云數(shù)據(jù)安全解決方案是怎樣的

本篇文章為大家展示了云數(shù)據(jù)安全解決方案是怎樣的，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

綜述

一、項目背景

是指大力推進商務(wù)、生產(chǎn)、生活等領(lǐng)域的信息化,促進信息產(chǎn)業(yè)、信息技術(shù)、信息資源和信息環(huán)境全面發(fā)展，建成全球重要的信息產(chǎn)業(yè)研發(fā)制造基地、亞洲重要的電子商務(wù)中心、全國網(wǎng)絡(luò)民生民主先行示范區(qū)、網(wǎng)絡(luò)創(chuàng)業(yè)創(chuàng)新集聚地，成為面向全世界、服務(wù)全國的信息區(qū)域中心。

值得注意的是，在信息化數(shù)字平臺的建設(shè)中，人們往往較重視服務(wù)器的可用性和安全性，而忽視了數(shù)據(jù)安全保護。實際上，數(shù)據(jù)才是各類應(yīng)用的中樞所在，災(zāi)難發(fā)生時，服務(wù)器、路由器、存儲設(shè)備等硬件資源容易快速恢復(fù)或重新配置，但是若是數(shù)據(jù)損壞或丟失，信息系統(tǒng)依然不能正常對外提供服務(wù)。同時，隨著大數(shù)據(jù)時代的來臨，數(shù)據(jù)成為最有價值的核心資產(chǎn)。大數(shù)據(jù)平臺系統(tǒng)為各行業(yè)、部門的精確化管理與業(yè)務(wù)優(yōu)化，提供戰(zhàn)略的規(guī)劃與決策，同時提供了及時、準確、有力的數(shù)據(jù)支撐。與此同時，各類涉及商業(yè)秘密和敏感數(shù)據(jù)信息在處理、共享和使用過程中也面臨被違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)信息泄漏的安全風險。因此，數(shù)據(jù)信息已經(jīng)成為信息化平臺建設(shè)中的核心資產(chǎn)，尤其敏感數(shù)據(jù)信息泄露事件的頻繁發(fā)生，嚴重的影響著國家和人民的利益。

二、項目分析

1、數(shù)據(jù)安全政策分析

隨著信息化平臺的深入建設(shè)，云平臺內(nèi)部的各種業(yè)務(wù)和信息支撐系統(tǒng)不斷增加，網(wǎng)絡(luò)規(guī)模也迅速擴大。數(shù)據(jù)庫做為信息技術(shù)的核心和基礎(chǔ)，承載著越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)，漸漸成為信息安全中最具有重要性的資產(chǎn)，數(shù)據(jù)庫的安全穩(wěn)定運行也直接決定著項目能否創(chuàng)造出應(yīng)有的價值。綜上所述，數(shù)據(jù)安全也成為開展需要考慮的重大問題。另外，國家、保密委、國家等級保護體系中都對數(shù)據(jù)庫安全情況做出了明確的要求，其中：

2016年11月7日，《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“《網(wǎng)絡(luò)安全法》”)正式通過，2017年6月1日起施行。《網(wǎng)絡(luò)安全法》共包括七章，七十九條，對網(wǎng)絡(luò)安全等級保護制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護和用戶個人信息保護制度等從法律層面上進行了規(guī)定。網(wǎng)絡(luò)安全法特別強調(diào)了數(shù)據(jù)的安全問題，明確指出需要對數(shù)據(jù)的采集、使用、傳輸、存儲等環(huán)節(jié)進行保護，具體條款如下：

1）第二十一條：國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求【誰主管誰負責】 ，履行下列安全保護義務(wù)保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改；

（1）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任；

（2）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（3）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

（4）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（5）法律、行政法規(guī)規(guī)定的其他義務(wù)。

解讀如下：

（1）本條明確網(wǎng)絡(luò)安全等級保護制度（也就是常說的”等?！保┦切畔踩ㄔO(shè)的基本要求；

（2）明確數(shù)據(jù)安全的內(nèi)容：保護網(wǎng)絡(luò)數(shù)據(jù)不被泄露或者被竊取、篡改。

（3）在以前的等保中，數(shù)據(jù)安全常常是可選項，而且常常是不被選擇的項目。通過本法本條，可以認為數(shù)據(jù)安全不再是“可選項”，而是必選項。這將極大的改變等保的實施內(nèi)容。

（4）當前的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入很多是以竊取數(shù)據(jù)為目的的，需要采取防止數(shù)據(jù)竊取的技術(shù)措施。對網(wǎng)絡(luò)安全事件的日志留存時間不少于六個月。這對數(shù)據(jù)訪問記錄的日志留存時間做出了明確要求，要高于6個月。

（5）要對數(shù)據(jù)根據(jù)敏感性進行分級和分類，從而對數(shù)據(jù)進行細粒度的訪問控制。

（6）明確要求對重要數(shù)據(jù)進行備份和加密。

2）第四十二條：網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

解讀如下：

（1）本條要求，對他人提供所收集到的個人信息，必須是“經(jīng)過處理的無法識別且不能復(fù)原的”。在技術(shù)上，這即是指要求對敏感數(shù)據(jù)進行脫敏處理。

（2）本條明確要求網(wǎng)絡(luò)運營者采取技術(shù)措施防止數(shù)據(jù)的泄露、毀損、丟失。

（3）本條要求發(fā)生數(shù)據(jù)安全事件時，網(wǎng)絡(luò)運營者應(yīng)該主動上報并采取補救措施。但是現(xiàn)實情況是很多數(shù)據(jù)泄露事件和數(shù)據(jù)篡改事件發(fā)生過很久以后，網(wǎng)絡(luò)運營者才知道。所以在主動發(fā)現(xiàn)數(shù)據(jù)安全事件方面，還需要更多的技術(shù)投入。而且在補救方面，如何找到攻擊路徑，也是一大難題。合格的數(shù)據(jù)庫審計產(chǎn)品能夠在一定程度上主動發(fā)現(xiàn)數(shù)據(jù)安全事件，并能在數(shù)據(jù)安全事件溯源方面提供幫助。

3）公安部 《信息系統(tǒng)安全等級保護基本要求》

網(wǎng)絡(luò)安全要求：

（1）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄

（2）審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息

（3）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表

（4）應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等

主機安全要求：

（1）審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶

（2）審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件

（3）審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等

（4）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表

（5）應(yīng)保護審計進程，避免受到未預(yù)期的中斷

（6）保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等

（7）應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計

數(shù)據(jù)安全要求：

（1）應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性。

另外一些行業(yè)性的法規(guī)和標準也陸續(xù)被推出和執(zhí)行，例如：《計算機信息系統(tǒng)安全保護等級劃分準則》、《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》、《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》、《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》、《中國人民***計算機信息系統(tǒng)安全保密規(guī)定》、《中國塞班斯法案(SOX)》、《***標準 (PCI)》，以及電力SG168、衛(wèi)生部防統(tǒng)方、互聯(lián)網(wǎng)金融安全基本法、央企商業(yè)機密保護條例……

這些法規(guī)和標準中，對結(jié)構(gòu)化數(shù)據(jù)和數(shù)據(jù)庫的保護提出了明確的要求和相應(yīng)實踐的標準。

2、風險分析

下圖是一個典型的信息系統(tǒng)和安全防范情況示意圖，描述了當前信息安全的情況。從圖中可以看出，從用戶終端瀏覽器或APP用戶到Web/APP服務(wù)器這一段的防護手段是比較多的。但是，在Web/APP服務(wù)器之后，防護手段就相當有限。在這種情況下，數(shù)據(jù)庫和其中的數(shù)據(jù)，極易遭受來自于外部和內(nèi)部的形式多樣的攻擊。外部攻擊者可以繞過前端防護系統(tǒng)或者穿透應(yīng)用程序直接訪問數(shù)據(jù)庫。而內(nèi)部人員的蓄意越權(quán)訪問、誤操作、或是介質(zhì)竊取等，都是數(shù)據(jù)泄露的通常途徑。雖然被報道的數(shù)據(jù)泄密事件主要是來自于外部攻擊，但是據(jù)多個調(diào)查結(jié)果顯示，來自于內(nèi)部的數(shù)據(jù)泄漏事件占70%以上。

據(jù)Verizon2017年發(fā)布的數(shù)據(jù)泄露調(diào)查分析報告和對發(fā)生的信息安全事件技術(shù)分析，排名在前4的攻擊模式（各種失誤、犯罪軟件、內(nèi)部人員/權(quán)限濫用、物理偷竊/丟失）涵蓋了90%的數(shù)據(jù)泄密事件，而這4種類型中有3種類型是人為的因素導(dǎo)致的數(shù)據(jù)泄露。數(shù)據(jù)泄露也常常發(fā)生在內(nèi)部，大量的運維人員直接接觸敏感數(shù)據(jù)，傳統(tǒng)以防外為主的網(wǎng)絡(luò)安全解決方案失去了用武之地。

中安威士在多年的項目實踐過程中，對網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)安全管理和數(shù)據(jù)庫安全問題進行了調(diào)研，總結(jié)了數(shù)據(jù)庫及其管理的數(shù)據(jù)所面臨的主要泄密風險如下圖所示，在一個具體的網(wǎng)絡(luò)環(huán)境示意圖中，我們可以看到：

1)   數(shù)據(jù)庫相當于一個黑盒子，我們無法可視化的了解數(shù)據(jù)庫的訪問狀況，無法對風險進行查看，無法對風險進行報警 ，缺乏詳盡的審計

2)   在業(yè)務(wù)服務(wù)器區(qū)存在用于無法全部清理的系統(tǒng)漏洞、開發(fā)人員留的后門及SQL注入漏洞等，那么客戶區(qū)，業(yè)務(wù)辦公區(qū)，運維區(qū)都可能利用這種漏洞對數(shù)據(jù)庫進行攻擊

3)   業(yè)務(wù)人員和內(nèi)部人員可以利用內(nèi)網(wǎng)進行數(shù)據(jù)導(dǎo)出也存在很大風險

4)   運維人員的越權(quán)訪問，或者權(quán)限過高，例如：DBA新建用戶時，沒有細化權(quán)限，導(dǎo)致本應(yīng)只有查詢權(quán)限的用戶，進行數(shù)據(jù)刪除，或者更新操作，或者DBA利用管理權(quán)限進行竊取數(shù)據(jù)

5)   內(nèi)部人員也有可能對數(shù)據(jù)庫做了誤操作的行為，導(dǎo)致生產(chǎn)事故

通過對上圖場景的分析，中安威士根據(jù)多年數(shù)據(jù)安全的項目經(jīng)驗，總結(jié)出數(shù)據(jù)庫面臨的主要風險:

1)   越權(quán)權(quán)限的濫用：數(shù)據(jù)庫權(quán)限設(shè)置違反了“權(quán)限最小原則”在很多信息系統(tǒng)中比較普遍。如果這些超出的權(quán)限被濫用，則極易發(fā)生敏感數(shù)據(jù)泄漏事件；

2)   合法權(quán)限濫用：系統(tǒng)中總是有一部分用戶合法的擁有較大甚至是超級管理權(quán)限。如果這些權(quán)限被濫用，則極易發(fā)生嚴重后果；

3)   權(quán)限盜用：由于商用數(shù)據(jù)庫的用戶認證方式主要為單一的口令方式，權(quán)限盜用容易發(fā)生，進而極易導(dǎo)致嚴重的數(shù)據(jù)泄漏事件；

4)   數(shù)據(jù)庫平臺漏洞：數(shù)據(jù)庫管理系統(tǒng)是個復(fù)雜的軟件系統(tǒng)，從數(shù)據(jù)庫廠家發(fā)布的補丁情況來看，數(shù)據(jù)庫系統(tǒng)無一例外的具有嚴重的安全漏洞。如緩沖區(qū)注入漏洞或者認證、權(quán)限管理漏洞。這些漏洞極易被攻擊者利用以竊取數(shù)據(jù)；

5)   SQL注入、緩沖區(qū)溢出風險：數(shù)據(jù)庫本身不具備SQL注入攻擊檢測能力。通過Web/APP插入惡意語句，或者利用連接工具發(fā)動緩沖區(qū)溢出攻擊，攻擊者便有機會獲得整個數(shù)據(jù)庫的訪問權(quán)限；

6)   弱鑒權(quán)機制：商業(yè)數(shù)據(jù)庫系統(tǒng)提供的基本的管理機制，主要是自主訪問控制（DAC）和基于角色的訪問控制（RBAC）。并沒有采用強制訪問控制的方式（MAC），基于用戶和數(shù)據(jù)的敏感級別來進行權(quán)限的鑒別。這容易使得低密級用戶訪問到高密級的數(shù)據(jù)；

7)   缺乏詳盡審計：審計是每個數(shù)據(jù)庫管理系統(tǒng)標配的安全特性，用于記錄對數(shù)據(jù)的訪問情況，從而形成對非法訪問的威懾。而數(shù)據(jù)庫自身的審計功能在可視化、智能化、入侵檢測能力等方面能力較弱，通常無法滿足實際的安全需求。

3、需求分析

在信息資產(chǎn)上存在大量的政務(wù)數(shù)據(jù)及公民信息，有大量包括姓名、***號、地址、***號、合同號等個人隱私信息。而這些數(shù)據(jù)，在政務(wù)的很多工作場景中都會使用，例如業(yè)務(wù)分析、開發(fā)測試、審計監(jiān)管，甚至是一些外包業(yè)務(wù)等，使用的都是真實的業(yè)務(wù)數(shù)據(jù)和信息。一旦信息泄露，無論對公司還是管理人員都會造成嚴重影響。敏感信息保護是緊迫性高、影響程度大的風險管理工作，直接影響到建設(shè)聲譽和業(yè)務(wù)開展。

通過對數(shù)據(jù)庫存在的風險分析，和相關(guān)的法規(guī)標準要求，中安威士將數(shù)據(jù)庫安全的真實需求概括為三點：

1）數(shù)據(jù)安全風險可視化

了解數(shù)據(jù)資產(chǎn)的分布。需要自動發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器、敏感數(shù)據(jù)的分布情況，為后續(xù)安全加固明確目標；

實時掌握數(shù)據(jù)庫系統(tǒng)的可用性。要求能對數(shù)據(jù)庫運行狀態(tài)進行實時監(jiān)控，在狀態(tài)異常時進行預(yù)警，提前防止業(yè)務(wù)癱瘓，保障業(yè)務(wù)系統(tǒng)的連續(xù)可用性；

實時掌握數(shù)據(jù)庫存在的風險狀況。要求能通過掃描的方式，靜態(tài)的評估企業(yè)數(shù)據(jù)庫系統(tǒng)的風險，掃描內(nèi)容包括：弱口令檢測、系統(tǒng)漏洞、配置風險等；

需要進行數(shù)據(jù)活動監(jiān)控。實時監(jiān)控數(shù)據(jù)活動情況，記錄數(shù)據(jù)訪問行為，尤其是對敏感數(shù)據(jù)的訪問行為。要求能實現(xiàn)對數(shù)據(jù)庫的直接訪問和通過Web和應(yīng)用對數(shù)據(jù)庫的間接訪問進行全面監(jiān)控。

對高危風險進行報警。通過策略配置識別網(wǎng)絡(luò)中的數(shù)據(jù)庫操作語句，是否存在風險，對風險級別進行管理并告警處理。

2）數(shù)據(jù)的可控性

在日常數(shù)據(jù)庫使用中針對合法權(quán)限濫用、被盜用等造成的數(shù)據(jù)泄露、數(shù)據(jù)損毀、數(shù)據(jù)被篡改等采取技術(shù)手段降低風險；

需要進行數(shù)據(jù)庫攻擊檢測和保護。由于數(shù)據(jù)庫系統(tǒng)本身可能存在的通訊協(xié)議漏洞、數(shù)據(jù)庫平臺漏洞等造成系統(tǒng)被SQL注入攻擊、緩沖區(qū)溢出攻擊等來自數(shù)據(jù)庫日常使用邊界之外的惡意攻擊風造成的數(shù)據(jù)泄露、損毀風險。

3）數(shù)據(jù)合規(guī)性

信息系統(tǒng)需要通過各種安全檢查和測評。比如等保、分保測評，或者行業(yè)法規(guī)標準的檢查。

總體方案

一、方案概述

針對的數(shù)據(jù)庫安全安全需求，為加強業(yè)務(wù)系統(tǒng)敏感信息的訪問安全審計監(jiān)控，防止數(shù)據(jù)庫的高危操作，防止SQL攻擊。中安威士給出基于數(shù)據(jù)庫審計，數(shù)據(jù)庫防火墻的綜合數(shù)據(jù)安全解決方案，實現(xiàn)“可視”、“可控”、“合規(guī)”的需求，如下圖，擬對存儲敏感信息的數(shù)據(jù)庫進行重點審計，核心數(shù)據(jù)庫進行防火墻高危阻斷。確保數(shù)據(jù)庫訪問合法合規(guī)，重點實現(xiàn)“數(shù)據(jù)庫操作事后追溯取證”、“數(shù)據(jù)庫違規(guī)訪問行為實時預(yù)警”、“核心數(shù)據(jù)資產(chǎn)的防泄露，防篡改，防攻擊”。

1、該方案概括來講，就是把數(shù)據(jù)關(guān)進籠子，讓數(shù)據(jù)的訪問在陽光下進行，為兩個遞進層次：

1）把數(shù)據(jù)關(guān)進籠子

通過數(shù)據(jù)庫防火墻產(chǎn)品，基于自動學(xué)習和規(guī)則配置，生成細粒度的訪問控制規(guī)則，阻斷異常的查詢和訪問，防止敏感數(shù)據(jù)泄漏。阻斷異常的和違規(guī)的數(shù)據(jù)修改和刪除操作，防止敏感數(shù)據(jù)被非法篡改。

2）讓數(shù)據(jù)的訪問在陽光下進行

通過數(shù)據(jù)庫審計產(chǎn)品，對數(shù)據(jù)的分布、性能、訪問和活動情況進行全方位的監(jiān)控和記錄，做到哪個用戶、在什么時間、訪問了哪些數(shù)據(jù)庫中的什么語句，便于事后審計和追查。及時發(fā)現(xiàn)數(shù)據(jù)的異?；顒忧闆r和風險，產(chǎn)生報警。輸出可視化的報表，便于分析。

二、建設(shè)原則

為實現(xiàn)的建設(shè)目標，中安威士在資源整合及未來擴展方面進行全面考慮，并遵循以下幾項原則進行項目建設(shè)建議及產(chǎn)品選型：

1、技術(shù)先進性

在設(shè)計過程中，應(yīng)采用國際先進的技術(shù)、成熟的產(chǎn)品和設(shè)計規(guī)范，保證系統(tǒng)的穩(wěn)定、高效運行，選用符合國際標準的技術(shù)和產(chǎn)品，保證系統(tǒng)的一致性，并保證在以后的發(fā)展過程中能適應(yīng)信息技術(shù)的發(fā)展趨勢，采用的技術(shù)和產(chǎn)品能夠提供清晰地發(fā)展路線，很好的保證項目建設(shè)總體投資回報率。

2、實用性與成熟性

根據(jù)系統(tǒng)實際應(yīng)用需求進行方案的設(shè)計，采用高性能的技術(shù)成熟的標準，選用性價比高的設(shè)備，建設(shè)好的數(shù)據(jù)庫審計、數(shù)據(jù)庫防護墻系統(tǒng)，應(yīng)該既能夠滿足業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫審計防護需求，又能適應(yīng)將來應(yīng)用需求的擴展，使系統(tǒng)能夠方便地升級，充分地保護原有的架構(gòu)。

3、開放性與標準化

我公司主要關(guān)注用戶的投資保護以及良好的升級路徑，采用標準化和開放的標準能夠使在選擇硬件、軟件和服務(wù)產(chǎn)品是具有靈活選擇能力，以便獲得更高性價比的產(chǎn)品和服務(wù)。

4、結(jié)構(gòu)的合理性

采用合理高效的系統(tǒng)結(jié)構(gòu)，設(shè)計的數(shù)據(jù)庫審計、防火墻系統(tǒng)結(jié)構(gòu)應(yīng)能合理安排冗余和負載，能夠避免投資浪費，保證總擁有成本。

5、高可靠性

數(shù)據(jù)庫審計、防火墻系統(tǒng)設(shè)計特別是關(guān)鍵節(jié)點的設(shè)計中，選用高可靠性產(chǎn)品，并有合理的冗余和可靠的系統(tǒng)備份升級改造設(shè)計策略，保證系統(tǒng)具有故障自愈的能力，確保系統(tǒng)可靠運行，也是保障系統(tǒng)正常運行的關(guān)鍵。

6、高性能

構(gòu)建高質(zhì)量的數(shù)據(jù)庫審計服務(wù)平臺，為關(guān)鍵業(yè)務(wù)提供高可靠的數(shù)據(jù)庫審計平臺，業(yè)務(wù)的特點（高峰和低谷）期間滿足核心系統(tǒng)及數(shù)據(jù)庫應(yīng)用系統(tǒng)的數(shù)據(jù)庫審計訪問的需要，并保證有較快的響應(yīng)速度。

7、安全性

設(shè)計的數(shù)據(jù)庫審計、防火墻系統(tǒng)具有足夠的安全性，能夠防止來自系統(tǒng)內(nèi)部的惡意破壞及來自系統(tǒng)外部的惡意攻擊；能有效地防止因人為誤操作帶來的影響，提供有效的容災(zāi)、容錯等風險保障機制，對人為誤操作等不可預(yù)知的問題應(yīng)有良好的預(yù)防和恢復(fù)措施。

8、可擴展性

采用的設(shè)備、技術(shù)和其它產(chǎn)品必須標準化，系統(tǒng)結(jié)構(gòu)及設(shè)備應(yīng)易于擴展，技術(shù)和產(chǎn)品發(fā)展具有良好的可持續(xù)性、可擴充性，方案設(shè)計能夠保證方便平滑地對原有系統(tǒng)進行升級和更新，最大限度地保證業(yè)務(wù)的連續(xù)性、可擴展性、數(shù)據(jù)的高安全性。

三、集成方式

針對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，我們通過實際調(diào)研，選擇最佳部署方式，部署方式原則本著“最大限度不改變拓撲結(jié)構(gòu)”、“最大限度減少對業(yè)務(wù)影響”、“最大限度減少性能影響”的原則。為客戶提供最適宜的方式實現(xiàn)數(shù)據(jù)安全的防護工作。

1、數(shù)據(jù)庫審計

1）分別在互聯(lián)網(wǎng)云資源區(qū)、云資源區(qū)，以及運維管理區(qū)部署高性能的數(shù)據(jù)庫審計系統(tǒng)，對所有數(shù)據(jù)庫部署數(shù)據(jù)庫審計，有效監(jiān)控數(shù)據(jù)庫訪問行為，準確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件，實時記錄，并且實現(xiàn)安全事件的定位分析，事后追查取證。

2）在兩臺相同功能的交換機做冗余部署的情況下，部署一臺高性能的審計系統(tǒng)，將兩臺交換機的數(shù)據(jù)庫流量端口都做鏡像，統(tǒng)一發(fā)送到審計設(shè)備，審計設(shè)備針對兩個流量口部署相應(yīng)的數(shù)據(jù)庫引擎，進行數(shù)據(jù)審計。

2、數(shù)據(jù)庫防火墻

1）針對數(shù)據(jù)庫的防護，需結(jié)合交換機策略路由的方式部署數(shù)據(jù)庫防火墻，分別在互聯(lián)網(wǎng)資源區(qū)以及政務(wù)外網(wǎng)區(qū)域部署數(shù)據(jù)庫防火墻系統(tǒng)，下面以政務(wù)外網(wǎng)資源區(qū)為例，對兩臺交換機分別做策略路由，將訪問數(shù)據(jù)庫的資源發(fā)送到數(shù)據(jù)庫防火墻，防火墻系統(tǒng)接收到數(shù)據(jù)后，進行策略的匹配，對高危操作進行阻斷，對無危險的行為通過防火墻的路由功能或者交換機進行回注，回注到帶路由的交換機，然后通過路由策略，發(fā)送到數(shù)據(jù)庫進行業(yè)務(wù)交互。

2）數(shù)據(jù)庫防火墻以純透明方式部署，可通過軟件bypass和硬件bypass來保障鏈路的高可用性不影響原吞吐量。

四、功能部署建議

1、對所有數(shù)據(jù)庫進行審計，對敏感數(shù)據(jù)庫部署防火墻

項目的數(shù)據(jù)庫主要部署在政務(wù)外網(wǎng)云資源區(qū)，和互聯(lián)網(wǎng)云資源區(qū)，根據(jù)數(shù)據(jù)安全原則，就需要對這里的所有數(shù)據(jù)庫進行訪問行為的審計，做到訪問留痕與事后追查，而在整個系統(tǒng)中，需要梳理出認為比較重要的數(shù)據(jù)庫，這里存在的數(shù)據(jù)被認為是敏感數(shù)據(jù)，那么就需要通過部署數(shù)據(jù)庫防火墻，實現(xiàn)敏感數(shù)據(jù)的保護。

2、數(shù)據(jù)庫的性能監(jiān)控

通過數(shù)據(jù)庫審計的性能監(jiān)控功能，實時監(jiān)控數(shù)據(jù)的運行狀態(tài)，設(shè)定運行的閾值限制，當超出閾值范圍內(nèi)，我們就認為數(shù)據(jù)庫的健康狀態(tài)有一定的危險，該功能可以對超出閾值的行為進行報警，起到提前預(yù)防宕機的可能。

具體監(jiān)控內(nèi)容如下：

1）支持監(jiān)控設(shè)備自身的CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)等狀態(tài)，保證系統(tǒng)的穩(wěn)定運行

2）支持對數(shù)據(jù)庫系統(tǒng)進行全面的狀態(tài)監(jiān)控，實時監(jiān)測數(shù)據(jù)庫系統(tǒng)的運行參數(shù)，包括監(jiān)視器信息、連接時間、用戶活動、表空間狀態(tài)、SGA狀態(tài)、數(shù)據(jù)文件性能、回滾段、緩沖區(qū)、鎖統(tǒng)計、cache信息、線程信息等參數(shù)，保證數(shù)據(jù)庫系統(tǒng)運行穩(wěn)定

3）數(shù)據(jù)庫狀態(tài)監(jiān)控所有指標，支持報警

3、數(shù)據(jù)庫的風險評估

通過審計產(chǎn)品的輔助功能，數(shù)據(jù)庫風險掃描，可以對指定的數(shù)據(jù)庫進行掃描，通過掃描給出風險報告，協(xié)助數(shù)據(jù)庫管理員，更好的優(yōu)化數(shù)據(jù)庫的漏洞。風險掃描的具體設(shè)置如下：

1）通過弱口令檢測，保證口令的強壯度

2）通過對數(shù)據(jù)庫系統(tǒng)用戶權(quán)限分配的風險掃描，發(fā)現(xiàn)權(quán)限分配是否合理

3）對數(shù)據(jù)庫、操作系統(tǒng)的安全配置進行檢測，檢測范圍包括：系統(tǒng)類、授權(quán)類、認證類，此項目可根據(jù)實際情況進行自定義

4）掃描完成生成掃描報告，對掃描結(jié)果進行分析，報告，報告中提供修復(fù)建議，掃描結(jié)果例如下圖所示：

4、數(shù)據(jù)庫審計策略支撐
      綜合運用數(shù)據(jù)庫審計的基本審計規(guī)則，默認高風險審計規(guī)則，SQL注入規(guī)則，白名單規(guī)則，訪問行為基線規(guī)則，通過了解業(yè)務(wù)系統(tǒng)的特性，進行針對化的策略配置，在策略運行的同時，定期進行修正，使策略達到最佳狀態(tài)。

自定義規(guī)則可從如下角度進行配置：

通過數(shù)據(jù)庫審計提供靈活的審計策略配置，以保證安全審計員可定義精準的分級審計策略。審計策略可定義條件包括但不限于：策略生效時間周期、源目的IP、目的端口、被審計服務(wù)、客戶端程序、操作規(guī)則集、響應(yīng)方式、響應(yīng)時間、影響行數(shù)等。

可從安全風險等角度分類提供缺省操作規(guī)則**，安全審計員也可自定義操作規(guī)則集。操作規(guī)則定義范圍需包括：數(shù)據(jù)庫、表、操作類型（命令）、SQL等，需要支持等于、包含等非正則表達式方式。

對上述數(shù)據(jù)庫協(xié)議解析還原準確、完整不丟失，不產(chǎn)生亂碼截斷等問題。解析細粒度必須涵蓋源目IP、目的端口、用戶名、客戶端工具名、主機名、操作系統(tǒng)用戶名、SQL語句、操作類型、表對象、錯誤代碼、執(zhí)行時長、返回結(jié)果集、返回行數(shù)、綁定變量等，對協(xié)議里的部分特性要保證無損還原，確

日志的完整可信；支持對返回結(jié)果集全部記錄及行解析、列值解析，支持返回結(jié)果集檢索。

對審計存儲過程的創(chuàng)建、執(zhí)行等命令，同時還能夠自動學(xué)習到存儲過程的具體內(nèi)容，防止有人使用存儲過程執(zhí)行一些敏感操作躲避審計系統(tǒng)監(jiān)控；生成符合審計要求的結(jié)構(gòu)化和半結(jié)構(gòu)化日志記錄。

中安威士根據(jù)豐富的項目經(jīng)驗，總結(jié)了一套默認的風險行為處理規(guī)則，這套規(guī)則可以讓客戶實現(xiàn)快速的部署并應(yīng)用。如下圖所示：

5、數(shù)據(jù)庫防護墻高危阻斷支撐

通過數(shù)據(jù)庫審計一定時間的審計結(jié)果，總結(jié)出數(shù)據(jù)庫面臨的風險行為。

根據(jù)風險行為，在數(shù)據(jù)庫防火墻中根據(jù)對應(yīng)的策略設(shè)置，將風險行為進行阻斷。

數(shù)據(jù)庫防火墻的策略配置方式，與審計的配置方式基本一致。

6、加強數(shù)據(jù)庫違規(guī)操作實時預(yù)警

主要是針對內(nèi)外部人員及業(yè)務(wù)系統(tǒng)對數(shù)據(jù)庫系統(tǒng)訪問存在的違規(guī)行為通過預(yù)設(shè)規(guī)則實時預(yù)警，實時通過郵件、短信、syslog方式及時通知安全審計員，確保第一時間了解數(shù)據(jù)庫違規(guī)行為狀態(tài)。

1）內(nèi)置漏洞識別攻擊策略：內(nèi)置常見的數(shù)據(jù)庫漏洞攻擊策略，包含SQL注入、緩沖區(qū)溢出等規(guī)則，可發(fā)現(xiàn)黑客攻擊行為并產(chǎn)生告警。

2）自定義規(guī)則：支持自定義安全審計規(guī)則，并支持黑白名單系統(tǒng)，保證黑白名單能從整體上做為自定義規(guī)則的一個補充和完善。

3）自定義規(guī)則條件：支持客戶端工具、主機名、操作系統(tǒng)用戶名、表對象、操作類型、SQL報文、執(zhí)行時長、返回行數(shù)等規(guī)則。

4）支持審計過濾功能：對可信數(shù)據(jù)庫服務(wù)器之間的數(shù)據(jù)抽取訪問行為不進行審計。

5）實時預(yù)警通知：通過郵件、短信、syslog、ftp等方式實時外送告警日志，并對告警外送日志頻率有一定的控制，避免因為惡意的攻擊行為覆蓋已有的審計日志信息。

7、建設(shè)數(shù)據(jù)庫審計事后追查能力

數(shù)據(jù)庫審計系統(tǒng)對所有應(yīng)用和維護人員的數(shù)據(jù)庫操作及結(jié)果記錄日志，日志保留周期6個月，確保6個月內(nèi)的日志可以快速取證追溯，審計取證性能不低于1億數(shù)據(jù)檢索時間不超過1分鐘，提供給安全審計員進行合規(guī)分析。

1）流量解析還原處理及日志記錄保障。

（1）通過數(shù)據(jù)庫審計采集器對鏡像流量按照不同的數(shù)據(jù)庫協(xié)議解析引擎進行還原，確保還原成標準的審計記錄事件，不丟失任何審計日志記錄

（2）對日志中源IP、用戶名、客戶端工具名、主機名、操作系統(tǒng)用戶名、SQL語句、操作類型、表對象、錯誤代碼、執(zhí)行時長、返回結(jié)果集、返回行數(shù)的解析，對協(xié)議里的部分特性要保證無損還原，確保日志的完整可信；

（3）對返回結(jié)果集全部記錄及行解析，對返回結(jié)果集檢索。

2）審計對象自動識別：自動從鏡像流量識別目標數(shù)據(jù)庫IP、端口、版本等信息，確保所有數(shù)據(jù)庫訪問自動發(fā)現(xiàn)并記錄日志。

3）分布式部署、集中式管理：管理中心能對所有設(shè)備進行統(tǒng)一的配置管理、策略下發(fā)、數(shù)據(jù)查詢、報表生成等。

4）針對間接訪問數(shù)據(jù)庫場景的審計支撐：實現(xiàn)以下間接訪問數(shù)據(jù)庫場景審計，直接追蹤到真實的源IP和客戶端賬號。

（1）客戶端通過應(yīng)用服務(wù)器對數(shù)據(jù)庫服務(wù)器的訪問行為審計，需要通過應(yīng)用配合改造記錄源IP和客戶端賬號。

（2）客戶端通過堡壘機對數(shù)據(jù)庫服務(wù)器間接訪問行為審計，需要關(guān)聯(lián)堡壘機日志。

（3）客戶端通過堡壘機再通過跳板機對數(shù)據(jù)庫間接訪問進行審計，需要關(guān)聯(lián)堡壘機日志。

5）日志關(guān)聯(lián)分析：對審計日志實時關(guān)聯(lián)處理，確保每條審計日志關(guān)聯(lián)到對應(yīng)的責任人姓名、部門，確保準確可查；

6）日志存儲：審計日志保留周期不低于三個月，確保日志不可篡改不可刪除，系統(tǒng)支持自動清理策略，確保系統(tǒng)的正常運行；

7）數(shù)據(jù)統(tǒng)計報表：建立多維度統(tǒng)計報表，以多個審計維度，自動導(dǎo)出word、pdf、excel、HTML等格式的報表。

8、審計日志外送

審計日志以多種方式全量定時自動發(fā)送、支持C/S客戶端工具或WEB端查詢結(jié)果按需導(dǎo)出，導(dǎo)出excel、文本等格式的日志文件，導(dǎo)出日志包含審計的所有維度要素，同時可自定義數(shù)據(jù)外送維度，按需送出所需的審計數(shù)據(jù)。

9、數(shù)據(jù)統(tǒng)計報表

綜合性報表理念，以日報、月報、周報、自定義報表等形式，基于系統(tǒng)性能、高危風險、會話語句等多個維度進行系統(tǒng)性分析，建立多維度的審計數(shù)據(jù)分析報表，內(nèi)置數(shù)據(jù)分析模板，可以從不同維度展示數(shù)據(jù)庫的運行訪問狀態(tài)，導(dǎo)出word、pdf、excel等格式報表。

報表自定義條件支持全審計維度，同時支持自動報表導(dǎo)出自動郵件發(fā)送功能，支持按照日、周、月自動發(fā)出。

報表結(jié)果如下圖所示：

支持默認報表40個，支持自定義報表，支持SOX防統(tǒng)方報表等等。

五、功能部署結(jié)果

1、通過數(shù)據(jù)庫審計+防火墻的結(jié)合部署，能很好的實現(xiàn)可視、可控、合規(guī)的需求，能很好解決下圖所面臨的風險，回歸到風險圖中可以看到我們的具體解決思路是：

1) 數(shù)據(jù)庫相當于一個黑盒子，我們無法可視化的了解數(shù)據(jù)庫的訪問狀況，無法對風險進行查看，無法對風險進行報警 ，缺乏詳盡的審計

解決方法：通過部署數(shù)據(jù)庫審計系統(tǒng)，詳細記錄數(shù)據(jù)庫的訪問行為，形成可視化的界面日志供查看，同時對數(shù)據(jù)庫進行性能監(jiān)控和風險掃描，防止數(shù)據(jù)庫的宕機，并且欲知數(shù)據(jù)庫風險，高風險行為進行告警處理，并且形成可視化的報表供查看。

2) 在業(yè)務(wù)服務(wù)器區(qū)存在用于無法全部清理的系統(tǒng)漏洞、開發(fā)人員留的后門及SQL注入漏洞等，那么客戶區(qū)，業(yè)務(wù)辦公區(qū)，運維區(qū)都可能利用這種漏洞對數(shù)據(jù)庫進行攻擊

解決方法：通過部署數(shù)據(jù)庫防火墻系統(tǒng)，進行SQL注入、漏洞攻擊的防護。

具體防護措施為：

（1）啟用數(shù)據(jù)庫的SQL注入規(guī)則，該規(guī)則內(nèi)置大量注入模板，對匹配到的數(shù)據(jù)注入攻擊進行阻斷操作。

（2）漏洞、后門等行為，體現(xiàn)到數(shù)據(jù)庫中，是一些違反常規(guī)的操作語句，可以通過手動配置規(guī)則+自動學(xué)習策略進行規(guī)則匹配

3) 業(yè)務(wù)人員和內(nèi)部人員可以利用內(nèi)網(wǎng)進行數(shù)據(jù)導(dǎo)出也存在很大風險

解決方法：通過數(shù)據(jù)庫審計系統(tǒng)，運維審計功能，內(nèi)部人員對數(shù)據(jù)庫的exp，imp等行為進行審計。通過部署數(shù)據(jù)庫防火墻系統(tǒng)，根據(jù)手動配置規(guī)則，對exp，imp 等操作行為進行阻斷，實現(xiàn)防范業(yè)務(wù)人員和內(nèi)部人員進行數(shù)據(jù)導(dǎo)出。

4) 運維人員的越權(quán)訪問，或者權(quán)限過高，例如：DBA新建用戶時，沒有細化權(quán)限，導(dǎo)致本應(yīng)只有查詢權(quán)限的用戶，進行數(shù)據(jù)刪除，或者更新操作，或者DBA利用管理權(quán)限進行竊取數(shù)據(jù)

解決方法：通過數(shù)據(jù)庫防火墻系統(tǒng)，根據(jù)手動策略設(shè)置實現(xiàn)用戶+操作的策略，在DBA權(quán)限的基礎(chǔ)上，進行二次認證，防止因為DBA權(quán)限分配不細等出現(xiàn)的權(quán)限過高，權(quán)限濫用。

5) 內(nèi)部人員也有可能對數(shù)據(jù)庫做了誤操作的行為，導(dǎo)致生產(chǎn)事故

解決方法：通過數(shù)據(jù)庫防火墻系統(tǒng)，根據(jù)手動策略設(shè)置實現(xiàn)默認高風險阻斷的策略，例如：禁止DROP, TRUNCATE, ALTER等操作，防范惡意刪除，或者誤操作。 

六、功能優(yōu)勢

1、保護核心數(shù)據(jù)資產(chǎn)，防止內(nèi)部越權(quán)訪問

2、防止內(nèi)部人員泄密、違規(guī)備份、權(quán)限濫用、誤操作等；

3、防止運維人員和第三方人員違規(guī)訪問敏感數(shù)據(jù)。

4、保護核心數(shù)據(jù)資產(chǎn)，防止外部攻擊

5、防止外部黑客攻擊，竊取數(shù)據(jù)；

6、防止SQL注入攻擊、緩沖區(qū)溢出以及權(quán)限盜用等。

7、對合法應(yīng)用和用戶透明

8、智能學(xué)習，自動生成安全基線，無需手工配置復(fù)雜的規(guī)則；

9、高穩(wěn)定性與高性能，支持雙機熱備，保證業(yè)務(wù)連續(xù)不中斷；

10、不需要對當前網(wǎng)絡(luò)環(huán)境、應(yīng)用配置做審核更改；

11、對授權(quán)用戶的訪問與管理過程無影響。

方案價值

一、方案價值

1、通過上述解決方案，有效解決了政務(wù)云的數(shù)據(jù)安全所面臨的威脅：

1）使數(shù)據(jù)活動可視。實時顯示政務(wù)云的敏感數(shù)據(jù)的分布情況、訪問情況、風險狀況，及時發(fā)現(xiàn)數(shù)據(jù)的異?；顒訝顩r和風險，實現(xiàn)數(shù)據(jù)庫安全最基本的要求。

2） 使數(shù)據(jù)安全可控。即通過控制對政務(wù)云的數(shù)據(jù)的活動和訪問，防止數(shù)據(jù)庫中的敏感信息部分或全部被偷窺、拖庫或者鏡像，防止數(shù)據(jù)庫中的敏感信息被非法修改或者刪除。

3.）滿足合規(guī)要求，快速通過評測。產(chǎn)品實現(xiàn)獨立的審計和訪問控制，直接輸出合規(guī)的報表，滿足政務(wù)云的多個法規(guī)和標準的要求。能夠幫助政務(wù)云的快速通過各種安全保密檢查和評測，比如等保評測。

2、具體來說，中安威士數(shù)據(jù)庫安全加固系統(tǒng)帶給客戶如下價值：

1）簡化業(yè)務(wù)治理，提高數(shù)據(jù)安全管理能力

由于數(shù)據(jù)庫系統(tǒng)是一個復(fù)雜的軟件“黑盒子”，其可視化程度很低。數(shù)據(jù)庫管理員很難說清在任意時刻數(shù)據(jù)被訪問的情況。這對業(yè)務(wù)治理帶來了很大的困難。尤其在云環(huán)境中，這種不可視化程度更加嚴重。數(shù)據(jù)安全解決方案通過多種手段全面監(jiān)控數(shù)據(jù)的訪問情況，并提供豐富的預(yù)設(shè)統(tǒng)計報表，以圖形化的方式將數(shù)據(jù)的訪問情況和風險情況可視化，極大的簡化了業(yè)務(wù)治理，提高了數(shù)據(jù)安全管理能力。

2）減少核心數(shù)據(jù)資產(chǎn)被侵犯，保障業(yè)務(wù)連續(xù)性

數(shù)據(jù)是最有價值的資產(chǎn)，也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心數(shù)據(jù)被侵犯，輕則導(dǎo)致業(yè)務(wù)中斷，重則導(dǎo)致信息泄密和篡改，嚴重威脅國家信息安全。應(yīng)用系統(tǒng)中管理權(quán)和所有權(quán)的分離也大大提升了數(shù)據(jù)被侵犯的風險。數(shù)據(jù)安全解決方案緊密貼合數(shù)據(jù)，實現(xiàn)數(shù)據(jù)安全的可視性和可控性，并最終減少核心數(shù)據(jù)資產(chǎn)被侵犯的可能性，保障正常的業(yè)務(wù)連續(xù)性。

3）完善縱深防御體系，提升整體安全防護能力

建立縱深的防御體系已是信息安全建設(shè)的共識。數(shù)據(jù)庫到應(yīng)用系統(tǒng)這一段，是信息安全的最后一公里，也是最后一道防線，涉及的是最直接的敏感數(shù)據(jù)安全管理，直接關(guān)系到敏感數(shù)據(jù)的安全。同時，在數(shù)據(jù)/業(yè)務(wù)層加強安全防護，也逐步成為信息安全的新方向。公司系統(tǒng)緊貼核心數(shù)據(jù)，針對信息安全的最后一公里以及數(shù)據(jù)/業(yè)務(wù)層提供豐富的防護手段，有利于政務(wù)云完善縱深防御體系，提升整體安全防護能力。通過數(shù)據(jù)庫審計+防火墻的結(jié)合可以對完美的解決數(shù)據(jù)庫所面臨的主要風險。

（1）越權(quán)權(quán)限的濫用：數(shù)據(jù)庫權(quán)限設(shè)置違反了“權(quán)限最小原則”在很多信息系統(tǒng)中比較普遍。如果這些超出的權(quán)限被濫用，則極易發(fā)生敏感數(shù)據(jù)泄漏事件；

（2）合法權(quán)限濫用：系統(tǒng)中總是有一部分用戶合法的擁有較大甚至是超級管理權(quán)限。如果這些權(quán)限被濫用，則極易發(fā)生嚴重后果；

（3）權(quán)限盜用：由于商用數(shù)據(jù)庫的用戶認證方式主要為單一的口令方式，權(quán)限盜用容易發(fā)生，進而極易導(dǎo)致嚴重的數(shù)據(jù)泄漏事件；

（4）數(shù)據(jù)庫平臺漏洞：數(shù)據(jù)庫管理系統(tǒng)是個復(fù)雜的軟件系統(tǒng)，從數(shù)據(jù)庫廠家發(fā)布的補丁情況來看，數(shù)據(jù)庫系統(tǒng)無一例外的具有嚴重的安全漏洞。如緩沖區(qū)注入漏洞或者認證、權(quán)限管理漏洞。這些漏洞極易被攻擊者利用以竊取數(shù)據(jù)；

（5）SQL注入、緩沖區(qū)溢出風險：數(shù)據(jù)庫本身不具備SQL注入攻擊檢測能力。通過Web/APP插入惡意語句，或者利用連接工具發(fā)動緩沖區(qū)溢出攻擊，攻擊者便有機會獲得整個數(shù)據(jù)庫的訪問權(quán)限；

（6）弱鑒權(quán)機制：商業(yè)數(shù)據(jù)庫系統(tǒng)提供的基本的管理機制，主要是自主訪問控制（DAC）和基于角色的訪問控制（RBAC）。并沒有采用強制訪問控制的方式（MAC），基于用戶和數(shù)據(jù)的敏感級別來進行權(quán)限的鑒別。這容易使得低密級用戶訪問到高密級的數(shù)據(jù)；

（7）缺乏詳盡審計：審計是每個數(shù)據(jù)庫管理系統(tǒng)標配的安全特性，用于記錄對數(shù)據(jù)的訪問情況，從而形成對非法訪問的威懾。而數(shù)據(jù)庫自身的審計功能在可視化、智能化、入侵檢測能力等方面能力較弱，通常無法滿足實際的安全需求。

4）滿足合規(guī)要求，快速通過評測

實現(xiàn)獨立的審計和訪問控制，直接輸出合規(guī)的報表，滿足多個行業(yè)多個法規(guī)和標準的要求，能夠幫助企業(yè)快速通過各種安全保密檢查和評測。

上述內(nèi)容就是云數(shù)據(jù)安全解決方案是怎樣的，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。