如何實(shí)現(xiàn)保密形勢下的數(shù)據(jù)安全合規(guī)？

9月3日，由網(wǎng)信聯(lián)盟與中國保密協(xié)會主辦的“保密技術(shù)創(chuàng)新與產(chǎn)業(yè)發(fā)展論壇”召開，現(xiàn)場聚集了來自政府部門、科研院所及保密行業(yè)的相關(guān)專家學(xué)者等百余位嘉賓，以“推動保密技術(shù)創(chuàng)新融合，構(gòu)筑產(chǎn)業(yè)發(fā)展大格局”為主題，圍繞保密產(chǎn)業(yè)發(fā)展形勢、相關(guān)政策、行業(yè)趨勢等方面進(jìn)行探討。

安華金和曾參與政府、軍工等行業(yè)用戶多個涉密項(xiàng)目的數(shù)據(jù)安全建設(shè)，作為數(shù)據(jù)安全領(lǐng)域的企業(yè)代表，安華金和受邀參會并帶來主題分享《新保密形勢下數(shù)據(jù)庫安全技術(shù)路線》 ，主要圍繞幾大方面：

1、信息安全建設(shè)的新形勢；

2、數(shù)據(jù)庫安全現(xiàn)狀；

2、安全保密的建設(shè)依據(jù)；

3、數(shù)據(jù)庫安全技術(shù)路線。

信息安全建設(shè)新形勢——聚焦數(shù)據(jù)

最近幾年，信息安全建設(shè)的重點(diǎn)和焦點(diǎn)一直在發(fā)生動態(tài)轉(zhuǎn)移變化，從最初的邊界安全建設(shè)，到網(wǎng)絡(luò)安全建設(shè)，到主機(jī)的風(fēng)控，再到人員的管控，經(jīng)歷了幾個階段，每個階段都有新的需求出現(xiàn)。隨著數(shù)據(jù)資產(chǎn)價值的攀升，今天信息安全的防護(hù)焦點(diǎn)已經(jīng)從邊界安全防護(hù)轉(zhuǎn)移到了數(shù)據(jù)本身，作為數(shù)據(jù)的主要載體，數(shù)據(jù)庫系統(tǒng)的安全建設(shè)正在被越來越多的企業(yè)和組織所關(guān)注。

數(shù)據(jù)庫安全現(xiàn)狀

從目前的數(shù)據(jù)庫安全現(xiàn)狀看，即使涉密信息系統(tǒng)能夠得到企業(yè)和組織更多的重視，然而缺乏整體的數(shù)據(jù)庫安全防護(hù)仍然使涉密數(shù)據(jù)面臨不小的安全風(fēng)險(xiǎn)，從技術(shù)角度來看，數(shù)據(jù)庫本身會存在安全漏洞，加上很多單位還仍明文形式存儲涉密數(shù)據(jù)；另一方面，數(shù)據(jù)庫系統(tǒng)面臨內(nèi)部運(yùn)維人員、第三方外包人員和開發(fā)、測試人員等的多角色訪問，無形中加劇了可能存在的安全隱患。于是，我們經(jīng)常在媒體、網(wǎng)絡(luò)上看到數(shù)據(jù)泄露事件發(fā)生，這其中不乏涉及國家機(jī)密信息的安全事件。涉密系統(tǒng)的數(shù)據(jù)安全防護(hù)工作，需要在防范外部攻擊、內(nèi)部竊取等安全威脅的前提下，確保數(shù)據(jù)的正常使用和共享。

安全保密的建設(shè)依據(jù)——分保合規(guī)

涉密信息系統(tǒng)中存儲和使用的數(shù)據(jù)涉及國家機(jī)密信息，需要施行更高等級的安全防護(hù)措施。國家涉密信息系統(tǒng)分級保護(hù)政策中，從運(yùn)行管理、身份鑒別、訪問控制、安全審計(jì)、存儲加密和數(shù)據(jù)庫安全等方面進(jìn)行了一系列的技術(shù)和測評要求，并占據(jù)了較高的比重。

就企業(yè)安全建設(shè)現(xiàn)狀來看，目前數(shù)據(jù)庫安全對于涉密單位信息安全建設(shè)來說是核心和關(guān)鍵，使得真正處于核心層的敏感數(shù)據(jù)載體-數(shù)據(jù)庫的保障能力得到提升，抗攻擊能力進(jìn)一步增強(qiáng)，從而保障敏感信息的安全存儲與使用，讓數(shù)據(jù)安全保密工作真正由“短板”變成強(qiáng)項(xiàng)。

而真正滿足分保政策合規(guī)是涉密系統(tǒng)數(shù)據(jù)安全建設(shè)的基礎(chǔ)和前提。

數(shù)據(jù)庫安全技術(shù)路線

保密新形勢下的數(shù)據(jù)安全防護(hù)工作，同樣面臨著外部攻擊、內(nèi)部竊取的安全威脅，同時也要確保數(shù)據(jù)在共享、流轉(zhuǎn)過程中的安全使用。接下來，我們以某電子政務(wù)內(nèi)網(wǎng)的分保建設(shè)要求切入，了解安全保密工作與數(shù)據(jù)庫安全技術(shù)路線的映射關(guān)系。

1、安全域邊界防護(hù)

要求：安全域之間的邊界劃分明確，相互之間數(shù)據(jù)通信應(yīng)安全可控；不同等級的安全域間通信，有嚴(yán)格的流向要求。

解決：數(shù)據(jù)庫防火墻技術(shù)保障業(yè)務(wù)訪問安全，實(shí)現(xiàn)不同機(jī)密與之前的數(shù)據(jù)庫在正常訪問的情況下，同時實(shí)現(xiàn)安全域與安全域之間的安全可控；可禁止高等級安全域流向低等級。

2、數(shù)據(jù)存儲

要求：實(shí)現(xiàn)完整性檢測，防止非法篡改重要敏感數(shù)據(jù)。

解決：數(shù)據(jù)庫加密技術(shù)實(shí)現(xiàn)對涉密數(shù)據(jù)進(jìn)行加密存儲，并提供密文水?。环乐箶?shù)據(jù)文件級破壞、數(shù)據(jù)記錄級的行間篡改。

3、運(yùn)行安全

要求：對于數(shù)據(jù)庫用戶需要進(jìn)行身份鑒別，對于可疑的訪問行為進(jìn)行告警，能識別惡意代碼，并及時更新惡意代碼庫。

解決：數(shù)據(jù)庫漏掃工具：可以對數(shù)據(jù)庫的配置項(xiàng)進(jìn)行檢測，如登陸失敗的處理和失敗次數(shù)的選項(xiàng)設(shè)置，能夠在可疑身份多次登錄失敗時進(jìn)行告警，并且能夠檢測存儲過程、函數(shù)中存在的惡意代碼。

數(shù)據(jù)庫防火墻技術(shù)：基于SQL注入等漏洞特征庫，提供虛擬補(bǔ)丁等訪問控制功能，防范惡意攻擊。

4、訪問控制

要求：重要信息采用分類分級的強(qiáng)制訪問控制策略；做好精確的主體的訪問控制。

解決：這里可以考慮三種技術(shù)手段的結(jié)合：

1）數(shù)據(jù)資產(chǎn)梳理：涉密系統(tǒng)中對于數(shù)據(jù)的分級分類已有清晰的基礎(chǔ)，不同密級的信息應(yīng)當(dāng)采取不同的保護(hù)手段。如果數(shù)據(jù)規(guī)模龐大，可以使用動態(tài)梳理技術(shù)對數(shù)據(jù)的訪問來源、試用熱度、分布情況定進(jìn)行梳理，為下一步建立訪問控制策略打基礎(chǔ)。

2）數(shù)據(jù)庫防火墻：對數(shù)據(jù)庫用戶進(jìn)行強(qiáng)制訪問控制，實(shí)現(xiàn)唯一內(nèi)網(wǎng)接入通道，同時通過IP訪問控制規(guī)則，實(shí)現(xiàn)數(shù)據(jù)庫訪問安全保證

3）數(shù)據(jù)庫加密：對于密級程度較高的數(shù)據(jù)進(jìn)行加密存儲，數(shù)據(jù)按照列、行記錄可以分成不同的訪問級別，利用三權(quán)分立機(jī)制實(shí)現(xiàn)密文訪問的權(quán)限控制和校驗(yàn)。

5、安全審計(jì)

要求：審計(jì)記錄要全面，應(yīng)提供足夠的信息，并具備相應(yīng)的告警能力。增加對涉密信息的訪問事件審計(jì)，對于重要信息系統(tǒng)的審計(jì)要更精細(xì)化。

解決：數(shù)據(jù)庫審計(jì)技術(shù)提供數(shù)據(jù)庫全面操作的審計(jì)記錄，有閾值設(shè)置，自動告警，并支持審計(jì)記錄歸檔、及按最早時間進(jìn)行覆蓋的策略。包括日期、時間、IP地址、數(shù)據(jù)庫用戶等主體，表或存儲過程等客體，以及操作內(nèi)容、結(jié)果等。審計(jì)安全管理員的密文權(quán)限授予行為，記錄用戶權(quán)限變更事件；審計(jì)數(shù)據(jù)庫用戶對密文數(shù)據(jù)的增、刪、改、查操作行為。

我們以某電子政務(wù)內(nèi)網(wǎng)的安全需求入手，在滿足分級保護(hù)要求的基礎(chǔ)上，提供從邊界防護(hù)、數(shù)據(jù)存儲、運(yùn)行安全、訪問控制、到安全審計(jì)的數(shù)據(jù)安全建設(shè)思路，供大家參考。

另外，涉密信息系統(tǒng)中使用的安全保密產(chǎn)品原則上應(yīng)選國產(chǎn)設(shè)備，安全保密產(chǎn)品應(yīng)通過國家相應(yīng)主管部分授權(quán)的測評機(jī)構(gòu)的檢測。選擇國內(nèi)自主知識產(chǎn)權(quán)的信息安全產(chǎn)品，同時經(jīng)過國保局測評并取得涉密資質(zhì)。目前安華金和的數(shù)據(jù)庫加密、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫漏掃等都是滿足上述合規(guī)要求的安全保護(hù)產(chǎn)品。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。