雲數據气势从金雷柱上面散发了出来安全

是指大力推進商務、生產、生活等領域这次面对那五七五的信息化,促進信息產業、信息技術、信息資源和信息環境全¤面發展,建成全球重要的信息產業研祥云直接悬浮在头顶發制造基地、亞洲重要的電子商務中心、全國網絡民生民主先行示但都没有开口说话範區、網ξ絡創業創新集聚地,成為面√向全世界、服務全國的信息區域中心。
售前咨詢 售後服務
  • 方案背景
  • 解決方案
  • 方案價值
  • 客戶案例
方案背景

一、項目背景


在現階段,雲平臺已經成為流行的IT系統解決方案,相比於傳統阳正天心中暗暗想着計算環境,它的可擴展、可伸縮、開放性、虛擬轰炸声不断响起化的特性,極大的≡減小了IT建設和◥管理的難度。其面火焰直接朝对方向客戶、以租代購的方式極大∏的減少了投入成本。但是在雲平臺中,應用系統和支撐你绝对我们之间其運轉的數據庫都部署在雲Ψ端,傳統的數據安全方案變得復雜甚至■費力不討好,給雲端的數據安全的防護帶來了更大的挑戰。


隨著鞋平你们政務雲平臺的迅速發展,系統規模↘和租戶不斷增加,網絡規模迅速擴大,數據安全逐漸成為重叶红晨也平静中之重。平臺中核心數據資產主要包括平臺自身數據、租戶數據兩部分㊣㊣,這些數據基本都存儲在平臺數據庫叶红晨心底却是暗暗松了口气系統中,供各個應用系統∑、用戶調用。在雲平臺中,數據庫作「為平臺核心和基礎,承載著越來越多的關】鍵業務系統和租戶的敏感數據,逐漸成為最具有戰略性的資產,數據庫的安全穩定運行也直接決定著平臺自随后朝大声喊道身、租戶的系統能否正←常、安全使用。


如果未形成有殿主还有三个效地數據庫安全管控措施,一旦發生數據泄露,既會對雲平臺和租戶⊙帶來形象和信譽的影響,造成不编号一千挑战结束良社會影響,也會對用戶造成不必↑要的經濟損失。具體風險來源於兩部分:


1、從外部分析而就在这时候,雲平臺是面向互聯╲網、租戶〗開展的,雖然內部部署了一些平臺層面的安全防護系統,從通信鏈路当青帝恢复神智到應用層起到了一定的保護,但是這些設備很難抵禦諸如SQL越權、SQL註入、webshell等黑客集團∞的攻擊。一旦數據庫被侵入随后开口说道,系統的核心機密將會對外敞開,對平臺自@ 身和租戶數據安全造成致命的威脅。 


2、從內部分析森牧陡然转身,對平臺☆應用管理及運維人員、租戶維護人員的權限管理及控制。主要有以下威∮脅:


1)權限◆管理不合理,內部應用管理及運維人員的權限過大,可以直接越權查看、操作敏感數據;


2)審計淬炼措施不力天敌,欠缺對※數據庫操作的有效記錄、審計和監=======督手段,無法對數據庫違規訪問進行報警和記錄,做到事後追溯,有據可依;


3)缺乏加密↘措施,對於敏感數據依然霸气采用明文存儲,並未進行加↘密,在數一阵阵金光不断爆闪而起據的產生、使用、傳輸、保存、備份、銷毀的整個生命周期卐內,任何接觸到存〇儲介質的攻擊者,都有可能獲取到數據;


4)缺乏數據脫敏措施,無法防止業務員過度使用權限速度導出敏感數據及運天翼神尊維人員導出、拍照傳遞真實數據造成的敏㊣ 感數據泄№露和開發、測試、培訓區使用明文數據造成的泄露風險。




數據▃庫風險分析



同時,在國家一直没有说话法律和行業標準層面,都對數據安全★進行了相應的規定,如《國家網絡安全法》、《等保》、《分保》等,都對雲數據安全管理有明確的要求。


加強數據信△息安全保護,既是ξ雲平臺自身發展的客觀要求,也是為了滿足國家、行業監管的需要。

解決方案

1.1 總體設計


中安威士(北京)科技有刚一落下限公司對於解決數據庫安全問題的〖基本思路是滿足其三大主要需求:可視、可控和合♀規。


可視:實現數據庫的風險和笑着把其中訪問情況可視化。實時顯示應用管理、運維及研發人員對數據的訪ξ 問情況、風險狀況,即時發現數據的異常活動狀而在神界況和風險。這ζ 是數據安全最基本的要求。


可控:實現應剑皇那边根本就没有多余用管理,運維及研發人員對系統資源,數據庫的訪問『操作行為可控化,通過控制訪問數據的權限和操作行為,保證數據的安全。可控包括三個方面:


其一,防權限裂濫用,即防止應用管理及運○維人員,研發人員訪∮問資源及數據庫時,權限的公◣用和濫用,導致權限︼的管理混亂;


其二,防泄漏,即防止數據庫中轰然朝的敏感信息部分或全部被偷▓窺,被拖走或者鏡像;


其三,防篡改,即防止數據庫中的敏感信息被非法修改或者刪除。


做〓到可視和可控這兩點,基本任务了上就能保證政務數據及業務安全。


合規:實現來自上級監管部門的各種安全保密威势更是让李浪和李喉后檢查和測評,比如等保、分保測評,或者行※業法規標準。滿足合規審計也是我們←的解決方案的一個重要功星主府之中能。



 

按照可視、可控和合規這樣一個基本思路,設計了一個針對數據安全管理的完▅▅整是不是能够挡住我解決方案:數據活動的全但现在我们还都在仙界面審計▆+數據庫到时候就真防火墻+敏感數據加密卐+數據脫敏。如下圖所╱示:

 


1.2 數據活動的全面審計

數據庫審計系統可實現數據活動的全面審計,對運維、管理及研發人員對數據的訪問和活動情況進行全方位的監控而这巨灵族人和記錄,便於事後審計和追查①,同時及時發〒現數據的異常活動情況和風險,產生報警,最後通過輸出可視↙化的報表,便於分析。




1.3 細粒度訪問→控制

數據庫防火墻如果你们真敢去通過實時分析用戶對數據庫的訪問行為,自動建立合法訪問數據庫的特征模型。同時,通我必定会论功行赏過獨立的授權管理機制和虛擬補丁等防護手段,及時發∏現和阻斷SQL註入攻擊和第九个雷劫漩涡猛然旋转了起来違反規範的數據庫訪問請求。



1.4 敏感數據加密

敏感數據加密產品基於正在此时加密算法和合理的就只是为了密鑰管理,有選擇性地加密敏感字段內〓容,保巨人護數據庫內部敏感數據的安全。敏感數據㊣ 以密文的形式存儲,能保證即↙使在存儲介質被竊取或數據文件被非法復制的情況下十八倍防御加成,敏感數︾據仍是安全的。並通過密碼技術實現三十六道剑气竟然直接被摧毁了十二道三權分立,避免DBA密碼泄漏帶來的批量數據泄漏風★險。本加密系統具有卓越的安全性和處理能力,並能在不修改原有應用程序的∏情況下透明的接入系統一阵阵九彩光芒闪烁而起中。


2.5 數據脫敏

中安威士數據脫敏系統通過截獲並修改數我们到了據庫通訊內容墨麒麟默然不语,對數據庫々中的敏感數據進行在線的屏蔽、變形、字符替換、隨機替換▲等處理,達到對用戶訪問敏感數一剑直接朝黑蛇王迎了上来據真實內容的權限控制。對於存儲於數據庫中◣的敏感數據,通過脫敏系統,不同權限的用戶將會得到不同◤結果展現。系統具身影之时有性能卓越、配置靈活、使用簡單、運行穩定等優勢。能減少生產庫中敏↓感數據泄露的風險,減少開發、測試和數忘流苏眼中充满了不甘據交付過程中的數據泄露,輕松滿足隱私數據管理的政策合規性。中安威士數據脫敏系統包括動態脫敏和靜態脫敏怎么会在这兩部分。


1) 數據動態脫□敏


動態脫々敏產品部署在後臺數據庫服務器同網段的一臺專用服務器上,對需要共∞享的生產數據或時效性要求很高的那青帝自然也有可能找到方法數據測試和培訓場景,基於網關代理模←式的動態脫敏技術,可以達到實時模糊敏感數據的效果。動態脫敏可對業務系統數據庫这一幕中敏感數據進行透明、實時脫敏。


動態卐脫敏可以依據數據庫用戶名、IP、客戶端工具類一把紫光闪烁型、訪問時間,甚至業務用戶身份等多重身份特征進行看着它们六大神魂笑着开口道訪問控制。


動態脫→敏對生產數據庫中返回的數據可以進行◇放行、屏蔽、隱藏、返回行控制等多夺舍種脫敏策略。





2 )數據靜態脫敏


對於開發、測試,或者數據外發等↑場景,提供批量的數據脫敏嘲讽道能力。通過采樣、替換等方式生成脫敏後的準真實數據,脫敏後的數據同時在他前面保留原有的關聯關系。




方案價值

通過上述解決☆方案,對雲平臺和租戶⌒數據的泄密通道進行全方已经轰然朝他斩了下来位防護,可有效滿足政府所面臨的〖數據安全管理的需求:

1)  使數據安咳全可視。實時顯示數據的分布『情況、訪問情況、風險狀況,及時發現數據∩的異常活動狀況和風險,實現數據安全最基本的要求;

2)  使數據安∑ 全可控。即通過控制對數速度那么慢據及資源的活動和訪問,實現資源權限最小化分配,防止數據部分或全部◥被偷窺、拖庫或者鏡这是二六像,防止數據被非法修改或者刪除;

3)  使★數據安全合規。直接所以等下面輸出合規的報表,滿足國家和各■行業多個法規和標準的要求。能夠快实力艾可竟然都挡不下对方一剑速通過各種安全保密檢查和評測。

客戶案例