网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


《公安云计算平台框架指南》出台,数据安全的标配是什么?

2018-01-20 07:35 推荐: 浏览: 164 views 字号:

摘要: 1月5日,公安部科技信息化局发表了关于印发《公安云计算平台框架指南》的通知。为规范引导公安云计算建设,提升公安大数据能力,公安部科技信息化局以《公安云计算建设指导意见》的基础上编制了《公安云计算平台框架指南》,明确了云计算平台的总体技术框架,定义了功能架构的划...

1月5日,公安部科技信息化局发表了关于印发《公安云计算平台框架指南》的通知。为规范引导公安云计算建设,提升公安大数据能力,公安部科技信息化局以《公安云计算建设指导意见》的基础上编制了《公安云计算平台框架指南》,明确了云计算平台的总体技术框架,定义了功能架构的划分以及相关系统的边界。

作为国家重要行政机关,公安部肩负储存和管理国家与公民重要数据的重大责任,在拥抱云计算,提升信息化能力和价值的同时,安全保障能力同样是必选项。《公安云计算平台框架指南》中对于云计算平台的安全建设要求中,数据安全保障的技术手段给与了明确定位:建议使用提供安全告警与追查依据的数据库审计技术,以及提供安全威胁主动防御的数据库防火墙技术,两者结合提供云计算平台的数据安全保障。

其中,对数据库审计产品的功能需求表现在:主要监视并纪录对数据库服务器的各类操作,通过对网络数据的分析,实时地、智能地解析,并计入审计数据库中以便日后进行查询、分析、过滤,实现对数据库系统操作的监控和审计。

实时监测并智能地分析、还原各种数据库操作过程;

对数据库系统漏洞、登录账号、登录工具和数据操作过程进行跟踪,及时发现对数据库系统的异常使用。

应提供专业化审计报表。

并对数据库防火墙的功能提出了如下要求

数据库防火墙部署在数据库服务器和应用服务器之间,屏蔽直接访问数据库的行为,防止通过数据库隐通道的攻击。

基于 IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,形成多因子认证,弥补单一口令认证方式的不足。

应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。

实时检测数据库SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的纪录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

具体到指南中数据安全保护要求,除了各项安全标准中常见的数据库审计技术,数据库防火墙技术赫然在列。不同于数据库审计旁路监控的轻安全手段,串接阻断的数据库防火墙属于主动防御的重防护类手段,能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,有效应对来自内部应用和外部黑客的数据安全威胁,而数据库审计+数据库防火墙的手段组合,能够形成策略同步后的联动作用,通过审计分析的异常语句,不断完善风险模型,支撑数据库防火墙对风险语句和异常行为的准确阻断和拦截。

安华金和的数据库防火墙不但可以满足上述《公安云计算平台框架指南》中数据库防火墙的功能需求,而且在技术领先性上还有更为出色的表现:

可以实现数据库实例级别的安全防护;

能够提供对应用IP、应用账号的解析,结合客户端IP、操作、对象、返回行为等多重控制点,可以进行灵活细致的安全策略配置,对于应用端的数据库访问、操作行为,实现精准、深入的安全管控和防护;

针对基于频次的口令攻击行为、数据库访问行为、操作行为、SQL注入进行全局策略管控,而不止于点对点的安全管控,并可以实现阻断、拦截、放行、告警等一连串动作;

可基于单库和全库两个层面进行安全风险分析,包括对安全风险的统计、检索、风险源的挖掘。

另一方面,在数据安全保障这一环节之前,我们也看到针对数据这一核心要素,《公安云计算平台框指南》中提出了数据分级分类的要求,针对数据的敏感程度、密级程度或开放范围进行数据分级,针对数据来源、业务属性、数据类型等进行数据分类划分,建立数据的分级分类管理体系。提出这项制度要求,需要借助技术工具来实现,具体的落地可以利用数据资产梳理系统对数据进行全面的梳理摸底,帮助发现敏感数据并实现有差别的针对性防护。因此,只有先做好数据分级分类,才能够为数据安全管理提供精确的依据,成为数据安全建设现行的第一步。

置身于云计算框架下的新网络环境之中,信息的易获取性仍是亟待解决的核心威胁,高敏感度的公安数据置身于数据访问、使用和共享等复杂环境下,关乎国家安全、商业或技术机密、个人隐私等涉密信息将面临更严峻的安全挑战。《公安云计算平台框架指南》的发布,不仅提范公安行业的云计算建设水平,同样可以为其他政府及企业提供可参考的平台建设方案。

联系站长租广告位!

中国首席信息安全官


关闭


关闭