資源描述:
《安華金和數(shù)據(jù)庫安全教育行業(yè)解決方案》由會員上傳分享�,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1�����、安華金和數(shù)據(jù)庫安全教育行業(yè)解決方案一.行業(yè)需求與挑戰(zhàn)教育行業(yè)學(xué)院信息中心的招生咨詢��、學(xué)員管理����、網(wǎng)絡(luò)課件等數(shù)據(jù)都屬于學(xué)院內(nèi)部極其重要的數(shù)據(jù)���,作為核心數(shù)據(jù)載體——數(shù)據(jù)庫��,一旦發(fā)生來自于應(yīng)用用戶越權(quán)操作�、程序開發(fā)人員和數(shù)據(jù)庫運(yùn)維人員的數(shù)據(jù)泄露和篡改�����,都將造成巨大的損失��。?近年,學(xué)院信息中心在信息化安全建設(shè)上投入明顯���,已經(jīng)采購了網(wǎng)絡(luò)防火墻、入侵防護(hù)系統(tǒng)和主機(jī)安全檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品�����,可以完善地防護(hù)突破邊界造成的外部入侵。然而這些只能防止外部黑客入侵,但對于存儲核心“數(shù)據(jù)資產(chǎn)”的數(shù)據(jù)庫卻缺乏有效安全防護(hù)措施���。-5-?2016安華金和www.dbsec.cn當(dāng)前�,在系統(tǒng)中至少存在
2、以下重要數(shù)據(jù)庫安全威脅��,能夠直接導(dǎo)致百利留學(xué)敏感信息等重要數(shù)據(jù)的泄密發(fā)生:(1)網(wǎng)絡(luò)管理員等:解析數(shù)據(jù)庫文件獲取明文數(shù)據(jù)庫是系統(tǒng)的核心���,提高信息中心數(shù)據(jù)庫安全是百利留學(xué)數(shù)據(jù)安全管理工作的重要部分���。由于數(shù)據(jù)庫在操作系統(tǒng)下都是以文件形式進(jìn)行管理的����,當(dāng)竊取數(shù)據(jù)庫文件解析后即可得到明文的敏感數(shù)據(jù)��。對數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行加密處理��,是堵塞這一通向DBMS的“隱秘通道”的有效手段。(2)維護(hù)人員:權(quán)限過高批量導(dǎo)出敏感數(shù)據(jù)負(fù)責(zé)數(shù)據(jù)庫的維護(hù)管理��,直接掌握數(shù)據(jù)庫高權(quán)限賬戶的維護(hù)人員既負(fù)責(zé)各項(xiàng)管理工作,例如資源分配���、用戶授權(quán)�、系統(tǒng)審計(jì)等,又可以查詢數(shù)據(jù)庫中的一切信息���;這些人員的帳戶被他人利
3���、用��,完全可以隨時(shí)登陸數(shù)據(jù)庫�����,從而導(dǎo)致敏感信息泄密����。(3)業(yè)務(wù)人員:“越權(quán)操作”敏感信息目前百利留學(xué)信息系統(tǒng)的教職工帳戶���,業(yè)務(wù)功能應(yīng)因崗位而異�,數(shù)據(jù)應(yīng)因部門級別而異�����,操作權(quán)限應(yīng)因?qū)哟味悾纫WC合法使用者的正常使用�,又要防止越權(quán)獲得信息���、篡改信息的行為���。(4)程序開發(fā)人員等:利用數(shù)據(jù)庫賬戶竊取數(shù)據(jù)程序開發(fā)和測試人員知道數(shù)據(jù)庫賬戶信息,利用這些賬戶一方面可以在生產(chǎn)系統(tǒng)中加入后門程序����,通過這些后門程序從數(shù)據(jù)庫中竊取數(shù)據(jù)���,另一方面測通過測試系統(tǒng)接觸真實(shí)數(shù)據(jù)導(dǎo)致敏感信息泄密���。-5-?2016安華金和www.dbsec.cn一.方案概述1.1解決方案概述及要點(diǎn)描述本方案從存儲層�����、
4�、數(shù)據(jù)庫訪問層、應(yīng)用訪問層三個層面對數(shù)據(jù)庫面臨的安全威脅進(jìn)行分析��,以學(xué)院信息中心敏感數(shù)據(jù)的主動預(yù)防為目標(biāo)��,提出整體的數(shù)據(jù)庫安全加固解決方案���?�;跀?shù)據(jù)庫加密產(chǎn)品安華金和數(shù)據(jù)庫保險(xiǎn)箱系統(tǒng)(簡稱DBCoffer)��,設(shè)計(jì)實(shí)現(xiàn)了應(yīng)用訪問層�����、數(shù)據(jù)庫訪問層和存儲層的全方位敏感信息安全加固解決方案。DBCoffer通過數(shù)據(jù)存儲加密�����、獨(dú)立的權(quán)限控制���、三權(quán)分立�����、應(yīng)用安全訪問等核心能力�����,能夠主動預(yù)防來自于內(nèi)部維護(hù)人員���、第三方合作人員�����、內(nèi)部工作人員的各種數(shù)據(jù)竊取行為��,將對數(shù)據(jù)庫系統(tǒng)進(jìn)行有效地安全加固���,彌補(bǔ)當(dāng)前學(xué)院信息中心的數(shù)據(jù)庫安全“短板”�����。防止敏感信息泄密加密存儲:對關(guān)鍵敏感信息等敏感信息進(jìn)行
5、加密,防止備份文件����、數(shù)據(jù)文件丟失或被竊取引起的泄密。-5-?2016安華金和www.dbsec.cn敏感數(shù)據(jù)訪問權(quán)限控制:通過密問權(quán)控體系,僅對合法業(yè)務(wù)系統(tǒng)的后臺數(shù)據(jù)庫賬戶��,開放加密信息的訪問權(quán)限。限定訪問的ip和地址:限定能訪問加密信息的應(yīng)用服務(wù)程序,所在的IP地址和時(shí)間范圍��。提高數(shù)據(jù)加密安全性:使用國際通用的加密算法AES128���、AES256、3DES等�����,通過256位密鑰,每列使用不同的唯一密鑰��,定期更換加密密鑰����,進(jìn)一步屏蔽破解的可能性���。一.方案價(jià)值通過DBCoffer的密文權(quán)限控制體系,限制DBA�、服務(wù)外包人員�����、第三方開發(fā)人員對敏感數(shù)據(jù)的訪問權(quán)限,使其只能維護(hù)數(shù)據(jù)
6��、而無法訪問敏感數(shù)據(jù)��,遠(yuǎn)離了泄密和被篡改的危險(xiǎn);僅將敏感數(shù)據(jù)的訪問能力開放給合法的應(yīng)用系統(tǒng)和必要的數(shù)據(jù)庫維護(hù)人員,同時(shí)對這些敏感數(shù)據(jù)的訪問�����,開啟審計(jì)進(jìn)行詳細(xì)記錄�。敏感信息加密存儲��,核心的敏感信息包括:包括教員信息����、學(xué)生個人身份信息��;對這些敏感信息進(jìn)行存儲加密�,保證備份�、存儲設(shè)備丟失或被盜也不會引起關(guān)鍵信息泄漏�����。二.方案優(yōu)勢從數(shù)據(jù)庫級別進(jìn)行防控,從根源上徹底控制百利留學(xué)敏感信息數(shù)據(jù)的泄露����。-5-?2016安華金和www.dbsec.cnDBCoffer通過加密技術(shù)和權(quán)限控制增強(qiáng)技術(shù),將敏感信息的數(shù)據(jù)從存儲層進(jìn)行保護(hù)�,從數(shù)據(jù)庫訪問層進(jìn)行有效的權(quán)限控制�,使信息的保護(hù)真正提升到主
7��、動防御的水平?,F(xiàn)有的一些管理解決方案,更多地是相互制約的角度出發(fā)�����,增加對DBA或維護(hù)管理用戶的人員監(jiān)督;造成工作的成本增加��,工作的效率降低����,工作職責(zé)的混亂�。DBCoffer的實(shí)施,對于現(xiàn)有應(yīng)用系統(tǒng)的SQL語句���、開發(fā)接口����,都無需改造,原有數(shù)據(jù)庫核心特性均可繼續(xù)使用。同時(shí)DBCoffer集中控制的模式��,能夠更快地�����、無縫地融合到現(xiàn)有信息管理系統(tǒng)中。-5-?2016安華金和www.dbsec.cn
