行業(yè)需求與挑戰(zhàn)
電子政務(wù)外網(wǎng)系統(tǒng)主要包括政府單位門戶網(wǎng)站�、公共服務(wù)系統(tǒng)類型的政務(wù)公用網(wǎng)絡(luò);系統(tǒng)分為中央����、省、市、縣四級(jí)電子政務(wù)外網(wǎng)平臺(tái)���。通過(guò)對(duì)各業(yè)務(wù)系統(tǒng)及各層級(jí)政務(wù)平臺(tái)的安全狀況進(jìn)行梳理�����,我們將目前電子政務(wù)外網(wǎng)面臨的安全風(fēng)險(xiǎn)和需求歸納為以下幾點(diǎn):
傳統(tǒng)防護(hù)薄弱
傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)等�����,由于不具備對(duì)數(shù)據(jù)庫(kù)通訊協(xié)議的解析能力�����,無(wú)法實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)行為的細(xì)粒度審計(jì)和防護(hù)�。
安全配置缺陷
對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)中的默認(rèn)配置�����、高危程序���、弱口令�����、權(quán)限分配過(guò)高等配置缺陷缺乏嚴(yán)格的檢查及相應(yīng)的優(yōu)化�����,可能導(dǎo)致內(nèi)部用戶的非法訪問(wèn)或越權(quán)操作���。
外部黑客攻擊
數(shù)據(jù)庫(kù)系統(tǒng)本身存在多種安全漏洞,加之電子政務(wù)系統(tǒng)平臺(tái)需要對(duì)外開(kāi)放訪問(wèn)接口����,外部黑客可以通過(guò)漏洞攻擊或SQL注入的方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊。
內(nèi)部違規(guī)操作
第三方人員�、下級(jí)單位、運(yùn)維人員����、外包人員都有權(quán)限訪問(wèn)數(shù)據(jù)庫(kù)高權(quán)限賬戶,可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行增刪改查等操作����,缺乏對(duì)此類操作的管控將可能導(dǎo)致數(shù)據(jù)被篡改、泄漏等風(fēng)險(xiǎn)�����。
安全取證困難
數(shù)據(jù)庫(kù)系統(tǒng)中,數(shù)據(jù)庫(kù)自身的日志系統(tǒng)可以實(shí)時(shí)或非實(shí)時(shí)的記錄侵入者��,但是數(shù)據(jù)庫(kù)系統(tǒng)遭受入侵和非授權(quán)操作時(shí)��,攻擊者也可獲取到數(shù)據(jù)庫(kù)系統(tǒng)高權(quán)限賬戶��,這樣可以有選擇的刪除部分或全部審計(jì)日志���,導(dǎo)致無(wú)法準(zhǔn)確回溯破壞和泄露行為��,對(duì)日后調(diào)查取證造成嚴(yán)重阻礙�����。
政策性要求
電子政務(wù)外網(wǎng)需要符合國(guó)家頒布的相關(guān)等級(jí)保護(hù)要求�����,其中對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)行為審計(jì)���、數(shù)據(jù)安全性等方面提出了明確的安全防護(hù)要求。
方案概述
對(duì)電子政務(wù)外網(wǎng)的數(shù)據(jù)庫(kù)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)動(dòng)態(tài)監(jiān)管�����,自動(dòng)化完成對(duì)數(shù)據(jù)的定期檢查,針對(duì)為安全管理人員����、數(shù)據(jù)管理員和受控人員建立敏感數(shù)據(jù)安全管控的平臺(tái)。將數(shù)據(jù)的類型及敏感程度進(jìn)行整體管理�,并針對(duì)不同級(jí)別的數(shù)據(jù)的操作及流轉(zhuǎn)進(jìn)行管理、審計(jì)��,可以將數(shù)據(jù)分布情況以及使用情況進(jìn)行可視化處理���,生成數(shù)據(jù)分析報(bào)告��,并依托分析報(bào)告完成數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,最終做出合理建議����,為電子政務(wù)外網(wǎng)提升數(shù)據(jù)庫(kù)安全管理工作水平。
檢查預(yù)警-安全狀況檢查
通過(guò)部署數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)����,對(duì)電子政務(wù)外網(wǎng)中的核心數(shù)據(jù)庫(kù)進(jìn)行安全狀況檢查,包括相關(guān)數(shù)據(jù)庫(kù)安全漏洞�、安全配置、弱口令��、缺省口令、補(bǔ)丁更新��、脆弱代碼�、程序后門等檢測(cè)項(xiàng),有效評(píng)估后建立數(shù)據(jù)庫(kù)安全基線��。����,并提供加固建議。
主動(dòng)防御-訪問(wèn)控制防護(hù)
電子政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)種類繁多�,其中不乏有需要對(duì)公眾開(kāi)放的系統(tǒng),而WEB服務(wù)器被暴露在網(wǎng)絡(luò)之中����,攻擊者對(duì)WEB服務(wù)器進(jìn)行網(wǎng)段掃描很容易得到后臺(tái)數(shù)據(jù)的IP和開(kāi)放端口。對(duì)這樣的隱患進(jìn)行數(shù)據(jù)庫(kù)級(jí)別的訪問(wèn)行為控制���、危險(xiǎn)操作阻斷���、可疑行為攔截,面對(duì)來(lái)自于外部的入侵行為�,提供防SQL注入禁止和數(shù)據(jù)庫(kù)虛擬補(bǔ)訂包功能;通過(guò)虛擬補(bǔ)丁防護(hù)�����,保證數(shù)據(jù)庫(kù)系統(tǒng)不用升級(jí)、打補(bǔ)丁�,即可完成對(duì)主要數(shù)據(jù)庫(kù)漏洞的防控。有效的保護(hù)后臺(tái)數(shù)據(jù)庫(kù)不暴露在復(fù)雜的網(wǎng)絡(luò)環(huán)境中�,構(gòu)建數(shù)據(jù)庫(kù)的安全防護(hù)。
事后追查�����,數(shù)據(jù)流向監(jiān)控
對(duì)于電子政務(wù)外網(wǎng)存在的批量導(dǎo)出敏感數(shù)據(jù)的“刷庫(kù)”行為�,需要構(gòu)建應(yīng)用的行為模型,通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)學(xué)習(xí)模式�,在學(xué)習(xí)期內(nèi)將合法應(yīng)用的SQL語(yǔ)句全部捕獲,統(tǒng)一放到“白名單”里�,防止合法語(yǔ)句被誤報(bào)�,學(xué)期完善期后切換到保護(hù)期,此時(shí)如果出現(xiàn)了通過(guò)Web網(wǎng)站批量導(dǎo)出敏感數(shù)據(jù)的行為��,會(huì)被數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)識(shí)別并進(jìn)行風(fēng)險(xiǎn)行為告警�,讓安全管理員第一時(shí)間了解電子政務(wù)外網(wǎng)系統(tǒng)的風(fēng)險(xiǎn)情況。
通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)幫助安全管理員建立數(shù)據(jù)庫(kù)的“攝像頭”��, 對(duì)數(shù)據(jù)庫(kù)協(xié)議進(jìn)行精確識(shí)別��,記錄和回放電子政務(wù)外網(wǎng)數(shù)據(jù)庫(kù)的攻擊、篡改����、批量、誤操作等風(fēng)險(xiǎn)行為�����,提升數(shù)據(jù)庫(kù)的安全監(jiān)控和溯源能力���,為事后追溯定責(zé)提供準(zhǔn)確依據(jù)�。
十九大召開(kāi)在即���,作為數(shù)據(jù)安全企業(yè)��,我們針對(duì)覆蓋各級(jí)政府機(jī)構(gòu)的電子政務(wù)外網(wǎng)的數(shù)據(jù)安全提供細(xì)粒度到數(shù)據(jù)庫(kù)安全層面的整體解決方案�,以期通過(guò)專業(yè)的視角和業(yè)務(wù)實(shí)踐經(jīng)驗(yàn)分享來(lái)推動(dòng)電子政務(wù)外網(wǎng)的數(shù)據(jù)安全建設(shè)���。
產(chǎn)品咨詢:4000 258 365 
