新冠疫情影響下,會展業與云計算、大數據、物聯網等數字技術加速融合,“云上會展”成為新趨勢。然而風口之下,高價值的展會敏感數據無時不面臨著被竊取、攻擊的風險。因此,成熟配套的數據安全能力體系建設,也是會展業創新求變的重中之重。
廈門市會議展覽局(以下簡稱:會展局)主要負責協助主管部門承擔全市會展業有關政策規定的研究擬訂和實施,會展營銷推介、調研分析、招展引會,會展實體和項目策劃、引進等招商引資,會展專項資金管理等方面技術性、輔助性和事務性工作及投洽會等政府主導型展會的籌辦工作等。
隨著業務的發展及各類信息系統的快速建設,會展局各類業務系統產生海量數據并趨于大集中,涉及的數據信息包括:個人信息、志愿者信息、企業信息、參展信息(包括國內外參展方注冊數據)。這些信息對單位的運營、乃至區域經濟發展及社會安全穩定影響具有重要的價值。目前,會展局從業務場景出發,對各類重要系統以等保三級為標準進行安全建設,現已具備基礎的網絡安全能力,包括網絡安全態勢、網絡邊界訪問控制、應用/終端的安全防御能力。但在數據安全層面,尤其是對各類敏感信息還未做到安全防護,一方面缺少敏感數據訪問控制防護手段;另外敏感信息存在泄漏風險。面對敏感數據竊取、攻擊愈發頻繁的現象,會展局為保護數據資產安全,在等保三級能力的基礎上,對數據安全防護能力提升加固。基于上述安全現狀,會展局選擇攜手美創設計一套體系化的數據安全建設方案,通過“數據庫防火墻系統、數據庫透明加密系統、動態脫敏系統”等產品,構建縱深防護模型,快速提升數據安全防護能力,助力廈門會展產業數字化升級。
本次方案主要針對三大場景做技術能力建設,具體如下:
一)數據內控安全,通過動態脫敏技術,對未授權的賬戶訪問敏感數據實現動態脫敏,實現即允許運維人員訪問業務生存數據庫又無法看到核心敏感數據,來保護敏感數據信息安全性,不被非正常業務需求訪問,防止敏感數據信息泄露。
準入控制:支持多維身份管理;支持對運維工具或客戶端應用程序進行簽名登陸驗證,防止惡意和仿冒工具/程序登陸數據庫;支持安全管理員、系統管理員、安全審計員三權分立。
訪問控制:支持禁止DBA、SYSDBA、Schema User、Any等特權用戶訪問和操作敏感數據集合。支持查詢結果返回行數控制,避免數據大量泄漏;支持訪問頻次控制,避免一定時間內的高頻次訪問,避免數據流失;支持敏感SQL管理。
全面運維審計,記錄包括用戶名、IP地址、MAC地址、客戶端程序名、執行語句的時間、執行的SQL語句、操作的對象等,對其行為進行全程細粒度的審計分析。
二)數據入侵防護,該項能力建設主要彌補IPS、WAF等安全設備對數據庫防御能力的短板。依托美創數據庫防火墻系統,基于業內領先的機器學習技術、SQL解析技術、完善的SQL注入攻擊特征庫及漏洞特征庫,實時檢測和阻斷外部攻擊行為,主動防御撞庫、拖庫和SQL注入攻擊。
同時提供虛擬補丁功能,檢測并阻斷利用數據庫漏洞發起的攻擊行為,有效避免了因打補丁造成數據庫重啟失敗的可能;再加上基于身份授權下的敏感SQL操作管理,有效保證了不中斷連接會話下業務流的智能安全管控。
三)數據存儲安全,數據存儲安全場景下的能力建設主要規范了數據存儲加密的要求,通過采用美創數據庫透明加密系統,無需對單位業務進行改造即可實現對存量、增量敏感數據的加密存儲,創新的閃電加密模式加密過程無需業務停機,在保障業務連續性的基礎上,快速保障在取數過程中、存儲落地的安全。同時具備《商用密碼產品認證證書》,滿足商密合規要求。
通過以上三大場景技術能力的落地,會展局實現了在數據安全方面的深度防御效果,具備了“進不來”、“拿不走”、“看不懂”、“逃不掉”的安全防護能力,并配合現有安全管理制度,提升整體數據安全能力和意識。
通過上述規劃建設,會展局具備了外防內控的安全防御能力,具體如下:
1、防止內部高危操作:系統外包維護人員、開發人員等,沒有了直接訪問數據庫的權限,也無法進行有意無意的進行高危操作來破壞數據庫系統和數據。2、防止應用違規操作:業務操作人員和開發人員日常操作,通過數據庫防火墻的安全控制策略,從而形成一個數據庫的外圍防御圈,避免違規操作、外部攻擊等行為的破壞。3、防止敏感數據泄漏:外部黑客攻擊以及內部高權限用戶,可能繞開合法應用系統直接訪問數據庫,直接將數據庫拖庫,通過數據庫透明加密技術進行加密存儲,有效防止明文存儲引起的數據泄漏、突破邊界防護后的數據竊取可能。4、增強威懾:各類安全產品具備審計能力,通過審計加強了威懾力,并針對運維工作規范和流程進行了加強。也提高了業務操作人員安全意識,保障業務數據安全。
浙公網安備 33010502006954號 
