方案丨电子政务外网数据库安全防护方案
行业需求与挑战
电子政务外网系统主要包括政府单位门户网站、公共服务系统类型的政务公用网络;系统分为中央、省、市、县四级电子政务外网平台。通过对各业务系统及各层级政务平台的安全状况进行梳理,我们将目前电子政务外网面临的安全风险和需求归纳为以下几点:
传统防护薄弱
传统的网络防火墙及入侵保护系统等,由于不具备对数据库通讯协议的解析能力,无法实现对数据库访问行为的细粒度审计和防护。
安全配置缺陷
对于数据库系统中的默认配置、高危程序、弱口令、权限分配过高等配置缺陷缺乏严格的检查及相应的优化,可能导致内部用户的非法访问或越权操作。
外部黑客攻击
数据库系统本身存在多种安全漏洞,加之电子政务系统平台需要对外开放访问接口,外部黑客可以通过漏洞攻击或SQL注入的方式对数据库进行攻击。
内部违规操作
第三方人员、下级单位、运维人员、外包人员都有权限访问数据库高权限账户,可以对数据库进行增删改查等操作,缺乏对此类操作的管控将可能导致数据被篡改、泄漏等风险。
安全取证困难
数据库系统中,数据库自身的日志系统可以实时或非实时的记录侵入者,但是数据库系统遭受入侵和非授权操作时,攻击者也可获取到数据库系统高权限账户,这样可以有选择的删除部分或全部审计日志,导致无法准确回溯破坏和泄露行为,对日后调查取证造成严重阻碍。
政策性要求
电子政务外网需要符合国家颁布的相关等级保护要求,其中对数据库系统的访问行为审计、数据安全性等方面提出了明确的安全防护要求。
方案概述
对电子政务外网的数据库系统实现数据动态监管,自动化完成对数据的定期检查,针对为安全管理人员、数据管理员和受控人员建立敏感数据安全管控的平台。将数据的类型及敏感程度进行整体管理,并针对不同级别的数据的操作及流转进行管理、审计,可以将数据分布情况以及使用情况进行可视化处理,生成数据分析报告,并依托分析报告完成数据安全风险评估,最终做出合理建议,为电子政务外网提升数据库安全管理工作水平。
检查预警-安全状况检查
通过部署数据库漏洞扫描系统,对电子政务外网中的核心数据库进行安全状况检查,包括相关数据库安全漏洞、安全配置、弱口令、缺省口令、补丁更新、脆弱代码、程序后门等检测项,有效评估后建立数据库安全基线。,并提供加固建议。
主动防御-访问控制防护
电子政务外网的业务应用系统种类繁多,其中不乏有需要对公众开放的系统,而WEB服务器被暴露在网络之中,攻击者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放端口。对这样的隐患进行数据库级别的访问行为控制、危险操作阻断、可疑行为拦截,面对来自于外部的入侵行为,提供防SQL注入禁止和数据库虚拟补订包功能;通过虚拟补丁防护,保证数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。有效的保护后台数据库不暴露在复杂的网络环境中,构建数据库的安全防护。
事后追查,数据流向监控
对于电子政务外网存在的批量导出敏感数据的“刷库”行为,需要构建应用的行为模型,通过数据库审计系统学习模式,在学习期内将合法应用的SQL语句全部捕获,统一放到“白名单”里,防止合法语句被误报,学期完善期后切换到保护期,此时如果出现了通过Web网站批量导出敏感数据的行为,会被数据库
文章来源:《电子政务》 网址: http://www.dzzwzz.cn/zonghexinwen/2020/1106/435.html
上一篇:湖南省电子政务外网统一云平台异地灾备中心落
下一篇:电子政务作业