某省發改委數據安全解決方案

一、需求

經過多年的發展，該省發改委機房建設初具規模，其上運行著 該 省投資項目在線審批監管平臺、 該 省固定資產投資項目“兩庫”管理平臺、 該 省信用信息公共服務平臺，信息系統的建設應用了當前主流的硬件和應用軟件平臺。從網絡上可以分為電子政府外網和互聯網兩大塊。

電子政務外網接受全省的廳局接入，邊界上設置了啟XXX的USG-FW-12600GP作為核心交換域防火墻，核心交換機與應用服務器之間也設置了啟XXX的USG-FW-12600GP作為應用安全域防火墻，核心交換機與數據庫服務器之間設置了啟XXX的USG-FW-12600作為數據安全域防火墻。核心交換區設置了AF-1860-IPS入侵檢測。

互聯網邊界由外到核心交換機之間依次設置了天XX的DDOS設備，網XNF1000出口防火墻，AF-1860-IPS入侵防御，天XXWAF防火墻TWF-6213。

電子政務外網和互聯網之間設置了網XNF3000千兆邊界防火墻、啟XXXUSG-FW-2000GP千兆邊界防火墻、天XXTOPACM5000網絡行為審計、天XXTOPScanner7000漏洞掃描作為邊界防護。

二、方案

基于當前發改委信息系統拓撲圖，嵌入我們的數據安全設備，形成如下解決方案：

由上圖所示，對電子政務外網和互聯網的數據庫安全域分別布署我們的數據安全產品，電子政務外網相對來說更重要，架構上使用了雙鏈路，布署我們的產品中時略有不同：

（一）電子政務外網方案：

1、在數據庫安全域前面的雙鏈路上分別串接數據庫防火墻系統，對數據庫的訪問請求進行過濾，對于可疑請求進行告警，對于刪庫、刪表、清庫等惡意操作或者誤操作的數據庫指令進行阻斷；

2、 在數據庫安全域前面的接入交換機上布署數據庫審計系統，對數據庫的訪問請求進行日志記錄，一方面起到威懾作用，一方面在出問題后便于溯源:

1）可利用交換機旁路鏡像端口實現對載體為物理機的數據庫的訪問進行審計（最佳方式）；

2）可利用布署于虛擬機中數據庫所在操作系統中的軟件探針（一種包轉發程序），將數據庫訪問流量轉發至審計系統，實現對虛擬機中數據庫的訪問審計；

3）對于已經設置了數據庫防火墻的數據庫，也可以將防火墻的日志直接轉發至審計服務器實現審計。

3、在安全管理域布署態勢感知服務器，它與數據庫審計路由可達，能在大屏上用圖表的方式顯示：

1)敏感數據在哪里

2)敏感數據去哪了

3)誰在訪問敏感數據

4、在數據庫安全域前面的接入交換機上布署數據庫加密系統，對各數據庫表中敏感數據進行加密，將明文數據變成密文存儲，從根本上杜絕數據泄露的風險；

5 、 在數據庫安全域前面的接入交換機上布署數據庫實時脫敏系統，對業務系統中非必要的敏感數據顯示進行脫敏處理，對于沒有業務查詢權限的數據庫用戶的查詢結果進行脫敏處理，對于運維相關的數據庫查詢結果進行脫敏處理；

6、在數據庫安全域前面的接入交換機上布署數據庫批量脫敏系統，為開發測試以及培訓區批量的提供經過處理的準真實數據（格式不變，不影響開發測試的假數據）。

（ 二）互聯網方案 ：

1 、 在數據庫安全域前面串接 數據庫防火墻系統(雙機熱備，兩臺防火墻服務器管理口連到同一交換機的同一vlan下，互為備份，一臺失效，另一臺立即接管)，對數據庫訪問請求進行過濾，對于可疑請求進行告警，對于刪庫、刪表、清庫等惡意操作或者誤操作的數據庫指令進行阻斷；

2、在數據庫安全域前面的接入交換機上布署數據庫審計系統，同電子政務外網一樣的方式實現審計和數據安全態勢感知。 

三、價值

具體來說，數據庫安全加固系統可以帶來如下價值：

1 、簡化業務治理，提高數據安全管理能力 。由于數據庫系統是一個復雜的軟件“黑盒子”，其可視化程度很低。數據庫管理員很難說清：在任意時刻數據被訪問的情況，這對業務治理帶來了很大的困難。尤其在云環境中，這種不可視化程度更加嚴重。公司產品通過多種手段全面監控數據的訪問情況，并提供豐富的預設統計報表，以圖形化的方式將數據的訪問情況和風險情況可視化，進而提供訪問控制能力，極大的簡化了業務治理，提高了數據安全管理能力。

2 、完善縱深防御體系，提升整體安全防護能力 。建立縱深的防御體系已是信息安全建設的共識。數據庫到應用系統這一段，是信息安全的最后一公里，也是最后一道防線，涉及的是最直接的敏感數據安全管理，直接關系到敏感數據的安全。同時，在數據/業務層加強安全防護，也逐步成為信息安全的新方向。公司系統緊貼核心數據，針對信息安全的最后一公里以及數據/業務層提供豐富的防護手段，有利于完善縱深防御體系，提升整體安全防護能力。

3 、減少核心數據資產被侵犯，保障業務連續性 。信息系統最有價值的資產是數據，而數據也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心數據被侵犯，輕者導致業務中斷，重者導致泄密和篡改，嚴重影響企事業單位的聲譽乃至生存，圍繞核心數據的攻防對抗將長期存在。公司系統產品緊密貼合數據，提供數據發現、風險評估、審計、防火墻、加密等手段，實現數據安全的可視性和可控性，并最終減少核心數據資產被侵犯的可能性，保障正常的業務。

從訪問數據庫的SQL語句級別和查看數據庫的字段級別進行防控， 從根源上徹底防止了 SQL 注入等攻擊 。

4 、滿足合規要求 ，快速通過評測。產品實現獨立的審計和訪問控制，直接輸出合規的報表，滿足政府機構多個法規和標準的要求，快速通過各種安全保密檢查和評測，比如等保評測。

綜上所述，中安威士數據安全產品，可有針對性的對重要敏感數據提供了全方位，全天候的保護。