400-062-7618
申请交流
集中构建统一的互联网政务数据服务平台和信息惠民服务平台,简化老百姓和企业的办事环节为目标,从而将政务云有效的落地,建立“互联网+政务”的政务云应用。
网络信息技术创新日新月异,数字化、网络化、智能化融合发展,对我国建设网络强国、数字中国、智慧社会发挥着至关重要的作用。世界各国都把推进经济数字化作为创新发展的重要动能,并作出前瞻性布局。以数据为关键要素的数字经济发展历程中,数据价值也由最初的数据资源发展成为数据资产,再进一步发展为数据资本。今天,我们生活在一个数据驱动发展的时代,数据已经成为数字经济的核心生产要素。2017年,“数字经济”就已经被正式写入党的十九大报告。2018年3月,政府工作报告提出“发展壮大新动能”,“为数字中国建设加油助力”。
数据底账不清
对于政企单位来说,数据及数据库众多,而众多的数据库中的敏感信息就是我们要防护的核心目标。但是,目前依然有部分政企单位无法说清自己究竟拥有多少数据资产。在此情况下,就算建立了数据安全防护体系,其效果和收益也必然会大打折扣。
政策合规
国家与各个行业频频出台数据安全相关的法律和标准,旨在强制要求并指导政企单位建设完善、有效的数据安全防护体系。这其中以《网络安全等级保护》为普适性最强也最基础的政策,建设能够满足等保要求的数据安全体系是底线,是所有政企单位必须要做到的基础性工作。
互联网渗透威胁
现阶段无论政府还是企业,几乎无法与互联网彻底隔离,而随着数据共享开放的脚步加快,互联互通更是大势所趋。那么非法用户就可以通过互联网针对政企单位的网络展开试探和攻击,利用SQL注入等技术非法入侵业务及数据库系统,窃取、篡改、删除数据,从而进行有目的的犯罪行为。
软件开发测试环境
为了满足业务部门与日俱增的IT需求、缩短产品研发周期,政企单位很多信息系统引入了IT软件外包模式。在黑产链这种第三方的利益诱惑下,外包人员可能利用职务之便搜集软件开发测试环境中的敏感数据,这些数据一旦外泄,会为政企单位带来巨大的信誉风险和法律风险。
合法人员的非授权访问
对内部网络来讲,DBA管理员等合法人员的行为尤其值得关注,存在着针对核心数据库进行违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令等操作行为,都可能存在着重大安全隐患。
安全事件溯源与追责
在数据库系统中,数据库系统遭受入侵和非授权操作时,由于没有建立审计机制,导致无法准确定位和追责黑客或非法人员破坏和泄露行为,对日后稽核部门调查取证造成严重阻碍。数据共享开放
数据的共享开放是众多政企单位普遍面临的一个难题,现在普遍采用的方式是对共享数据进行脱敏,但脱敏根本无法平衡数据的使用和数据的安全之间的关系。一方面脱敏会明显的降低数据价值,另一方面,数据不可能完全脱敏,必须留有一定程度的真实信息供使用,否则数据的共享就没有任何意义。核心目标:贯彻国家网络空间安全战略,保障关键信息基础设施安全,满足政策合规性要求,统筹全体系数据安全支撑。基于上述四点核心目标进行数据安全体系设计,达成目标要求。
合规目标:合规是安全的基础要求,建设大型数据安全项目必须将合规纳入总体规划内,作为必须满足的目标之一,本方案以满足等级保护、关键信息基础设施保护条例以及网安法相关安全要求为基础。
支撑目标:建设数据安全组织,保障项目进度及质量。对自身能力进行评估,输出现状与目标差距,指导工作方向。建立制度规范,约束、指导日常工作流程。建立运营机制,保障项目收益及效果。通过上述内容的建设支撑项目核心目标的实现。
技术目标:数据安全的技术目标是以数据的全生命周期为架构,技术体系可以覆盖各生命周期内的风险;以识别、防护、检测、响应为闭环,形成技术体系的有机互动。以同步规划、同步实施、同步投产为准绳,实现数据的内生安全。并通过统一管理平台实现联动,改变孤岛式安全体系,实现数据安全技术体系建设的最终目标。
组织建设:组织、制度、技术是数据安全的“铁三角”,对于大型数据安全项目,成立专职的且有高层领导参与的数据安全组织才是项目能够顺利推进的有力保障。
制度设计:在数据安全建设的过程中,制度建设是极为重要的一环,是数据安全相关工作的指导方针和标准,所有的工作流程和技术支撑都是以此来指导和落实。
能力评估:从不同的维度评估政企单位数据安全现状,包括现有组织架构、现有人员能力、现有制度体系、现有技术措施等方面,形成评估报告。将评估报告与建设目标进行比对,寻找差值,输出数据安全建设指引。
技术设计:在数据安全项目中,真正能够强制起到数据防护作用的依然是安全技术。组织会依靠技术推进安全,制度会依靠技术落地,运营也要依靠技术获取必须信息,才可识别风险事件进而开展运营工作。
运行环境安全:需要在操作系统内核层对可执行程序以及用户的行为进行精准的控制,确保合法的用户及合法的进程,合法地访问文件,防止恶意代码、非法入侵等网络安全问题的发生,并可对系统整体安全状况进行全面监控,及时发现安全隐患并予以处置。
运营响应保障:数据安全建设是一个长期持续的过程,并不是建成后就一劳永逸的防线。所以需要持续性的落实、优化、改进、调整数据安全的相关制度、流程及策略,并基于政企单位业务变化和技术发展进行扩建。
抵御外部黑客攻击
非法黑客肆无忌惮对系统进行探测扫描,一旦入侵应用系统,裸奔的数据库将面临重大灾难,通过数据库漏洞攻击防护能力,捕获和阻断漏洞攻击行为保障数据库应用侧的安全。
规范内部数据访问
数据库运维人员、系统业务人员、驻厂人员,有意或无意的更新删除等操作将影响整个业务系统,通过限制系统表和敏感对象的访问权限限定No Where语句更新和删除操作
快速定位回溯源头
无论内部外部,一旦出现恶意操作,将通过审计报警第一时间找到操作源头,追责问责,通过审计记录追溯更新前的审计数据。
重要数据表加密
通过对核心系统里面的重要表进行加密,有效避免了由于数据明文存储所带来的数据外泄风险。
400-062-7618
关注官方微信