返回大厅
海峡信息数据中心安全运维智能化管理平台项目
投票数量:731 票
助力海报
企业介绍
案例名称及介绍
需求痛点
案例创新点介绍
福建省海峡信息技术有限公司成立于1999年,是国内最早专业从事网络安全自主研发、产品销售及安全服务的公司之一。2022年6月,海峡信息正式成为福建广电网络集团直属单位,旗下网络信息安全业务为福建广电网络五大业务板块之一。
公司作为国有控股高新技术企业,先后获评国家“专精特精”小巨人企业、福建省“专精特新”中小企业、福建省创新型研发机构等荣誉,是福建省唯一通过国家信息安全服务资质二级认证(安全工程/风险评估)、国家测评中心安全运营(一级)认证的企业。
公司建立了新一代黑盾“云机智营”主动防御体系,构建全面涵盖网络安全、云安全、商用密码、数据安全等安全产品与服务解决方案,自主研发的防火墙系统、数据库安全审计系统、安全感知与运营管理平台等产品屡获行业奖项。始终专注于网络安全领域技术研发、产品销售及安全服务,覆盖广电、政务等多个行业。
未来,海峡信息将持续深入贯彻落实集团总体部署要求,锚定上市目标,坚持高质量发展,充分发挥“国有”和“文化”特色优势,加快细分领域产品创新,全力打造全国一流的综合型网络安全企业以及文化数字化领域安全领军企业,助力数字经济发展,为建设网络强国贡献安全力量。
本案例部署的数据库安全防护系统是一款专为保护企业重要数据资产打造的安全解决方案,其核心功能包括识别敏感数据、访问控制、数据动态脱敏、行为检测等。设计思想强调主动防御、过程可控性和合规性,致力于构建全方位、多层次的安全屏障。具体介绍如下:
(一)主要功能
1.识别敏感数据。通过关键词匹配、数据分类标记等方法,识别数据库中的个人身份信息、业务订购数据等敏感信息。系统根据预定义规则或学习模式,快速准确地标识出潜在的敏感数据,有助于组织及时采取保护措施,防止数据泄露和安全风险。
2.访问控制。通过建立严格的权限机制,限制用户对敏感数据的访问权限,确保只有授权用户才能获取敏感信息,防止未经授权的访问和滥用。采用细粒度的访问控制策略,包括身份验证、权限验证、审计等手段,确保数据的机密性、完整性和可用性,保障数据安全。
3.数据动态脱敏。能够实时对数据库中的敏感数据进行处理,以保护数据隐私和安全。该功能根据用户权限或访问需求,对敏感数据进行实时脱敏处理,如敏感信息遮蔽、数据脱敏算法等,保留数据的格式和结构,同时隐藏关键信息。脱敏是动态的,仅在用户访问时实施,确保数据在使用过程中的安全性和隐私保护。
4.审计日志。全面记录数据库的操作日志,包括用户登录、数据查询、修改等。通过审计日志,追踪用户行为,发现异常操作并及时响应,保障数据安全。审计日志记录包括操作者、时间、操作内容等信息,实现合规性监管和安全审计。
5.行为检测。实时监控数据库操作,检测异常的操作行为,如大量数据导出、违规数据查询等。通过权限管控阻断异常访问行为,提高对数据库安全的保护能力。
6.命令级管控。对数据库的操作命令进行细粒度的控制和管理。通过此级别的管控,对用户或应用程序执行的每个数据库命令进行审查、验证和限制。并确保只有经过授权的用户或应用程序才能执行特定的数据库操作,从而有效地保护数据库的安全和完整性。
7.误操作恢复。全面监测删表等高危的数据库操作行为,发现高危操作时将自动创建备份,以备不时之需。
(二)设计理念
1.实时风险识别和拦截。具备实时风险识别和拦截能力,能够实时检测和分析数据库访问流量,识别出潜在的恶意行为和攻击模式。一旦发现风险,系统立即采取相应的措施进行拦截和阻断,确保数据库的安全性和稳定性。
2.可视化管理和审计。提供可视化的管理和审计功能,管理员可以方便地查看数据库访问日志、安全事件以及风险报告,了解数据库的实时安全状况。同时,支持审计和合规性检查,确保数据库操作符合相关法规和规定。
3.可扩展性和灵活性。系统设计考虑了可扩展性和灵活性,能够适应不同的业务场景和安全需求。系统可以与其他安全设备进行集成和协同工作,形成完整的安全防护体系。同时,支持自定义规则和策略配置,满足用户特定的安全需求。
公司深谙保障数据安全是信息化建设的重要一环,针对目前数据安全领域普遍存在数据泄露的安全风险,第一时间开展自查工作,主要存在以下数据安全风险:
1.敏感数据分布不清晰。数据资产众多,难以准确掌握敏感数据的具体分布位置,可能导致数据保护措施不到位,容易受到黑客攻击、内部违规操作等各种安全威胁,进而产生数据泄露、丢失或篡改等严重后果。
2.口令留存范围广。第三方运维人员留存有数据库口令,存在非法操作数据库,造成数据泄露、丢失或篡改等严重后果。
3.权限管控难。运维人员拥有数据库过多操作权限,难以防范针对数据库的误操作或恶意操作行为,对于用户数据及核心业务将造成难以追回的破坏和损失。
4.恶意行为防范挑战大。面对不断更新的攻击手段,例如数据库漏洞、零日漏洞、软件供应链攻击等多种渠道,使得传统的安全防护手段难以跟上其变化的速度。
5.溯源追踪难。运维操作过程中,没有记录相关操作行为,在发生安全事件时难以快速定位账号的实际使用者和责任人。
本案例的技术创新性在以下几个方面:
(一)数据库单点登录技术
本案例采用证书服务技术实现单点登录(DB-Single Sign-On,DBSSO),通过在黑盾安全客户端进行用户身份验证,然后生成一个证书,运维人员只需要在一个集中的认证服务器上输入一次凭证,就可以无缝地访问多个相关联的数据库系统,无需在不同系统之间反复进行登录操作。
这一特性显著提升了运维工作效率,减少了因为频繁登录而产生的繁琐感,同时也减少了由于多次输入密码可能导致的安全风险,如密码遗忘、弱口令使用或键盘记录器盗取等。
(二)数据库虚拟补丁技术
本案例数据库虚拟补丁技术不同于常规虚拟补丁技术,如二进制插桩、代码注入、API hooking等,只需对数据库通信流量进行检测,就可直接拦截针对数据库系统漏洞的数据流,以缓解已知数据库漏洞对用户造成的风险。该技术作为一种应急措施,可用于在数据库供应商发布正式补丁之前保护系统免受潜在的攻击。
(三)数据库防勒索
防勒索技术是指针对勒索件(ransom)的攻击和保护技术。通过对异常进程的实时监测与预警,将勒索攻击扼杀在萌芽阶段。系统通过精细的权限划分和动态权限调整,确保每个用户只能访问其职责范围内所需的数据,从而减少勒索攻击的暴露面。在应对数据库勒索攻击方面,通过实时监控、新兴技术融合、权限管理等多种创新手段,构建了一套立体化、多层次的安全防护体系,为企业的核心数据资产铸就了一道坚不可摧的防护屏障。
长按海报可保存至本地
提供云计算服务
