电子政务外网数据库安全防护方案-凯发k8游戏

行业需求与挑战

电子政务外网系统主要包括政府单位门户网站、公共服务系统类型的政务公用网络；系统分为中央、省、市、县四级电子政务外网平台。通过对各业务系统及各层级政务平台的安全状况进行梳理，我们将目前电子政务外网面临的安全风险和需求归纳为以下几点：

传统防护薄弱

传统的网络防火墙及入侵保护系统等，由于不具备对数据库通讯协议的解析能力，无法实现对数据库访问行为的细粒度审计和防护。

安全配置缺陷

对于数据库系统中的默认配置、高危程序、弱口令、权限分配过高等配置缺陷缺乏严格的检查及相应的优化，可能导致内部用户的非法访问或越权操作。

外部黑客攻击

数据库系统本身存在多种安全漏洞，加之电子政务系统平台需要对外开放访问接口，外部黑客可以通过漏洞攻击或sql注入的方式对数据库进行攻击。

内部违规操作

第三方人员、下级单位、运维人员、外包人员都有权限访问数据库高权限账户，可以对数据库进行增删改查等操作，缺乏对此类操作的管控将可能导致数据被篡改、泄漏等风险。

安全取证困难

数据库系统中，数据库自身的日志系统可以实时或非实时的记录侵入者，但是数据库系统遭受入侵和非授权操作时，攻击者也可获取到数据库系统高权限账户，这样可以有选择的删除部分或全部审计日志，导致无法准确回溯破坏和泄露行为，对日后调查取证造成严重阻碍。

政策性要求

电子政务外网需要符合国家颁布的相关等级保护要求，其中对数据库系统的访问行为审计、数据安全性等方面提出了明确的安全防护要求。

方案概述

对电子政务外网的数据库系统实现数据动态监管，自动化完成对数据的定期检查，针对为安全管理人员、数据管理员和受控人员建立敏感数据安全管控的平台。将数据的类型及敏感程度进行整体管理，并针对不同级别的数据的操作及流转进行管理、审计，可以将数据分布情况以及使用情况进行可视化处理，生成数据分析报告，并依托分析报告完成数据安全风险评估，最终做出合理建议，为电子政务外网提升数据库安全管理工作水平。

检查预警-安全状况检查

通过部署数据库漏洞扫描系统，对电子政务外网中的核心数据库进行安全状况检查，包括相关数据库安全漏洞、安全配置、弱口令、缺省口令、补丁更新、脆弱代码、程序后门等检测项，有效评估后建立数据库安全基线。，并提供加固建议。

主动防御-访问控制防护

电子政务外网的业务应用系统种类繁多，其中不乏有需要对公众开放的系统，而web服务器被暴露在网络之中，攻击者对web服务器进行网段扫描很容易得到后台数据的ip和开放端口。对这样的隐患进行数据库级别的访问行为控制、危险操作阻断、可疑行为拦截，面对来自于外部的入侵行为，提供防sql注入禁止和数据库虚拟补订包功能；通过虚拟补丁防护，保证数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防控。有效的保护后台数据库不暴露在复杂的网络环境中，构建数据库的安全防护。

事后追查，数据流向监控

对于电子政务外网存在的批量导出敏感数据的“刷库”行为，需要构建应用的行为模型，通过数据库审计系统学习模式，在学习期内将合法应用的sql语句全部捕获，统一放到“白名单”里，防止合法语句被误报，学期完善期后切换到保护期，此时如果出现了通过web网站批量导出敏感数据的行为，会被数据库审计系统识别并进行风险行为告警，让安全管理员第一时间了解电子政务外网系统的风险情况。

通过数据库审计系统帮助安全管理员建立数据库的“摄像头”， 对数据库协议进行精确识别，记录和回放电子政务外网数据库的攻击、篡改、批量、误操作等风险行为，提升数据库的安全监控和溯源能力，为事后追溯定责提供准确依据。

十九大召开在即，作为数据安全企业，我们针对覆盖各级政府机构的电子政务外网的数据安全提供细粒度到数据库安全层面的整体凯发k8游戏的解决方案，以期通过专业的视角和业务实践经验分享来推动电子政务外网的数据安全建设。