重要なデータと情報公開市民特殊な工事を防ぐため、強化することを防止するための技術によってコアデータ資産のセットを実装する必要が外側に通じ内のハード対策を働きます。ハードコア推力を防止するための技術的手段は、防衛、防衛ダイナミック、正確な保護、全体的な予防と制御アクティブです。その主な役割は次のとおりです。
、リアルタイム監視、タイムリーな検出およびデータの盗難***
B、およびインターネット上の違法なキャッシュデータストアを防ぐために
C、そして断固として第三者を通じて漏れを防止
D、タイムリーな検出および外部遮断する***
データ漏洩や紛失を防ぐために、E、******
拡大のための両方向の設計原理と設計保護からのこの記事では、ハード対策を防ぐために、データのセキュリティ技術を導入しています。
設計の原則
01、予防と管理の全体的な原則
データセキュリティは、等級基準及び技術的要件を管理する保護、保護政策の国家レベル、深層防護の情報セキュリティ保護システムの完成に応じて、セキュリティニーズに基づいて、実際の生産業務アプリケーションを中心に設計されなければなりません。建設プロセスでは、経営理念を強化し、統一計画、統一基準、一元管理、適切な保護、保護に従ってください。
02、アクティブな保護の原則
完全なデータベース保護の仕事は積極的ではなく、質問の補足の外に行われるべきです。データベースのフロントエンドツールでアクセス技術では、すべてのデータベース要求は、保護ツール、バックエンドデータベースを通過した後、非関係者がアクセスすることはできませんによって開始信頼できるアプリケーションのみアクセス要求を受け入れるようにデータベースを保護しているように、***低減され表面;と偽装ユーザーは、ビジネスの人々は***、過剰なアクセスなどの機密データへの不正、不正、不正アクセスが遮断され、かつ効果的に遮断することが後援***専用のセキュリティ技術を介してデータベースの脆弱性のための行動。これにより******による情報漏洩の問題を防止することができます。
03、動的調整原理
コアデータセキュリティの問題は、それが関連する管理組織構造、組織戦略、情報システムと変化の運用プロセスによって変化する、静的ではないので、コアと機密データは、企業情報システムの変更、安全性のタイムリーな調整を追跡する必要があります保護対策。
04、正確な保護の原則
アカウントに異なるセキュリティ上のリスクと直面したネットワークデータベースシステム、ネットワークアーキテクチャ、ソフトウェアとハードウェアの展開場所、データベースのセキュリティ設計に正確な応答の異なる種類の重要性を取ります。セキュリティシステムおよび機器の同じリスクは同じセキュリティドメインに分類されなければならない、一貫したセキュリティは、集中保護を達成するために制御します。異なるビジネスシステムに格納された異なるタイプのデータのためには、機密データが根にコアセキュリティに到達できることを保証するために関連した動的に調整することによって、機密データのコアを補正する必要があります。
05、保護の原則に焦点を当て
統一された管理は、データベース・アクセスの動作のために実施されるアクセス制御ポリシーに従って、順番に深さで、グレーディングシステム、プロアクティブなセキュリティの最も基本的な要件、統一されたデータベース・システムの範囲内のリソースとユーザーへのアクセスを防御の保護を、情報セキュリティの保護を構築することです分析および監査技術によって統一された応答。グローバル一元管理、厳格な監視、応答とタイムリーな保護の原則を達成。
06、深層防護の原則
、トレースした後、全体データベース・システム、アクティブな防衛、防衛の一番下の行にすべてのレベルを検査警告を確立し、深原則の防衛は、情報システムのセキュリティの核となるアイデアで、情報セキュリティ防衛システムの設計、インプリメンテーションは、深システムでの防衛を確立すべきですデータベース・アクセス・システム・コンポーネントへのすべての訪問者が適切な防衛システムを実現するためにマルチレベルのセキュリティ保護システムであることを確認するために、異なるシステムの必要性は、対応する情報セキュリティポリシーとセキュリティメカニズムの実装、データベース・システムは低下します** *安全で信頼性の高いシステムを確実にするために、リスクを最小限に抑えます。
セキュリティ設計
、オブジェクトへのアクセスをアクセス元を分析することによって、データベース・システム内のコアデータに焦点を当てたオブジェクトのセキュリティ・システム、アクセス・パスは、使用シナリオは、異なるデータに応じて異なるセキュリティ対策を提供します。
まず、警告を確認してください
1、免疫を強化
データベースの脆弱性をリアルタイムでチェック、関連するセキュリティ設定、接続状況、ユーザー変更状況、状況、コード変更の条件およびその他のセキュリティアセスメントのすべての側面を変更する権限を含め、データベースのセキュリティ状況のモニタリングを実施し、安全なベースラインを確立し、実装するセキュリティがステータスを変更レポーティングと分析。データベースセキュリティ、劣化を防ぐために、データベースのセキュリティ監視:データベースのための安全なベースラインを確立し、変更治安状況のデータベースを定期的に走査、レポートおよび分析が発生しました。
、セキュリティの脆弱性のためのデータベースをチェックするデータベースの脆弱性で、効率的かつ信頼性の高い各勧告は、正常な機能の回復が利用できないことはありませんことを保証するための詳細な脆弱性の改善勧告を詳細なレポートを提供し、データベースシステムは、このような管理者を助けるために失敗して、起動することはできませんより迅速かつ効率的にバグ修正。
2、分類とグレーディング
数据资产梳理是数据库安全的基础,通过对数据资产的梳理,可以确定敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。通过静态梳理和动态梳理技术有效地解决组织对资产安全状况摸底及资产管理工作;改善以往传统方式下企业资产管理和梳理的工作模式,提高工作效率,保证了资产梳理工作质量。根据用户数据价值和特征,梳理出用户的核心数据资产并对其分类分级,在此基础之上针对数据的安全管理才能确定更加精细的措施。能做到对风险预估和异常行为评测,很大程度上避免了核心数据遭破坏或泄露的安全事件。
二、主动防御
1、对内审批
传统的数据库往往采用账户名+密码的单因子方式进行登录,在真实环境中运维使用者包含了开发、测试、运维、外包等人员,如果仅仅通过简单的授权方式进行防护,不但账号密码容易泄露,且有可能识别导致无法真实识别用户身份,导致权限滥用,一旦出现违规事件无法及时定责,追责,数据库面临着***、盗用的破坏和泄密问题,严重危害到数据的安全性。如何解决数据库访问在使用过程中的安全问题,并进行统一身份认证管理,是当前亟待解决的问题。
数据库安全运维通过身份识别、角色划分、身份授权、运维审批和访问控制等技术,实现对运维操作的事前审批、事中管控和事后稽核,规避内部人员导致的数据泄露风险。
2、对外防御
用户网络中存在种类繁多的应用系统,其中不乏有需要对公众开放的系统,而WEB服务器被暴露在网络之中,***者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放端口。对这样的隐患进行数据库级别访问控制、***防御,会有效的保护后台数据库不暴露在复杂的网络环境中,构建类似内网的安全防护状态。数据库安全防护系统,通过网络可信接入、应用身份识别、抵御SQL注入、虚拟补丁、阻断漏洞***、用户权限细粒度管理等手段,有效防止***者通过WEB应用,用“SQL注入”***的方法从后台数据库服务器尝试进行“刷库”,通过SQL注入防护可以从根本上帮助管理员防止SQL注入的发生。
三、底线防守
1、核心数据加密
通过独立的密文权限控制体系,限制DBA、服务外包人员、开发人员对敏感数据的访问权限,使其只能维护数据而无法访问敏感数据,从而远离泄密的危险;同时仅将敏感数据的访问能力开放给合法的使用人和必要的数据库维护人员,并对这些敏感数据的访问,开启审计进行详细记录。
2、敏感信息混淆
通过对数据库中的敏感数据进行识别,统计出敏感数据并进行管理,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。
四、事后追查
业务人员的数据库操作基本是合法的,但是也不能排除被利用或被***的情况,通过数据库审计精确记录关键业务操作和关联具体业务操作人员,为事后追溯定责提供准确依据,同时对数据库运维操作和非法批量导出行为进行告警。建议采用应用关联审计实现对业务用户的100%准确关联,在出现问题的时候能够实现准确的追责和定责。
重要なデータの漏洩や市民の情報を防ぐためには、作業システムであり、情報のセキュリティリスクを調査し、セキュリティリスクの技術的手段の組み合わせが必要で、技術と経営レベルの安全設計と実装を提供するために、それぞれ、設計のための国家基準に従ってください。調査とコア資産のデータ保護を強化するために、修復を目的と脆弱性の危険性のための技術や製品・ソリューションの強化策の使用。