的响应,同时Oracle中可以支持针对视图的触发器。通过建立Insteadof触发器完成对明文数据的加密,将加密后数据插入到表中,实现密文存储。2)安全服务系统:数据加密的基础核心技术,通过安全服务系统提供用户权限控制、密钥及算法管理、加解密处理、密文索引维护等安全策略管理功能。通过JDBCDriver和数据库之间建立连接,直接和安全代理子系统进行通讯,同时通过访问安全管理工具和安全策略中心,从而为安全管理员提供各种控制策略。3)安全管理工具:需要实现高度易用的图形化管理工具,实现对加密对象、加密策略的定制、用户授权等管理工作,需安装在一台普通PC或笔记本上进行管理,负责安全服务进程加解密功能的启动和停止,以及系统主密钥启动口令的变更。数据加密对数据按列进行加密,可以对指定的列采用指定的加密算法和密钥等加密处理。加密后的数据以密文的形式存储在的表空间中。能够实现对VARCHAR、VARCHAR2、CHAR、NUMBER、DATE、CLOB、BLOB类型的加密。增强密文管理权限对加密数据库增设虚拟权限管理员。保证原有DBMS管理员和与虚拟权限管理员完全独立,共同实现对敏感字段的强存取控制,实现真正的责权一致。DBMS原有DBA实现对普通字段的一般性访问权限控制,虚拟权限管理员实现对敏感字段的密文访问权限控制和加解密处理。加密管理策略密钥的管理策略需要通过虚拟权限管理员来设置,策略需要满足:整列全加密、按特定记录行的部分加密等方式等设置;对加密列指定加密设备、算法、密钥长度、盐值类型等设置;密文列进行密钥更新设置;对加密列、已加密数据进行周期性的密钥轮转等设置;细粒度访问控制对密文数据的访问权限进行精细控制,能做到按时间、按地点授权。通过该权限控制机制,使数据库用户在规定时间范围内、通过指定的IP地址进行密文数据的访问权限控制防止了特权用户对敏感数据的非法访问,提高数据库系统的安全性。只有授权用户才能看到明文数据,并且授权也是按列进行的,具备很好的灵活性和安全性。对于非授权用户,将无法读取加密列(查询)和更改加密列的数据。高效数据检索对数据库进行安全加密增强后,依然能够对加密数据进行索引查询,保持数据库的高效访问能力。透明数据加密设置数据库加密过程中不需要对应用系统进行任何改动,对有密文访问权限合法用户看到的是明文数据,并且该过程对用户完全透明。4.4.5敏感信息混淆
通过对电子政务数据库中的敏感数据进行识别,统计出敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。识别敏感数据针对指定部分的敏感数据或预定义的敏感数据特征进行自动的识别发现敏感数据,并自动的对发现的敏感数据进行脱敏处理。通过识别敏感数据,可以避免按照字段定义敏感数据元的繁琐工作,对所有需要抽取的敏感数据进行自动脱敏,同时能够持续的发现新的敏感数据。脱敏算法根据不同数据特征执行不同的脱敏算法,对常见数据如姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感数据进行脱敏,脱敏算法需要具有如下特性:同义替换,使用相同含义的数据替换原有的敏感数据,如姓名脱敏后仍然为有意义的姓名,住址脱敏后仍然为住址。部分数据遮蔽,将原数据中部分或全部内容,用“*”或“#”等字符进行替换,遮盖部分或全部原文。混合屏蔽,将相关的列作为一个组进行屏蔽,以保证这些相关列中被屏蔽的数据保持同样的关系,例如,城市、省、邮编在屏蔽后保持一致。确定性屏蔽,确保在运行屏蔽后生成可重复的屏蔽值。可确保特定的值(如,客户号、身份证号码、银行卡号)在所有数据库中屏蔽为同一个值。可逆脱敏,确保脱敏后的数据可还原,便于将第三方分析机构和内部经分团队基于脱敏后数据上的分析的结果还原为业务数据。任务管理可针对目标数据库系统或结构化文件进行。通过脱敏任务,将原始数据的业务系统和使用脱敏后数据的系统连接起来,可对任务进行停止、启动、重启、暂停、继续,并且支持任务并发,充分利用系统资源,提高脱敏效率。脱敏任务可兼容执行过程中遇到的异常情况,支持跳过异常数据继续执行任务。动态数据脱敏在通讯层面上通过代理方式,对业务系统数据库中敏感数据进行透明的、实时的脱敏。依据用户的角色、职责和其他IT定义身份特征,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,可确保不同级别的用户按照其身份特征恰如其分的访问敏感数据,并且不需要对生产数据库中的数据进行任何改变。动态数据脱敏同样需要支持同义替换、部分遮蔽、混合脱敏、确定性脱敏及可逆脱敏算法,根据不同使用者身份特征,指定对应的数据脱敏算法。4.4.6事后追责监控
对于通过应用程序后门批量导出敏感数据的“刷库”行为,首先要构建电子政务核心应用的行为模型,通过数据库防火墙的学习期将合法应用的SQL语句全部捕获,统一放到“白名单”里,防止合法语句被误报,通过学期完善期,然后切换到保护期,此时如果出现了通过Web访问应用程序后门批量导出敏感数据的操作,数据库防火墙会报“新型语句”,这类语句属于“灰名单”语句,安全管理员要根据具体情况判断语句风险,防止通过后门程序批量导出敏感信息的行为。业务人员的数据库操作基本是合法的,但是也不能排除被利用或被攻击的情况,通过数据库审计精确记录关键业务操作和关联具体业务操作人员,为事后追溯定责提供准确依据,同时对数据库运维操作和非法批量导出行为进行告警。建议采用应用关联审计实现对业务用户的准确关联,在出现问题的时候能够实现准确的追责和定责。时间戳三层关联审计准确率在80%左右,在对业务用户操作进行追责的时候往往会出现A做的事情记成B,并且在高并发的情况下极易出现错误审计,因此不推荐使用。5.方案优势
5.1周期防护构建纵深
为了解决数据库在防攻击、防篡改、防丢失、防泄密、防超级权限等问题。安华金和提出:针从数据库安全的三维角度,构建事前-事中-事后的全生命周期数据安全过程,并结合多层次安全技术防护能力,形成整体的数据库纵深防护体系。5.2主动防御减少威胁
通过事中主动防御手段在数据库前端对入侵行为做到有效的控制,通过强大特征库和漏洞防御库,主动防御内外部用户的违规操作以及黑客的入侵行为。对IP/MAC等要素进行策略配置,确保应用程序的身份安全可靠。通过黑白名单对敏感数据访问控制,定义非法用户行为的方式定义安全策略,有效通过SQL注入特征识别库。5.3权限控制解决拖库
从数据库级别进行最小化权限控制,杜绝超级管理员的产生,通过数据库防火墙和数据库加密措施进行从根源上彻底控制数据信息的泄露,为信息化打好底层基础。有效防止存储文件和备份文件被“拖库”的风险。5.4透明部署零改应用
本方案所提出的技术实施,对于现有应用系统基本透明,无需改造,对原有数据库特性、原有应用无改造,不改变应用及用户使用习惯。保证快速、无缝地融合到现有电子政务信息系统中。5.5政策合规满足标准
在等级保护、分级保护基本要求中,数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。对等保三级、分保秘密级以上系统中,关键敏感数据的安全防护要求满足了标准特性:数据保密性满足了“实现系统管理数据、鉴别信息和重要业务数据的存储保密性”。访问控制性实现了最小授权原则,使得用户的权限最小化,同时要求对重要信息资源设置敏感标记。安全审计性完成了“对用户行为、安全事件等进行记录”。5.5.1等保标准
列举等保标准中与数据库安全相关内容:评测项等级基本要求应启用登录失败处理功三级身份鉴别四级能,可采取结束会话、限制非法登录次数和自动退出等措施;应对所有主体和客体设置敏感标记;实现效果通过对数据库账户、登录ip、Mac地址、进行数据库访问前的身份鉴别,按照预先设定策略,控制非法登录、非授权登录,对非可信用户结束会话或阻止访问。对IP、MAC、客户端、数据库账户、时a)应启用访问控制功能,依据安全策略控制用户对资源的访问;访问控制三级间等要素进行限制对于授权用户对受保护数据的访问能够限定到指定的时间和IP,实现更加精确的授权和访问控制;b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限审计范围a)审计范围应覆盖到安全审计三级服务器和重要客户端上的每个操作系统用户和数据库用户;IP地址、数据库用户、端口号、数据库类型用户名表、字段、包、存储过程、函数、视图数据库审计对用户、操作(DML、DDL、DCL)和对象进行访问控制的限定数据库加密数据库防火墙数据库防火墙数据库加密对应产品数据库防火墙数据库加密DDL、DML、DCL影响行数、返回行数等会话的终端信息:IP、MAC、Port、工具名称(程序名)会话的主机信息、IP、MAC、Port、数b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;据库名(实例名)会话的其它信息:登录时间、会话时长操作信息:操作类型(DDL、DML、DCL等)、操作时间、执行时长、操作成功与失败、操作对象(表、列、存储过程名称)、SQL语句操作影响范围信息:查询、修改、删除操作的影响行数,以及返回行数可以根据等保生成审计报表;固定报c)应能够根据记录数据进行分析,并生成审计报表;表:告警、操作审计、流量定期自动生成生成:日、周、月、季度、年度综合报表。文档格式:WORD\\HTML\\JPG\\PDF\\EXCEL数据库审计数据库审计5.5.2分保标准
列举分保标准中与数据库安全相关内容:评测项级别评测要求涉密信息系统中使用的安全保护产品选择(1分)安全保密产品原则上应机密普通级/增强级选国产设备。安全保密产品应通过国家相应主管部分授权的测评机构的检测。安全域边界防护(1分)安全域之间的边界应划机密普通级/增强级分明确,安全域与安全域之间的所有数据通信都应安全可控;当用户身份鉴别尝试失运行安全(1分)机密普通级败次数连续达到五次后,应采取以下措施:对于本地登录,进行登DBFirewall能实现不同机密与之前的数据库在正常访问的情况下,同时实现安全域与安全域之间安全可控;同时可禁止高等级安全域流向低等级。DBScan能实现数据库的登录失败处理选项和失败次数的检测,能检测存储过程、函数中存在的恶意代码。数据库防火墙数据库防火墙全部有国内自主知识产权的信息安全产品,同时经过国保局测评并取得涉密资质。数据库防火墙数据库保险箱数据库审计保护效果对应产品录锁定,同时形成审计事件并告警;应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。管理员间的权限应能够相互制约、互相监督,机密增强级避免由于权限过于集中带来的安全风险。系统内配置管理权限应与安全审计权限分开。实现系统内配置管理权限与安全审计权限分开。DBFirewall实现对数据库用户进行强机密级重要信息采用分类分级的强制访问控制策略。制访问控制实现唯一内网接入通道,同时通过IP访问控制规则,实现数据库访问安全保证。同时数据库用户和密文数据可进行分级管理,数据按照列、行记录可以分成不同的级别,不同级别用户只能访问相应级别数据。数据库保险箱数据库防火墙数据库审计引入三权分立,增设安全管理员和审计管理员,与数据库管理员相互制约和监督。数据库保险箱DBFirewall针对SQL注入等漏洞特征库、通过虚拟补丁能力,防范恶意攻击。访问控制(2分)主体的访问控制精确到机密增强级用户、客体精确到信息的级别或类别。
因篇幅问题不能全部显示,请点此查看更多更全内容