《中華人民共和國數據安全法》頒布施行,數據安全保護正式被國家提升到了重要高度。《數據安全法》從數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放多個方面對數據的保護與利用進行了總體布局和戰略規劃,從而有效規范數據處理活動,保障數據安全,維護國家主權、安全和發展利益。
某市財政局作為管理財政的職能機構,信息化建設已經逐步完善,目前已有前置數據庫、直達資金監管系統、部標數據庫、集中財務系統、轉移支付系、電子決算系統、部標前置數據庫、OA達夢數據庫等。數據庫做為承載關鍵業務系統的核心和基礎,是最重要的數據資產。目前主要是通過傳統的網絡安安全防護手段構筑了一道安全防線,雖然在數據庫安全管控方面有堡壘機但對于數據安全保障而言仍有不足。
客戶需求分析
技術層面:通過堡壘機發起的數據庫運維操作,數據訪問追蹤信息出現斷層,無法定位到原始操作者的身份信息,造成取證不完整。
管理層面:現在維護人員的操作沒有做到細膩度監控,數據庫的維護工作基本都是外包或者是應用系統廠自行負責,數據庫維護過程沒有受到監管,一旦數據安全事件發生,無法追溯并定位真實的操作者;最高權限的濫用,讓數據安全變得更加脆弱,也讓責任劃分和威脅追蹤變得更加困難。
審計層面:現有的依賴于數據庫日志文件的審計方法,存在諸多的弊端。如:數據庫審計功能的開啟會影響數據庫本身的性能、數據庫日志文件本身存在被篡改的風險,難于體現審計信息的真實性,一旦有意外發生導致系統的崩潰,這些審計日志也隨之消失,管理人員無法得知系統到底發生了什么。
為貫徹落實國家法律法規要求,某市財政局積極開展數據安全防護提升工作,對財政局內部數據庫信息安全領域的深層次安全審計分析提出了需求,要針對數據庫進行安全審計專項建設。在此基礎上,某市財政局經過POC測試及溝通討論,最終與昂楷科技達成合作共識。
數據安全解決方案
本方案遵循“精準可視,安全可控”的設計思路,在市財政局部署一套數據庫審計系統,將數據庫安全審計貫穿在市財政局核心數據庫運行的全過程,彌補目前安全能力的短板,增強數據安全預警和溯源能力,使得管理人員可以對重要系統數據庫進行全方位的監測和審計工作,幫助市財政局提升內部風險控制水平。
市財政局數據庫在傳統物理服務器和新架構云環境中,本方案兼顧全流量采集,確保審計能覆蓋關鍵數據庫,同時支持華為麒麟ARM架構服務器上的數據庫進行審計。
數據庫審計與財政局現有堡壘機安全聯防,追蹤到由堡壘機發起的數據庫運維的原始操作者身份信息定位到人,解決數據訪問追蹤信息出現斷層的問題。
部署拓撲
流量采集是數據庫審計系統的基礎,只有做到數據庫訪問流量的全采集,才能保證數據庫審計的可用性和價值,市財政局流量采集方式主要有兩種:
鏡像方式:采用旁路部署通過鏡像方式獲取傳統IT架構數據庫的所有訪問流量。
agent方式:私有云環境,基于“agent方式捕獲數據庫訪問流量。
旁路鏡像+agent方式混合部署,如下圖:
客戶價值
建立完整的詮釋責任認定體系,通過穩定而成熟的審計技術,可以建立起一個行為不可抵賴、數據可靠,完整并且強有力的責任認定體系。
數據庫審計和堡壘機協同工作,相互補充,安全價值最大化。
兼容X86環境和信創環境數據庫的安全審計,避免重復采購。
滿足國家《網絡安全法》、《數據安全法》、《等保2.0》以及行業規定中對于數據庫審計的合規性需求,并可根據需求形成不同的審計報表。
從業務流程角度出發,為防止違規操作奠定了技術手段,實現“教育為先、制度為主、技術為輔”多管齊下的管理要求。
