項目背景

當(dāng)前，利用大數(shù)據(jù)促進(jìn)經(jīng)濟(jì)社會轉(zhuǎn)型發(fā)展已經(jīng)成為黨和國家領(lǐng)導(dǎo)的共識。某省級大數(shù)據(jù)平臺的建設(shè)基于《中國制造2025》等政策要求，是以國務(wù)院2015年出臺的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》為建設(shè)指導(dǎo)，以實現(xiàn)顯著的社會效能為驅(qū)動的一項省級先行實踐項目。下面，我們通過該省級大數(shù)據(jù)平臺安全建設(shè)思路一窺國家在電子政務(wù)領(lǐng)域的信息化網(wǎng)絡(luò)建設(shè)路徑，從宏觀層面了解數(shù)據(jù)共享時代，國家如何借助信息化建設(shè)來推動政務(wù)便捷高效運行。

項目建設(shè)目標(biāo)

該省級大數(shù)據(jù)平臺項目有幾個清晰的建設(shè)方向：

1、整合政府各類信息平臺和信息系統(tǒng)的信息資源和互聯(lián)網(wǎng)相關(guān)數(shù)據(jù)資源；

2、打造功能強大完備的省級政務(wù)數(shù)據(jù)資源中心；

3、建成性能適度超前的省級政務(wù)大數(shù)據(jù)處理平臺；

4、開展示范大數(shù)據(jù)應(yīng)用項目，向政府和社會提供優(yōu)質(zhì)的信息咨詢服務(wù)、信息惠民服務(wù)和政務(wù)大數(shù)據(jù)應(yīng)用支撐服務(wù)。當(dāng)前，接入資源包含七大類：人口庫、法人庫、空間地理庫、宏觀經(jīng)濟(jì)庫、政務(wù)信息庫、信用信息庫、互聯(lián)網(wǎng)數(shù)據(jù)庫；

5、該項目的安全保障體系建設(shè)是重中之重。政府部門掌握著大量公共數(shù)據(jù)，這些內(nèi)容不僅涉及政府機(jī)密，也包含企業(yè)商密和個人隱私，建設(shè)可管理、可追溯的安全體系是整個大數(shù)據(jù)平臺項目中的重要部分。

鐵打的營盤流水的兵，數(shù)據(jù)庫作為流動數(shù)據(jù)的大本營，需要確保其安全達(dá)到一定要求，比如需要按照等級保護(hù)三級要求建設(shè)；通過建立安全防護(hù)、安全審計、數(shù)據(jù)備份、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等安全保障機(jī)制，有效保障業(yè)務(wù)持續(xù)性和數(shù)據(jù)安全性。

安全挑戰(zhàn)

該省級政務(wù)大數(shù)據(jù)平臺建設(shè)迫切需要解決的問題有四：

數(shù)據(jù)庫無防護(hù)措施；

敏感數(shù)據(jù)明文存儲；

生產(chǎn)環(huán)境中的數(shù)據(jù)庫系統(tǒng)存在安全漏洞；

缺乏有效管理審計手段。

用戶對于該省級大數(shù)據(jù)平臺的數(shù)據(jù)安全建設(shè)要求主要包括以下幾點：

防止明文存儲引起的數(shù)據(jù)泄漏；

防止突破邊界防護(hù)的外部黑客攻擊；

防止利用操作系統(tǒng)漏洞和數(shù)據(jù)系統(tǒng)漏洞獲取數(shù)據(jù)文件；

防止內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊��；

防止繞開應(yīng)用系統(tǒng)非法訪問數(shù)據(jù)庫。

從根源上防止敏感數(shù)據(jù)泄漏，保護(hù)數(shù)據(jù)庫運行安全。

解決方案

對于以上安全需求，結(jié)合用戶應(yīng)用和運維側(cè)的實際場景，918搏天堂提出：事前數(shù)據(jù)透明加密保護(hù)、事中主動防御、事后審計的全方位主動防御方案：

數(shù)據(jù)庫加解密

功能需求：通過數(shù)據(jù)庫加密系統(tǒng)實現(xiàn)對數(shù)據(jù)庫列級加密、數(shù)據(jù)庫元數(shù)據(jù)加密，可以支持業(yè)界主流的數(shù)據(jù)庫，而且能實現(xiàn)密文模糊查詢等功能。

部署方式：數(shù)據(jù)庫加密設(shè)備采用旁路部署方式，直連交換機(jī)即可，數(shù)據(jù)庫加密設(shè)備需要保證數(shù)據(jù)庫和加密設(shè)備之間網(wǎng)絡(luò)可達(dá)，即管理口IP可以訪問被加密數(shù)據(jù)庫，2臺加密設(shè)備對敏感數(shù)據(jù)進(jìn)行加密和解密。

數(shù)據(jù)庫防火墻

功能需求：通過數(shù)據(jù)庫專業(yè)防火墻，防SQL注入，實現(xiàn)訪問控制、權(quán)限控制、權(quán)限學(xué)習(xí)、阻斷和審計、sql學(xué)習(xí)、數(shù)據(jù)列控制以及SQL QUERY關(guān)鍵字控制。

部署方式：采用代理雙活模式進(jìn)行部署，直連匯聚交換機(jī)即可。此方式需要在數(shù)據(jù)庫客戶端和應(yīng)用服務(wù)器端增加防火墻代理口的連接配置，客戶端和應(yīng)用服務(wù)器根據(jù)數(shù)據(jù)庫連接信息自主選擇數(shù)據(jù)庫進(jìn)行連接。

數(shù)據(jù)庫審計

功能需求：通過采用數(shù)據(jù)庫審計能有效防止數(shù)據(jù)解決數(shù)據(jù)庫信息安全領(lǐng)域的深層次、應(yīng)用及業(yè)務(wù)邏輯層面的安全問題及審計需求，主要的功能模塊包括“靜態(tài)審計、實時監(jiān)控與風(fēng)險控制、實時審計、雙向?qū)徲�、超長SQL審計、安全事件回放、審計對象管理、多形式的預(yù)警機(jī)制、系統(tǒng)配置管理”等幾個部分。

部署方式：采用旁路部署方式，直連交換機(jī)即可，數(shù)據(jù)庫審計設(shè)備需要將連接數(shù)據(jù)庫的接口流量鏡像一份到審計設(shè)備的業(yè)務(wù)口，來實現(xiàn)審計對數(shù)據(jù)庫流量的獲取。

918搏天堂參與本次省級大數(shù)據(jù)平臺項目的安全建設(shè)環(huán)節(jié)，用專業(yè)的安全建設(shè)思路指導(dǎo)項目安全建設(shè)實施，以專業(yè)的技術(shù)、產(chǎn)品和服務(wù)保障了該省級大數(shù)據(jù)平臺項目數(shù)據(jù)庫安全建設(shè)需求。此次項目中積累的實踐經(jīng)驗可供后續(xù)省級政府此類項目借鑒參考。