項目背景
當前,利用大數(shù)據(jù)促進經濟社會轉型發(fā)展已經成為黨和國家領導的共識。某省級大數(shù)據(jù)平臺的建設基于《中國制造2025》等政策要求���,是以國務院2015年出臺的《促進大數(shù)據(jù)發(fā)展行動綱要》為建設指導,以實現(xiàn)顯著的社會效能為驅動的一項省級先行實踐項目����。下面,我們通過該省級大數(shù)據(jù)平臺安全建設思路一窺國家在電子政務領域的信息化網絡建設路徑��,從宏觀層面了解數(shù)據(jù)共享時代����,國家如何借助信息化建設來推動政務便捷高效運行。
項目建設目標
該省級大數(shù)據(jù)平臺項目有幾個清晰的建設方向:
1�、整合政府各類信息平臺和信息系統(tǒng)的信息資源和互聯(lián)網相關數(shù)據(jù)資源;
2��、打造功能強大完備的省級政務數(shù)據(jù)資源中心�����;
3����、建成性能適度超前的省級政務大數(shù)據(jù)處理平臺;
4�、開展示范大數(shù)據(jù)應用項目��,向政府和社會提供優(yōu)質的信息咨詢服務��、信息惠民服務和政務大數(shù)據(jù)應用支撐服務����。當前����,接入資源包含七大類:人口庫、法人庫�、空間地理庫、宏觀經濟庫�、政務信息庫、信用信息庫��、互聯(lián)網數(shù)據(jù)庫��;
5�、該項目的安全保障體系建設是重中之重。政府部門掌握著大量公共數(shù)據(jù)��,這些內容不僅涉及政府機密����,也包含企業(yè)商密和個人隱私����,建設可管理��、可追溯的安全體系是整個大數(shù)據(jù)平臺項目中的重要部分�����。
鐵打的營盤流水的兵���,數(shù)據(jù)庫作為流動數(shù)據(jù)的大本營,需要確保其安全達到一定要求����,比如需要按照等級保護三級要求建設;通過建立安全防護�、安全審計、數(shù)據(jù)備份�、應急響應、災難恢復等安全保障機制�,有效保障業(yè)務持續(xù)性和數(shù)據(jù)安全性。
安全挑戰(zhàn)
該省級政務大數(shù)據(jù)平臺建設迫切需要解決的問題有四:
數(shù)據(jù)庫無防護措施�����;
敏感數(shù)據(jù)明文存儲;
生產環(huán)境中的數(shù)據(jù)庫系統(tǒng)存在安全漏洞�����;
缺乏有效管理審計手段���。
用戶對于該省級大數(shù)據(jù)平臺的數(shù)據(jù)安全建設要求主要包括以下幾點:
防止明文存儲引起的數(shù)據(jù)泄漏�����;
防止突破邊界防護的外部黑客攻擊���;
防止利用操作系統(tǒng)漏洞和數(shù)據(jù)系統(tǒng)漏洞獲取數(shù)據(jù)文件;
防止內部高權限用戶的數(shù)據(jù)竊����。
防止繞開應用系統(tǒng)非法訪問數(shù)據(jù)庫��。
從根源上防止敏感數(shù)據(jù)泄漏����,保護數(shù)據(jù)庫運行安全����。
解決方案
對于以上安全需求�����,結合用戶應用和運維側的實際場景�����,918搏天堂提出:事前數(shù)據(jù)透明加密保護���、事中主動防御、事后審計的全方位主動防御方案:
數(shù)據(jù)庫加解密
功能需求:通過數(shù)據(jù)庫加密系統(tǒng)實現(xiàn)對數(shù)據(jù)庫列級加密�����、數(shù)據(jù)庫元數(shù)據(jù)加密�����,可以支持業(yè)界主流的數(shù)據(jù)庫���,而且能實現(xiàn)密文模糊查詢等功能�����。
部署方式:數(shù)據(jù)庫加密設備采用旁路部署方式��,直連交換機即可�,數(shù)據(jù)庫加密設備需要保證數(shù)據(jù)庫和加密設備之間網絡可達,即管理口IP可以訪問被加密數(shù)據(jù)庫��,2臺加密設備對敏感數(shù)據(jù)進行加密和解密�。
數(shù)據(jù)庫防火墻
功能需求:通過數(shù)據(jù)庫專業(yè)防火墻,防SQL注入����,實現(xiàn)訪問控制、權限控制��、權限學習��、阻斷和審計���、sql學習�����、數(shù)據(jù)列控制以及SQL QUERY關鍵字控制����。
部署方式:采用代理雙活模式進行部署,直連匯聚交換機即可�。此方式需要在數(shù)據(jù)庫客戶端和應用服務器端增加防火墻代理口的連接配置,客戶端和應用服務器根據(jù)數(shù)據(jù)庫連接信息自主選擇數(shù)據(jù)庫進行連接���。
數(shù)據(jù)庫審計
功能需求:通過采用數(shù)據(jù)庫審計能有效防止數(shù)據(jù)解決數(shù)據(jù)庫信息安全領域的深層次���、應用及業(yè)務邏輯層面的安全問題及審計需求,主要的功能模塊包括“靜態(tài)審計�����、實時監(jiān)控與風險控制��、實時審計���、雙向審計、超長SQL審計��、安全事件回放����、審計對象管理���、多形式的預警機制、系統(tǒng)配置管理”等幾個部分�。
部署方式:采用旁路部署方式,直連交換機即可���,數(shù)據(jù)庫審計設備需要將連接數(shù)據(jù)庫的接口流量鏡像一份到審計設備的業(yè)務口�����,來實現(xiàn)審計對數(shù)據(jù)庫流量的獲取���。
918搏天堂參與本次省級大數(shù)據(jù)平臺項目的安全建設環(huán)節(jié),用專業(yè)的安全建設思路指導項目安全建設實施�����,以專業(yè)的技術�����、產品和服務保障了該省級大數(shù)據(jù)平臺項目數(shù)據(jù)庫安全建設需求��。此次項目中積累的實踐經驗可供后續(xù)省級政府此類項目借鑒參考���。
產品咨詢:4000 258 365 
