案例分享 | 某省政务云数据安全防护体系建设实践
当前,伴随云计算、大数据等新型信息化技术的飞速发展,我国陆续出台多项政策,为数字政府的建设勾画了蓝图。数字政府建设是数字中国战略的重中之重,作为数字政府建设的第一步,政务云是重要的建设根基,是提升政府在社会服务,公共服务等方面履职能力的关键一环。
此背景下,我国西南某省近年来抢抓新一代信息技术、信息产业发展机遇,打造全省政务中心和云计算中心,使用功能涵盖了省政务信息中心、云计算中心、办公业务用房及交易大厅等。
一、需求背景
政务云中的政务数据保护是关系到其能否安全可靠的对外提供服务的关键。按照《网络安全法》和《数据安全法》等国家相关安全法规建设要求,该省现对“党建云”按照“一个中心、三重防护”的要求进行云内安全改造。
云内安全改造采用管理平台、控制平台和业务平台分布式架构设计,主要由管理模块、控制模块和业务模块组成。在需要进行安全保护的核心政务数据前端部署相关模块,负责执行针对后期数据库集群约2000个库的安全功能,如访问控制、安全防护等。
通过建设云内数据安全防护系统,实现“党建云”内的安全可视、安全可控、安全可审计的需求。同时完善“党建云”的安全防护体系,全面提升“党建云”安全保护水平。
二、解决方案
根据上述需求,本次项目在应用侧和数据库集群中间串联部署数据库防火墙(Database Firewall),采用主动防御技术能够主动实时监控、识别、告警、阻断绕过企业网络边界防护的外部数据攻击、来自于内部的高权限用户的数据窃取、破坏等,从数据库SQL语句精准语义分析的技术层面,提供一种主动安全防御措施,真正做到事前阻断、事中防护和预警、事后追溯数据库全生命周期防御,保障数据库安全。
对已知SQL注入分别归档黑白名单,对白名单设置审计类策略或不审计直接放行策略,对黑名单设置完全阻断策略。通过语法描述分析SQL注入攻击不同时期的行为特征,构建SQL注入特征库。对不在SQL白名单的SQL语句进行SQL注入特征匹配,对符合SQL注入特征的依据设定的风险等级进行相应的阻断处置。
针对数据库的漏洞问题,提供了虚拟补丁的功能,虚拟补丁在无需修补数据库内核漏洞的情况下,可以保护数据库的安全。在数据库外创建了一个安全层,通过在防火墙上安装虚拟补丁,能够检测对漏洞的尝试利用,并消除对可疑事务的操作。
数据库的外部攻击主要为撞库、DDOS攻击、拖库等,数据库防火墙提供外部攻击的检测和防御。对于撞库攻击,数据库防火墙建立用户信息白名单,限制同一个用户特征的请求次数和请求频率来防止。
方案亮点
保护外网政务服务、数据库以及核心数据安全,有效抵御各种数据库攻击行为;
基于机器学习构建和完善数据库SQL特征库,提供灵活、便利的策略定制;
主动式检测和防御,及时发现针对数据库攻击行为和安全隐患。
三、客户收益
此次建设,通过美创数据库防火墙进行全面的检测和防御,有效阻断数据库的漏洞攻击和基于业务系统漏洞的SQL注入攻击,同时针对于敏感SQL、高频次访问等做到合理控制,根据风险感知平台实时监控数据库运行状态,提供有效告警通知,实现事前检测、事中阻断、事后审计、追责溯源。
在满足等保、数据安全等的合规要求的前提下,建设基于零信任安全的安全防护体系和技术手段,为政务信息化提供多层次安全防护,助力该省“数字政府”、数字强省建设加速迈向全国前列。
请输入标题
请输入标题