某省发改委数据安全解决方案

一、需求

经过多年的发展，该省发改委机房建设初具规模，其上运行着该省投资项目在线审批监管平台、该省固定资产投资项目“两库”管理平台、该省信用信息公共服务平台，信息系统的建设应用了当前主流的硬件和应用软件平台。从网络上可以分为电子政府外网和互联网两大块。

电子政务外网接受全省的厅局接入，边界上设置了启XXX的USG-FW-12600GP作为核心交换域防火墙，核心交换机与应用服务器之间也设置了启XXX的USG-FW-12600GP作为应用安全域防火墙，核心交换机与数据库服务器之间设置了启XXX的USG-FW-12600作为数据安全域防火墙。核心交换区设置了AF-1860-IPS入侵检测。

互联网边界由外到核心交换机之间依次设置了天XX的DDOS设备，网XNF1000出口防火墙，AF-1860-IPS入侵防御，天XXWAF防火墙TWF-6213。

电子政务外网和互联网之间设置了网XNF3000千兆边界防火墙、启XXXUSG-FW-2000GP千兆边界防火墙、天XXTOPACM5000网络行为审计、天XXTOPScanner7000漏洞扫描作为边界防护。

二、方案

基于当前发改委信息系统拓扑图，嵌入我们的数据安全设备，形成如下解决方案：

由上图所示，对电子政务外网和互联网的数据库安全域分别布署我们的数据安全产品，电子政务外网相对来说更重要，架构上使用了双链路，布署我们的产品中时略有不同：

（一）电子政务外网方案：

1、在数据库安全域前面的双链路上分别串接数据库防火墙系统，对数据库的访问请求进行过滤，对于可疑请求进行告警，对于删库、删表、清库等恶意操作或者误操作的数据库指令进行阻断；

2、在数据库安全域前面的接入交换机上布署数据库审计系统，对数据库的访问请求进行日志记录，一方面起到威慑作用，一方面在出问题后便于溯源:

1）可利用交换机旁路镜像端口实现对载体为物理机的数据库的访问进行审计（最佳方式）；

2）可利用布署于虚拟机中数据库所在操作系统中的软件探针（一种包转发程序），将数据库访问流量转发至审计系统，实现对虚拟机中数据库的访问审计；

3）对于已经设置了数据库防火墙的数据库，也可以将防火墙的日志直接转发至审计服务器实现审计。

3、在安全管理域布署态势感知服务器，它与数据库审计路由可达，能在大屏上用图表的方式显示：

1)敏感数据在哪里

2)敏感数据去哪了

3)谁在访问敏感数据

4、在数据库安全域前面的接入交换机上布署数据库加密系统，对各数据库表中敏感数据进行加密，将明文数据变成密文存储，从根本上杜绝数据泄露的风险；

5、在数据库安全域前面的接入交换机上布署数据库实时脱敏系统，对业务系统中非必要的敏感数据显示进行脱敏处理，对于没有业务查询权限的数据库用户的查询结果进行脱敏处理，对于运维相关的数据库查询结果进行脱敏处理；

6、在数据库安全域前面的接入交换机上布署数据库批量脱敏系统，为开发测试以及培训区批量的提供经过处理的准真实数据（格式不变，不影响开发测试的假数据）。

（二）互联网方案：

1、在数据库安全域前面串接数据库防火墙系统(双机热备，两台防火墙服务器管理口连到同一交换机的同一vlan下，互为备份，一台失效，另一台立即接管)，对数据库访问请求进行过滤，对于可疑请求进行告警，对于删库、删表、清库等恶意操作或者误操作的数据库指令进行阻断；

2、在数据库安全域前面的接入交换机上布署数据库审计系统，同电子政务外网一样的方式实现审计和数据安全态势感知。 

三、价值

具体来说，中安威士数据库安全加固系统可以带来如下价值：

1、简化业务治理，提高数据安全管理能力。由于数据库系统是一个复杂的软件“黑盒子”，其可视化程度很低。数据库管理员很难说清：在任意时刻数据被访问的情况，这对业务治理带来了很大的困难。尤其在云环境中，这种不可视化程度更加严重。公司产品通过多种手段全面监控数据的访问情况，并提供丰富的预设统计报表，以图形化的方式将数据的访问情况和风险情况可视化，进而提供访问控制能力，极大的简化了业务治理，提高了数据安全管理能力。

2、完善纵深防御体系，提升整体安全防护能力。建立纵深的防御体系已是信息安全建设的共识。数据库到应用系统这一段，是信息安全的最后一公里，也是最后一道防线，涉及的是最直接的敏感数据安全管理，直接关系到敏感数据的安全。同时，在数据/业务层加强安全防护，也逐步成为信息安全的新方向。公司系统紧贴核心数据，针对信息安全的最后一公里以及数据/业务层提供丰富的防护手段，有利于完善纵深防御体系，提升整体安全防护能力。

3、减少核心数据资产被侵犯，保障业务连续性。信息系统最有价值的资产是数据，而数据也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯，轻者导致业务中断，重者导致泄密和篡改，严重影响企事业单位的声誉乃至生存，围绕核心数据的攻防对抗将长期存在。公司系统产品紧密贴合数据，提供数据发现、风险评估、审计、防火墙、加密等手段，实现数据安全的可视性和可控性，并最终减少核心数据资产被侵犯的可能性，保障正常的业务。

从访问数据库的SQL语句级别和查看数据库的字段级别进行防控，从根源上彻底防止了SQL注入等攻击。

4、满足合规要求，快速通过评测。产品实现独立的审计和访问控制，直接输出合规的报表，满足政府机构多个法规和标准的要求，快速通过各种安全保密检查和评测，比如等保评测。

综上所述，中安威士数据安全产品，可有针对性的对重要敏感数据提供了全方位，全天候的保护。一、需求

经过多年的发展，该省发改委机房建设初具规模，其上运行着该省投资项目在线审批监管平台、该省固定资产投资项目“两库”管理平台、该省信用信息公共服务平台，信息系统的建设应用了当前主流的硬件和应用软件平台。从网络上可以分为电子政府外网和互联网两大块。

电子政务外网接受全省的厅局接入，边界上设置了启XXX的USG-FW-12600GP作为核心交换域防火墙，核心交换机与应用服务器之间也设置了启XXX的USG-FW-12600GP作为应用安全域防火墙，核心交换机与数据库服务器之间设置了启XXX的USG-FW-12600作为数据安全域防火墙。核心交换区设置了AF-1860-IPS入侵检测。

互联网边界由外到核心交换机之间依次设置了天XX的DDOS设备，网XNF1000出口防火墙，AF-1860-IPS入侵防御，天XXWAF防火墙TWF-6213。

电子政务外网和互联网之间设置了网XNF3000千兆边界防火墙、启XXXUSG-FW-2000GP千兆边界防火墙、天XXTOPACM5000网络行为审计、天XXTOPScanner7000漏洞扫描作为边界防护。

二、方案

基于当前发改委信息系统拓扑图，嵌入我们的数据安全设备，形成如下解决方案：

由上图所示，对电子政务外网和互联网的数据库安全域分别布署我们的数据安全产品，电子政务外网相对来说更重要，架构上使用了双链路，布署我们的产品中时略有不同：

（一）电子政务外网方案：

1、在数据库安全域前面的双链路上分别串接数据库防火墙系统，对数据库的访问请求进行过滤，对于可疑请求进行告警，对于删库、删表、清库等恶意操作或者误操作的数据库指令进行阻断；

2、在数据库安全域前面的接入交换机上布署数据库审计系统，对数据库的访问请求进行日志记录，一方面起到威慑作用，一方面在出问题后便于溯源:

1）可利用交换机旁路镜像端口实现对载体为物理机的数据库的访问进行审计（最佳方式）；

2）可利用布署于虚拟机中数据库所在操作系统中的软件探针（一种包转发程序），将数据库访问流量转发至审计系统，实现对虚拟机中数据库的访问审计；

3）对于已经设置了数据库防火墙的数据库，也可以将防火墙的日志直接转发至审计服务器实现审计。

3、在安全管理域布署态势感知服务器，它与数据库审计路由可达，能在大屏上用图表的方式显示：

1)敏感数据在哪里

2)敏感数据去哪了

3)谁在访问敏感数据

4、在数据库安全域前面的接入交换机上布署数据库加密系统，对各数据库表中敏感数据进行加密，将明文数据变成密文存储，从根本上杜绝数据泄露的风险；

5、在数据库安全域前面的接入交换机上布署数据库实时脱敏系统，对业务系统中非必要的敏感数据显示进行脱敏处理，对于没有业务查询权限的数据库用户的查询结果进行脱敏处理，对于运维相关的数据库查询结果进行脱敏处理；

6、在数据库安全域前面的接入交换机上布署数据库批量脱敏系统，为开发测试以及培训区批量的提供经过处理的准真实数据（格式不变，不影响开发测试的假数据）。

（二）互联网方案：

1、在数据库安全域前面串接数据库防火墙系统(双机热备，两台防火墙服务器管理口连到同一交换机的同一vlan下，互为备份，一台失效，另一台立即接管)，对数据库访问请求进行过滤，对于可疑请求进行告警，对于删库、删表、清库等恶意操作或者误操作的数据库指令进行阻断；

2、在数据库安全域前面的接入交换机上布署数据库审计系统，同电子政务外网一样的方式实现审计和数据安全态势感知。 

三、价值

具体来说，中安威士数据库安全加固系统可以带来如下价值：

1、简化业务治理，提高数据安全管理能力。由于数据库系统是一个复杂的软件“黑盒子”，其可视化程度很低。数据库管理员很难说清：在任意时刻数据被访问的情况，这对业务治理带来了很大的困难。尤其在云环境中，这种不可视化程度更加严重。公司产品通过多种手段全面监控数据的访问情况，并提供丰富的预设统计报表，以图形化的方式将数据的访问情况和风险情况可视化，进而提供访问控制能力，极大的简化了业务治理，提高了数据安全管理能力。

2、完善纵深防御体系，提升整体安全防护能力。建立纵深的防御体系已是信息安全建设的共识。数据库到应用系统这一段，是信息安全的最后一公里，也是最后一道防线，涉及的是最直接的敏感数据安全管理，直接关系到敏感数据的安全。同时，在数据/业务层加强安全防护，也逐步成为信息安全的新方向。公司系统紧贴核心数据，针对信息安全的最后一公里以及数据/业务层提供丰富的防护手段，有利于完善纵深防御体系，提升整体安全防护能力。

3、减少核心数据资产被侵犯，保障业务连续性。信息系统最有价值的资产是数据，而数据也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯，轻者导致业务中断，重者导致泄密和篡改，严重影响企事业单位的声誉乃至生存，围绕核心数据的攻防对抗将长期存在。公司系统产品紧密贴合数据，提供数据发现、风险评估、审计、防火墙、加密等手段，实现数据安全的可视性和可控性，并最终减少核心数据资产被侵犯的可能性，保障正常的业务。

从访问数据库的SQL语句级别和查看数据库的字段级别进行防控，从根源上彻底防止了SQL注入等攻击。

4、满足合规要求，快速通过评测。产品实现独立的审计和访问控制，直接输出合规的报表，满足政府机构多个法规和标准的要求，快速通过各种安全保密检查和评测，比如等保评测。

综上所述，中安威士数据安全产品，可有针对性的对重要敏感数据提供了全方位，全天候的保护。