2023年8月1日发(作者:)
⽅案⼁电⼦政务外⽹数据库安全防护⽅案⾏业需求与挑战电⼦政务外⽹系统主要包括政府单位门户⽹站、公共服务系统类型的政务公⽤⽹络;系统分为中央、省、市、县四级电⼦政务外⽹平台。通过对各业务系统及各层级政务平台的安全状况进⾏梳理,我们将⽬前电⼦政务外⽹⾯临的安全风险和需求归纳为以下⼏点:传统防护薄弱传统的⽹络防⽕墙及⼊侵保护系统等,由于不具备对数据库通讯协议的解析能⼒,⽆法实现对数据库访问⾏为的细粒度审计和防护。安全配置缺陷对于数据库系统中的默认配置、⾼危程序、弱⼝令、权限分配过⾼等配置缺陷缺乏严格的检查及相应的优化,可能导致内部⽤户的⾮法访问或越权操作。外部⿊客攻击数据库系统本⾝存在多种安全漏洞,加之电⼦政务系统平台需要对外开放访问接⼝,外部⿊客可以通过漏洞攻击或SQL注⼊的⽅式对数据库进⾏攻击。内部违规操作第三⽅⼈员、下级单位、运维⼈员、外包⼈员都有权限访问数据库⾼权限账户,可以对数据库进⾏增删改查等操作,缺乏对此类操作的管控将可能导致数据被篡改、泄漏等风险。安全取证困难数据库系统中,数据库⾃⾝的⽇志系统可以实时或⾮实时的记录侵⼊者,但是数据库系统遭受⼊侵和⾮授权操作时,攻击者也可获取到数据库系统⾼权限账户,这样可以有选择的删除部分或全部审计⽇志,导致⽆法准确回溯破坏和泄露⾏为,对⽇后调查取证造成严重阻碍。政策性要求电⼦政务外⽹需要符合国家颁布的相关等级保护要求,其中对数据库系统的访问⾏为审计、数据安全性等⽅⾯提出了明确的安全防护要求。⽅案概述对电⼦政务外⽹的数据库系统实现数据动态监管,⾃动化完成对数据的定期检查,针对为安全管理⼈员、数据管理员和受控⼈员建⽴敏感数据安全管控的平台。将数据的类型及敏感程度进⾏整体管理,并针对不同级别的数据的操作及流转进⾏管理、审计,可以将数据分布情况以及使⽤情况进⾏可视化处理,⽣成数据分析报告,并依托分析报告完成数据安全风险评估,最终做出合理建议,为电⼦政务外⽹提升数据库安全管理⼯作⽔平。检查预警-安全状况检查通过部署数据库漏洞扫描系统,对电⼦政务外⽹中的核⼼数据库进⾏安全状况检查,包括相关数据库安全漏洞、安全配置、弱⼝令、缺省⼝令、补丁更新、脆弱代码、程序后门等检测项,有效评估后建⽴数据库安全基线。,并提供加固建议。主动防御-访问控制防护电⼦政务外⽹的业务应⽤系统种类繁多,其中不乏有需要对公众开放的系统,⽽WEB服务器被暴露在⽹络之中,攻击者对WEB服务器进⾏⽹段扫描很容易得到后台数据的IP和开放端⼝。对这样的隐患进⾏数据库级别的访问⾏为控制、危者对WEB服务器进⾏⽹段扫描很容易得到后台数据的IP和开放端⼝。对这样的隐患进⾏数据库级别的访问⾏为控制、危险操作阻断、可疑⾏为拦截,⾯对来⾃于外部的⼊侵⾏为,提供防SQL注⼊禁⽌和数据库虚拟补订包功能;通过虚拟补丁防护,保证数据库系统不⽤升级、打补丁,即可完成对主要数据库漏洞的防控。有效的保护后台数据库不暴露在复杂的⽹络环境中,构建数据库的安全防护。事后追查,数据流向监控对于电⼦政务外⽹存在的批量导出敏感数据的“刷库”⾏为,需要构建应⽤的⾏为模型,通过数据库审计系统学习模式,在学习期内将合法应⽤的SQL语句全部捕获,统⼀放到“⽩名单”⾥,防⽌合法语句被误报,学期完善期后切换到保护期,此时如果出现了通过Web⽹站批量导出敏感数据的⾏为,会被数据库审计系统识别并进⾏风险⾏为告警,让安全管理员第⼀时间了解电⼦政务外⽹系统的风险情况。通过数据库审计系统帮助安全管理员建⽴数据库的“摄像头”, 对数据库协议进⾏精确识别,记录和回放电⼦政务外⽹数据库的攻击、篡改、批量、误操作等风险⾏为,提升数据库的安全监控和溯源能⼒,为事后追溯定责提供准确依据。⼗九⼤召开在即,作为数据安全企业,我们针对覆盖各级政府机构的电⼦政务外⽹的数据安全提供细粒度到数据库安全层⾯的整体解决⽅案,以期通过专业的视⾓和业务实践经验分享来推动电⼦政务外⽹的数据安全建设。
2023年8月1日发(作者:)
⽅案⼁电⼦政务外⽹数据库安全防护⽅案⾏业需求与挑战电⼦政务外⽹系统主要包括政府单位门户⽹站、公共服务系统类型的政务公⽤⽹络;系统分为中央、省、市、县四级电⼦政务外⽹平台。通过对各业务系统及各层级政务平台的安全状况进⾏梳理,我们将⽬前电⼦政务外⽹⾯临的安全风险和需求归纳为以下⼏点:传统防护薄弱传统的⽹络防⽕墙及⼊侵保护系统等,由于不具备对数据库通讯协议的解析能⼒,⽆法实现对数据库访问⾏为的细粒度审计和防护。安全配置缺陷对于数据库系统中的默认配置、⾼危程序、弱⼝令、权限分配过⾼等配置缺陷缺乏严格的检查及相应的优化,可能导致内部⽤户的⾮法访问或越权操作。外部⿊客攻击数据库系统本⾝存在多种安全漏洞,加之电⼦政务系统平台需要对外开放访问接⼝,外部⿊客可以通过漏洞攻击或SQL注⼊的⽅式对数据库进⾏攻击。内部违规操作第三⽅⼈员、下级单位、运维⼈员、外包⼈员都有权限访问数据库⾼权限账户,可以对数据库进⾏增删改查等操作,缺乏对此类操作的管控将可能导致数据被篡改、泄漏等风险。安全取证困难数据库系统中,数据库⾃⾝的⽇志系统可以实时或⾮实时的记录侵⼊者,但是数据库系统遭受⼊侵和⾮授权操作时,攻击者也可获取到数据库系统⾼权限账户,这样可以有选择的删除部分或全部审计⽇志,导致⽆法准确回溯破坏和泄露⾏为,对⽇后调查取证造成严重阻碍。政策性要求电⼦政务外⽹需要符合国家颁布的相关等级保护要求,其中对数据库系统的访问⾏为审计、数据安全性等⽅⾯提出了明确的安全防护要求。⽅案概述对电⼦政务外⽹的数据库系统实现数据动态监管,⾃动化完成对数据的定期检查,针对为安全管理⼈员、数据管理员和受控⼈员建⽴敏感数据安全管控的平台。将数据的类型及敏感程度进⾏整体管理,并针对不同级别的数据的操作及流转进⾏管理、审计,可以将数据分布情况以及使⽤情况进⾏可视化处理,⽣成数据分析报告,并依托分析报告完成数据安全风险评估,最终做出合理建议,为电⼦政务外⽹提升数据库安全管理⼯作⽔平。检查预警-安全状况检查通过部署数据库漏洞扫描系统,对电⼦政务外⽹中的核⼼数据库进⾏安全状况检查,包括相关数据库安全漏洞、安全配置、弱⼝令、缺省⼝令、补丁更新、脆弱代码、程序后门等检测项,有效评估后建⽴数据库安全基线。,并提供加固建议。主动防御-访问控制防护电⼦政务外⽹的业务应⽤系统种类繁多,其中不乏有需要对公众开放的系统,⽽WEB服务器被暴露在⽹络之中,攻击者对WEB服务器进⾏⽹段扫描很容易得到后台数据的IP和开放端⼝。对这样的隐患进⾏数据库级别的访问⾏为控制、危者对WEB服务器进⾏⽹段扫描很容易得到后台数据的IP和开放端⼝。对这样的隐患进⾏数据库级别的访问⾏为控制、危险操作阻断、可疑⾏为拦截,⾯对来⾃于外部的⼊侵⾏为,提供防SQL注⼊禁⽌和数据库虚拟补订包功能;通过虚拟补丁防护,保证数据库系统不⽤升级、打补丁,即可完成对主要数据库漏洞的防控。有效的保护后台数据库不暴露在复杂的⽹络环境中,构建数据库的安全防护。事后追查,数据流向监控对于电⼦政务外⽹存在的批量导出敏感数据的“刷库”⾏为,需要构建应⽤的⾏为模型,通过数据库审计系统学习模式,在学习期内将合法应⽤的SQL语句全部捕获,统⼀放到“⽩名单”⾥,防⽌合法语句被误报,学期完善期后切换到保护期,此时如果出现了通过Web⽹站批量导出敏感数据的⾏为,会被数据库审计系统识别并进⾏风险⾏为告警,让安全管理员第⼀时间了解电⼦政务外⽹系统的风险情况。通过数据库审计系统帮助安全管理员建⽴数据库的“摄像头”, 对数据库协议进⾏精确识别,记录和回放电⼦政务外⽹数据库的攻击、篡改、批量、误操作等风险⾏为,提升数据库的安全监控和溯源能⼒,为事后追溯定责提供准确依据。⼗九⼤召开在即,作为数据安全企业,我们针对覆盖各级政府机构的电⼦政务外⽹的数据安全提供细粒度到数据库安全层⾯的整体解决⽅案,以期通过专业的视⾓和业务实践经验分享来推动电⼦政务外⽹的数据安全建设。
发布评论