当前,利用大数据促进经济社会转型发展已经成为党和国家领导的共识。某省级大数据平台的建设基于《中国制造2025》等政策要求,是以国务院2015年出台的《促进大数据发展行动纲要》为建设指导,以实现显著的社会效能为驱动的一项省级先行实践项目。下面,我们通过该省级大数据平台安全建设思路一窥国家在电子政务领域的信息化网络建设路径,从宏观层面了解数据共享时代,国家如何借助信息化建设来推动政务便捷高效运行。
该省级大数据平台项目有几个清晰的建设方向:
1、整合政府各类信息平台和信息系统的信息资源和互联网相关数据资源;
2、打造功能强大完备的省级政务数据资源中心;
3、建成性能适度超前的省级政务大数据处理平台;
4、开展示范大数据应用项目,向政府和社会提供优质的信息咨询服务、信息惠民服务和政务大数据应用支撑服务。当前,接入资源包含七大类:人口库、法人库、空间地理库、宏观经济库、政务信息库、信用信息库、互联网数据库;
5、该项目的安全保障体系建设是重中之重。政府部门掌握着大量公共数据,这些内容不仅涉及政府机密,也包含企业商密和个人隐私,建设可管理、可追溯的安全体系是整个大数据平台项目中的重要部分。
铁打的营盘流水的兵,数据库作为流动数据的大本营,需要确保其安全达到一定要求,比如需要按照等级保护三级要求建设;通过建立安全防护、安全审计、数据备份、应急响应、灾难恢复等安全保障机制,有效保障业务持续性和数据安全性。
该省级政务大数据平台建设迫切需要解决的问题有四:
数据库无防护措施;
敏感数据明文存储;
生产环境中的数据库系统存在安全漏洞;
缺乏有效管理审计手段。
用户对于该省级大数据平台的数据安全建设要求主要包括以下几点:
防止明文存储引起的数据泄漏;
防止突破边界防护的外部黑客攻击;
防止利用操作系统漏洞和数据系统漏洞获取数据文件;
防止内部高权限用户的数据窃取;
防止绕开应用系统非法访问数据库。
从根源上防止敏感数据泄漏,保护数据库运行安全。
对于以上安全需求,结合用户应用和运维侧的实际场景,安华金和提出:事前数据透明加密保护、事中主动防御、事后审计的全方位主动防御方案:
数据库加解密
功能需求:通过数据库加密系统实现对数据库列级加密、数据库元数据加密,可以支持业界主流的数据库,而且能实现密文模糊查询等功能。
部署方式:数据库加密设备采用旁路部署方式,直连交换机即可,数据库加密设备需要保证数据库和加密设备之间网络可达,即管理口ip可以访问被加密数据库,2台加密设备对敏感数据进行加密和解密。
数据库防火墙
功能需求:通过数据库专业防火墙,防sql注入,实现访问控制、权限控制、权限学习、阻断和审计、sql学习、数据列控制以及sql query关键字控制。
部署方式:采用代理双活模式进行部署,直连汇聚交换机即可。此方式需要在数据库客户端和应用服务器端增加防火墙代理口的连接配置,客户端和应用服务器根据数据库连接信息自主选择数据库进行连接。
数据库审计
功能需求:通过采用数据库审计能有效防止数据解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求,主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、超长sql审计、安全事件回放、审计对象管理、多形式的预警机制、系统配置管理”等几个部分。
部署方式:采用旁路部署方式,直连交换机即可,数据库审计设备需要将连接数据库的接口流量镜像一份到审计设备的业务口,来实现审计对数据库流量的获取。
安华金和参与本次省级大数据平台项目的安全建设环节,用专业的安全建设思路指导项目安全建设实施,以专业的技术、产品和服务保障了该省级大数据平台项目数据库安全建设需求。此次项目中积累的实践经验可供后续省级政府此类项目借鉴参考。
试用申请