行業(yè)需求與挑戰(zhàn)
電子政務(wù)外網(wǎng)系統(tǒng)主要包括政府單位門戶網(wǎng)站���、公共服務(wù)系統(tǒng)類型的政務(wù)公用網(wǎng)絡(luò)�����;系統(tǒng)分為中央���、省�、市�、縣四級電子政務(wù)外網(wǎng)平臺。通過對各業(yè)務(wù)系統(tǒng)及各層級政務(wù)平臺的安全狀況進行梳理�,我們將目前電子政務(wù)外網(wǎng)面臨的安全風險和需求歸納為以下幾點:
傳統(tǒng)防護薄弱
傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護系統(tǒng)等,由于不具備對數(shù)據(jù)庫通訊協(xié)議的解析能力�,無法實現(xiàn)對數(shù)據(jù)庫訪問行為的細粒度審計和防護。
安全配置缺陷
對于數(shù)據(jù)庫系統(tǒng)中的默認配置�����、高危程序���、弱口令�、權(quán)限分配過高等配置缺陷缺乏嚴格的檢查及相應(yīng)的優(yōu)化�����,可能導致內(nèi)部用戶的非法訪問或越權(quán)操作���。
外部黑客攻擊
數(shù)據(jù)庫系統(tǒng)本身存在多種安全漏洞,加之電子政務(wù)系統(tǒng)平臺需要對外開放訪問接口,外部黑客可以通過漏洞攻擊或SQL注入的方式對數(shù)據(jù)庫進行攻擊��。
內(nèi)部違規(guī)操作
第三方人員��、下級單位�、運維人員、外包人員都有權(quán)限訪問數(shù)據(jù)庫高權(quán)限賬戶���,可以對數(shù)據(jù)庫進行增刪改查等操作�����,缺乏對此類操作的管控將可能導致數(shù)據(jù)被篡改��、泄漏等風險���。
安全取證困難
數(shù)據(jù)庫系統(tǒng)中,數(shù)據(jù)庫自身的日志系統(tǒng)可以實時或非實時的記錄侵入者�����,但是數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時����,攻擊者也可獲取到數(shù)據(jù)庫系統(tǒng)高權(quán)限賬戶���,這樣可以有選擇的刪除部分或全部審計日志,導致無法準確回溯破壞和泄露行為��,對日后調(diào)查取證造成嚴重阻礙�。
政策性要求
電子政務(wù)外網(wǎng)需要符合國家頒布的相關(guān)等級保護要求,其中對數(shù)據(jù)庫系統(tǒng)的訪問行為審計�、數(shù)據(jù)安全性等方面提出了明確的安全防護要求。
方案概述
對電子政務(wù)外網(wǎng)的數(shù)據(jù)庫系統(tǒng)實現(xiàn)數(shù)據(jù)動態(tài)監(jiān)管����,自動化完成對數(shù)據(jù)的定期檢查,針對為安全管理人員�、數(shù)據(jù)管理員和受控人員建立敏感數(shù)據(jù)安全管控的平臺。將數(shù)據(jù)的類型及敏感程度進行整體管理����,并針對不同級別的數(shù)據(jù)的操作及流轉(zhuǎn)進行管理、審計���,可以將數(shù)據(jù)分布情況以及使用情況進行可視化處理���,生成數(shù)據(jù)分析報告�,并依托分析報告完成數(shù)據(jù)安全風險評估�����,最終做出合理建議�,為電子政務(wù)外網(wǎng)提升數(shù)據(jù)庫安全管理工作水平��。
檢查預(yù)警-安全狀況檢查
通過部署數(shù)據(jù)庫漏洞掃描系統(tǒng)�,對電子政務(wù)外網(wǎng)中的核心數(shù)據(jù)庫進行安全狀況檢查,包括相關(guān)數(shù)據(jù)庫安全漏洞����、安全配置、弱口令����、缺省口令、補丁更新��、脆弱代碼���、程序后門等檢測項�����,有效評估后建立數(shù)據(jù)庫安全基線��。����,并提供加固建議。
主動防御-訪問控制防護
電子政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)種類繁多�����,其中不乏有需要對公眾開放的系統(tǒng)�,而WEB服務(wù)器被暴露在網(wǎng)絡(luò)之中,攻擊者對WEB服務(wù)器進行網(wǎng)段掃描很容易得到后臺數(shù)據(jù)的IP和開放端口����。對這樣的隱患進行數(shù)據(jù)庫級別的訪問行為控制、危險操作阻斷�����、可疑行為攔截�,面對來自于外部的入侵行為,提供防SQL注入禁止和數(shù)據(jù)庫虛擬補訂包功能�����;通過虛擬補丁防護���,保證數(shù)據(jù)庫系統(tǒng)不用升級�����、打補丁����,即可完成對主要數(shù)據(jù)庫漏洞的防控�。有效的保護后臺數(shù)據(jù)庫不暴露在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,構(gòu)建數(shù)據(jù)庫的安全防護���。
事后追查���,數(shù)據(jù)流向監(jiān)控
對于電子政務(wù)外網(wǎng)存在的批量導出敏感數(shù)據(jù)的“刷庫”行為,需要構(gòu)建應(yīng)用的行為模型�,通過數(shù)據(jù)庫審計系統(tǒng)學習模式,在學習期內(nèi)將合法應(yīng)用的SQL語句全部捕獲�����,統(tǒng)一放到“白名單”里�,防止合法語句被誤報,學期完善期后切換到保護期��,此時如果出現(xiàn)了通過Web網(wǎng)站批量導出敏感數(shù)據(jù)的行為,會被數(shù)據(jù)庫審計系統(tǒng)識別并進行風險行為告警�,讓安全管理員第一時間了解電子政務(wù)外網(wǎng)系統(tǒng)的風險情況。
通過數(shù)據(jù)庫審計系統(tǒng)幫助安全管理員建立數(shù)據(jù)庫的“攝像頭”�����, 對數(shù)據(jù)庫協(xié)議進行精確識別����,記錄和回放電子政務(wù)外網(wǎng)數(shù)據(jù)庫的攻擊、篡改����、批量、誤操作等風險行為����,提升數(shù)據(jù)庫的安全監(jiān)控和溯源能力,為事后追溯定責提供準確依據(jù)���。
十九大召開在即��,作為數(shù)據(jù)安全企業(yè)��,我們針對覆蓋各級政府機構(gòu)的電子政務(wù)外網(wǎng)的數(shù)據(jù)安全提供細粒度到數(shù)據(jù)庫安全層面的整體解決方案����,以期通過專業(yè)的視角和業(yè)務(wù)實踐經(jīng)驗分享來推動電子政務(wù)外網(wǎng)的數(shù)據(jù)安全建設(shè)。
產(chǎn)品咨詢:4000 258 365 
