【文章內(nèi)容簡(jiǎn)介】 的，不需要對(duì)應(yīng)用系統(tǒng)進(jìn)行改造；216。要求實(shí)現(xiàn)運(yùn)維、開發(fā)、測(cè)試中的敏感信息的脫敏。在涉及敏感數(shù)據(jù)的情況下，要能通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，以在運(yùn)維和生產(chǎn)環(huán)境，以及在外包、開發(fā)、測(cè)試和其它非生產(chǎn)環(huán)境中安全地使用脫敏后的準(zhǔn)真實(shí)數(shù)據(jù)集。3)數(shù)據(jù)安全管理合規(guī)化7216。遵守監(jiān)管合規(guī)性。國家和各行業(yè)的監(jiān)管機(jī)構(gòu)越來越重視數(shù)據(jù)的安全管理，相繼出臺(tái)了《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《信息安全等級(jí)保護(hù)管理辦法》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》和《網(wǎng)絡(luò)安全法》等幾十項(xiàng)法規(guī)和標(biāo)準(zhǔn)，并開展了以數(shù)據(jù)安全管理為重點(diǎn)的安全評(píng)測(cè)和檢查。因此，除上述功能要求外，數(shù)據(jù)安全管理系統(tǒng)還必須幫助企業(yè)經(jīng)濟(jì)快速地滿足合規(guī)審計(jì)要求。經(jīng)過對(duì)xx酒店信息系統(tǒng)所面臨的的數(shù)據(jù)安全問題進(jìn)行分析，以把數(shù)據(jù)關(guān)進(jìn)籠子，讓數(shù)據(jù)訪問在陽光下進(jìn)行為終極目標(biāo)。提出了如下的解決方案：該方案可以概括為三個(gè)遞進(jìn)層次：數(shù)據(jù)活動(dòng)的全面審計(jì)：對(duì)數(shù)據(jù)的分布、性能、訪問和活動(dòng)情況進(jìn)行全方位的監(jiān)控和記錄，便于事后審計(jì)和追查。及時(shí)發(fā)現(xiàn)數(shù)據(jù)的異?；顒?dòng)情況和風(fēng)險(xiǎn)，產(chǎn)生報(bào)警。輸出可視化的報(bào)表，便于分析；8細(xì)粒度訪問控制：基于自動(dòng)學(xué)習(xí)，生成細(xì)粒度的訪問控制規(guī)則，阻斷異常的查詢和訪問，防止敏感數(shù)據(jù)泄漏。阻斷異常的和違規(guī)的數(shù)據(jù)修改和刪除操作，防止敏感數(shù)據(jù)被非法篡改；敏感內(nèi)容加密和脫敏：有選擇性的對(duì)敏感內(nèi)容加密和脫敏，防止在線數(shù)據(jù)和備份數(shù)據(jù)的存儲(chǔ)介質(zhì)丟失被竊取導(dǎo)致敏感數(shù)據(jù)泄露。增強(qiáng)的對(duì)加密敏感數(shù)據(jù)的權(quán)限管理，防止越權(quán)權(quán)限的濫用、合法權(quán)限被盜用和濫用導(dǎo)致的數(shù)據(jù)泄漏。另外通過敏感數(shù)據(jù)的模糊化處理，能為運(yùn)維、測(cè)試、數(shù)據(jù)外發(fā)等環(huán)境提供準(zhǔn)真實(shí)的數(shù)據(jù)。該思路通過全方位的審計(jì)實(shí)現(xiàn)了風(fēng)險(xiǎn)的可視化，通過細(xì)粒度訪問控制實(shí)現(xiàn)了非法操作的可控，再加上敏感內(nèi)容加密和脫敏，避免了存儲(chǔ)介質(zhì)丟失和內(nèi)部人員權(quán)限盜用和濫用造成數(shù)據(jù)泄密的風(fēng)險(xiǎn)?？梢哉f，該思路以數(shù)據(jù)庫安全加固為落腳點(diǎn)，全面地解決了數(shù)據(jù)安全管理的問題，幾乎從所有環(huán)節(jié)防止了數(shù)據(jù)泄密的發(fā)生。4xx酒店數(shù)據(jù)安全管理實(shí)施方案該酒店是酒店行業(yè)的巨頭，管理模式已實(shí)現(xiàn)高度網(wǎng)絡(luò)信息化，建有非常完善高效的PMS系統(tǒng)。但與其他業(yè)內(nèi)的酒店一樣，也受到多樣化的信息安全攻擊的困擾，也有遵從《網(wǎng)絡(luò)安全法》等各項(xiàng)法規(guī)要求的數(shù)據(jù)安全管理的需求。香格里拉酒店的數(shù)據(jù)庫中含有用戶的姓名、身份證號(hào)、手機(jī)號(hào)、信用卡號(hào)、信用卡有效期、入住時(shí)間等敏感信息[用戶可自行添加相關(guān)的數(shù)據(jù)防范信息]，需要對(duì)數(shù)據(jù)庫實(shí)施專業(yè)的安全加固措施。具體的實(shí)施方案如下圖所示。9該實(shí)施方案的要點(diǎn)如下：1)對(duì)數(shù)據(jù)庫部署數(shù)據(jù)庫審計(jì)系統(tǒng)216。通過旁路鏡像的方式，在不改變數(shù)據(jù)庫系統(tǒng)的任何原有設(shè)置和在不影響數(shù)據(jù)庫系統(tǒng)自身性能的前提下，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的在線監(jiān)控和保護(hù)；216。對(duì)于應(yīng)用系統(tǒng)和數(shù)據(jù)庫在同一臺(tái)服務(wù)器的系統(tǒng)，或者云計(jì)算和虛擬化平臺(tái)上的數(shù)據(jù)庫系統(tǒng)，以及難以實(shí)施鏡像部署的系統(tǒng)，通過部署中安威士特有的軟件探針，實(shí)現(xiàn)全面審計(jì)；216。使用數(shù)據(jù)發(fā)現(xiàn)功能，自動(dòng)生成數(shù)據(jù)庫服務(wù)器和敏感數(shù)據(jù)的分布情況，并將所發(fā)現(xiàn)的重要服務(wù)器、服務(wù)和數(shù)據(jù)進(jìn)行分類，10并生成統(tǒng)計(jì)報(bào)表。將所有發(fā)現(xiàn)和分類結(jié)果直接應(yīng)用到后續(xù)模塊中的規(guī)則中；216。開啟數(shù)據(jù)庫性能監(jiān)控功能，對(duì)數(shù)據(jù)庫運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，在狀態(tài)異常時(shí)進(jìn)行預(yù)警，提前防止業(yè)務(wù)癱瘓，保障業(yè)務(wù)系統(tǒng)的連續(xù)可用性；216。開啟數(shù)據(jù)庫性風(fēng)險(xiǎn)評(píng)估功能，掃描弱口令、系統(tǒng)漏洞、配置等風(fēng)險(xiǎn)，全面評(píng)估數(shù)據(jù)庫系統(tǒng)的風(fēng)險(xiǎn)狀態(tài)；216。開啟學(xué)習(xí)功能，自動(dòng)生成基線模型白名單訪問規(guī)則，實(shí)現(xiàn)規(guī)則零配置，解決因人力不足無法詳細(xì)設(shè)置審計(jì)規(guī)則的問題。通過人工添加黑名單規(guī)則，實(shí)現(xiàn)靈活的細(xì)粒度訪問規(guī)則；216。開啟入侵檢測(cè)功能，及時(shí)發(fā)現(xiàn)針對(duì)數(shù)據(jù)庫的違規(guī)操作行為，并進(jìn)行記錄、報(bào)警。一旦發(fā)生威脅，可迅速判斷是內(nèi)部人員的越權(quán)操作，還是外部人員的入侵行為，事后追責(zé)，滿足合規(guī)審計(jì)要求；216。開啟運(yùn)維審計(jì)功能，審計(jì)通過SSH/TELNET/FTP等協(xié)議對(duì)數(shù)據(jù)庫服務(wù)器進(jìn)行的運(yùn)維操作；216。開啟Web應(yīng)用審計(jì)和三層關(guān)聯(lián)審計(jì)，實(shí)現(xiàn)完整地溯源能力。2)對(duì)數(shù)據(jù)庫部署數(shù)據(jù)庫防火墻系統(tǒng)216。部署雙機(jī)模式，保證連續(xù)服務(wù)能力；216。基于硬件bypass，防止單點(diǎn)失??；216。開啟入侵保護(hù)功能，以抵御SQL注入攻擊和針對(duì)數(shù)據(jù)庫漏洞11的攻擊，還能防止全表刪除等誤操作、超級(jí)權(quán)限濫用等風(fēng)險(xiǎn)；216。開啟學(xué)習(xí)功能，生成白名單規(guī)則，并手工添加黑名單規(guī)則，解決詳細(xì)設(shè)置數(shù)據(jù)庫防火墻規(guī)則困難的問題；21