網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

:防范重要數據和公民信息泄露——技術防范硬措施

2019-05-17 10:16 推薦: 瀏覽: 27 views 字號:

博彩彩票计划 www.nandk.icu 摘要: 防范重要數據和公民信息泄露專項工作建設,需要通過一套由內向外的技術防范硬措施來實現核心數據資產加固工作。技術防范硬措施核心主旨就是主動防御、動態防御、精準防護、整體防控。其主要作用包括: A、實時監測,及時發現滲透和數據竊取 B、防止違規在互聯網上存儲和緩存數...

防范重要數據和公民信息泄露專項工作建設,需要通過一套由內向外的技術防范硬措施來實現核心數據資產加固工作。技術防范硬措施核心主旨就是主動防御、動態防御、精準防護、整體防控。其主要作用包括:

A、實時監測,及時發現滲透和數據竊取

B、防止違規在互聯網上存儲和緩存數據

C、堅決防止通過第三方泄漏

D、及時阻斷外部攻擊和探測

E、防范黑客滲透造成數據泄露和丟失

本文將從設計原則和防護設計兩個方向針對數據安全技術防范硬措施展開介紹。

設計原則

01、整體防控原則

數據安全設計應圍繞生產實際業務應用安全需求為基礎,依據國家等級?;?、分級?;は喙卣吖娣逗圖際醣曜家?,建成信息安全等級?;ど疃確烙逑?。在建設過程中,遵循統一規劃、統一標準、統一管理、適度?;?、重點?;?、強化管理的原則。

02、主動防護原則

數據庫全防護工作應該是主動開展的,而非出了問題事后補救的。通過在數據庫前端接入技術工具,使所有數據庫請求都經過防護工具后傳給后端數據庫,進而保障數據庫僅接受可信應用發起的訪問請求,非授權人員無法訪問,減小了被攻擊面;并對冒充用戶、業務人員發起的攻擊、越權、非授權、敏感數據訪問、超量訪問等非法行為予以阻斷,并通過專業安全技術有效阻斷針對數據庫漏洞的攻擊行為。從而阻止黑客攻擊導致的信息泄露問題。

03、動態調整原則

核心數據安全問題不是靜態的,它會隨著管理相關的組織結構、組織策略、信息系統和操作流程的改變而改變,因此對核心和敏感數據,必須跟蹤業務信息系統的變化情況,及時調整安全?;ご朧?。

04、精準防護原則

考慮到不同類別網絡的數據庫系統所面臨的安全風險和重要性的不同,網絡架構、軟硬件部署位置,應對數據庫進行精準安全設計。對安全風險相同的系統及設備應劃分在同一安全域,采用一致的安全控制手段做到集中防護。對于存儲在不同業務系統中的不同類型的數據,需要通過動態調整關聯到準確的核心敏感數據,確保核心敏感數據可以在根源上達到安全性。

05、集中防護原則

統一管理是建設信息安全等級?;?、分級?;ぷ萆罘烙逑抵?,主動安全防御最基本要求,對數據庫系統范圍內的訪問資源和用戶進行統一梳理,按照訪問控制策略來進行實施,對于數據庫的訪問行為統一由審計技術進行分析和響應。做到管理全局統一、監控嚴密、響應及時的防護原則。

06、縱深防御原則

縱深防御原則是信息系統安全保障的核心思想,在信息安全防御體系設計、實施過程中,應建立縱深防御體系,對整個數據庫系統建立檢查預警、主動防御、底線防守、事后追查,每一個層次都需要針對不同的系統,實施對應的信息安全策略和安全機制,保證訪問者對每一個數據庫系統組件訪問時,都多層次保障系統的安全性,以實現系統的充分防御,將數據庫系統遭受攻擊的風險降至最低,確保系統安全、可靠。

安全防護設計

安全體系關注的對象是數據庫系統中的核心數據,通過對訪問源、訪問對象、訪問路徑進行解析,根據不同的數據使用場景提供不同的安全手段。

1 副本.jpg

一、檢查預警

1、增強免疫

通過對數據庫漏洞實時檢查,實現對數據庫安全狀況的監控,包括相關安全配置、連接狀況、用戶變更狀況、權限變更狀況、代碼變更狀況等全方面的安全狀況評估;建立安全基線,實現安全變化狀況報告與分析。監控數據庫安全狀況,防止數據庫安全狀況惡化:對于數據庫建立安全基線,對數據庫進行定期掃描,對所有安全狀況發生的變化進行報告和分析。

2 副本.jpg

針對檢查出的數據庫安全漏洞,在數據庫漏洞詳細報告中提供了詳細的漏洞修復建議,保證每條建議有效可靠,不會造成修復后正常功能無法使用、數據庫系統無法啟動等故障,從而幫助管理員更加快速、有效地進行漏洞修復。

2、分類分級

數據資產梳理是數據庫安全的基礎,通過對數據資產的梳理,可以確定敏感數據在系統內部的分布、確定敏感數據是如何被訪問的、確定當前的賬號和授權的狀況。通過靜態梳理和動態梳理技術有效地解決組織對資產安全狀況摸底及資產管理工作;改善以往傳統方式下企業資產管理和梳理的工作模式,提高工作效率,保證了資產梳理工作質量。根據用戶數據價值和特征,梳理出用戶的核心數據資產并對其分類分級,在此基礎之上針對數據的安全管理才能確定更加精細的措施。能做到對風險預估和異常行為評測,很大程度上避免了核心數據遭破壞或泄露的安全事件。

二、主動防御

1、對內審批

傳統的數據庫往往采用賬戶名+密碼的單因子方式進行登錄,在真實環境中運維使用者包含了開發、測試、運維、外包等人員,如果僅僅通過簡單的授權方式進行防護,不但賬號密碼容易泄露,且有可能識別導致無法真實識別用戶身份,導致權限濫用,一旦出現違規事件無法及時定責,追責,數據庫面臨著入侵、盜用的破壞和泄密問題,嚴重危害到數據的安全性。如何解決數據庫訪問在使用過程中的安全問題,并進行統一身份認證管理,是當前亟待解決的問題。

數據庫安全運維通過身份識別、角色劃分、身份授權、運維審批和訪問控制等技術,實現對運維操作的事前審批、事中管控和事后稽核,規避內部人員導致的數據泄露風險。

2、對外防御

用戶網絡中存在種類繁多的應用系統,其中不乏有需要對公眾開放的系統,而WEB服務器被暴露在網絡之中,攻擊者對WEB服務器進行網段掃描很容易得到后臺數據的IP和開放端口。對這樣的隱患進行數據庫級別訪問控制、入侵防御,會有效的?;ず筇ㄊ菘獠槐┞對詬叢擁耐緇肪持?,構建類似內網的安全防護狀態。數據庫安全防護系統,通過網絡可信接入、應用身份識別、抵御SQL注入、虛擬補丁、阻斷漏洞攻擊、用戶權限細粒度管理等手段,有效防止攻擊者通過WEB應用,用“SQL注入”攻擊的方法從后臺數據庫服務器嘗試進行“刷庫”,通過SQL注入防護可以從根本上幫助管理員防止SQL注入的發生。

3 副本.jpg

三、底線防守

1、核心數據加密

通過獨立的密文權限控制體系,限制DBA、服務外包人員、開發人員對敏感數據的訪問權限,使其只能維護數據而無法訪問敏感數據,從而遠離泄密的危險;同時僅將敏感數據的訪問能力開放給合法的使用人和必要的數據庫維護人員,并對這些敏感數據的訪問,開啟審計進行詳細記錄。

2、敏感信息混淆

通過對數據庫中的敏感數據進行識別,統計出敏感數據并進行管理,提供靈活的策略和脫敏方案配置,高效可并行的脫敏能力,幫助快速實施敏感數據脫敏處理,同時保證數據的有效性和可用性,使脫敏后的數據能夠安全的應用于測試、開發、分析,和第三方使用環境中。

5 副本.jpg

四、事后追查

業務人員的數據庫操作基本是合法的,但是也不能排除被利用或被攻擊的情況,通過數據庫審計精確記錄關鍵業務操作和關聯具體業務操作人員,為事后追溯定責提供準確依據,同時對數據庫運維操作和非法批量導出行為進行告警。建議采用應用關聯審計實現對業務用戶的100%準確關聯,在出現問題的時候能夠實現準確的追責和定責。

6 副本.jpg

防范重要數據和公民信息泄露是一項系統的工作,需要結合技術手段排查安全風險,針對安全風險信息,遵循國家標準進行方案設計,分別從技術和管理兩個層面提供安全設計與實施。采用技術加固措施或產品方案,對所排查出的風險漏洞進行有針對性的修復,全面提升核心資產數據防護能力。

聯系站長租廣告位!
?
中國首席信息安全官


關閉


博彩彩票计划
關閉
彩名堂计划软件在哪里下载 北京pk10一期计划 赌龙虎稳赢法 新疆时时开奖结果表龙虎 致富专用卡是真的吗 北京时时pc28走势图 广东麻将技巧 双色球专家精选一注 球探体育比分网触摸 彩票数据分析软件 欢乐生肖技巧 在澳门赌博玩什么项目 重庆时时彩计划软件 飞艇计划九码 pk10内部走势技巧 二十一点赢钱概率