数据库安全之政务云一 – 作者:数据库安全专家-安全小百科

2016年10月，中安威士受邀参与了南方某市政府的电子政务云的建设项目，并具体承担了该项目中云端数据安全保护的部分工作。现将在该项目中实施的云端数据库安全加固解决方案分享给大家。

借助云计算技术，电子政务云对政府的IT资源进行统一管理、按需使用，可有效节约信息化建设资源投入成本，降低IT资源消耗。但基于云计算模式的电子政务，必定也会面临网络威胁和恶意攻击等，尤其是对数据安全、隐私保护提出了更高的要求。特别是在数据管理权与所有权分离的状态下，数据安全和隐私保护的重要性显得尤为突出。只有在确保网络的可用性和稳定性的同时也能保证数据的安全性和私密性，才能让政府各部门（各委办局）放心地把各自的业务迁移到统一的政务平台上来。

政务云平台云端数据库面临的安全新风险主要有以下几点：

1，电子政务云数据中心服务器有部分是接入互联网或这专网的，面对更广泛的网络攻击；

2，政务云平台计算资源和网络完全虚拟化和分布式，使租户网络的物理边界消失，传统的网络边界防护措施无法保证数据安全；

3，由于多租户结构，同一个政务云平台上的恶意租户有可能利用虚拟机逃逸等方式进行攻击，从而得到数据库中的数据；

4，政务云服务方具有超级用户权限，租户对不可信的云服务无防范手段。

经过与客户的多次深入交流，以及与政务云平台建设方的全面沟通，再根据多年数据库安全防护的实战经验，我们挖掘出政务云平台云端数据库安全的真实需求。总结来说，大概有以下几条：

1，满足政策合规性需求。国家信息中心电子政务外网办安全处处长邵国安强调“政务云基本上按照等保三级建设或者以上建设，重要的数据要求加密”。另外《国家安全法》、《网络安全法》、《云等保》等都有关于数据安全保护的明确规定。不管是运营政务云的部门，还是在云上开展政务的各委办局，都应满足这些法规关于数据安全管理的要求。

2，云端数据活动的可视。各委办局将自己的数据交由政务云平台统一存储和管理，云平台需要对技术人员对云端数据库的访问情况进行记录和审计。同时，各租户也要对各自的数据库访问情况进行记录和审计，这是最基本的安全需求。

3，云端数据活动的可控。可控是指对云数据库的主动防御，通过控制访问云端数据库的活动和操作行为，保证数据的安全。包括两个方面，其一：防泄漏，即防止云数据库中的敏感信息部分或全部被偷窥，被拖库或者镜像；其二：防篡改，即防止云数据库中的敏感信息被非法修改或者删除。同样，对云端数据活动进行控制，对于云平台和各租户都是必须的。

可以说，实现对云端数据库的可视、可控和合规管理，是解决云端数据库安全问题的一个基本思路。

按照可视、可控和合规这样一个基本思路，我们设计了一个针对云端数据库安全管理的完整解决方案：“把数据关进笼子，让数据访问在阳光下进行”。

该方案可以概括为如下几个方面：

1，通过细粒度访问控制和敏感内容加密和脱敏，把数据关进笼子。

细粒度访问控制：基于自动学习，生成细粒度的白名单，阻断异常的查询和访问，防止敏感数据泄漏。阻断异常的和违规的数据修改和删除操作，防止敏感数据被非法篡改；

敏感内容加密和脱敏：有选择性的对敏感内容加密和脱敏，防止在线数据和备份数据的存储介质丢失被窃取导致敏感数据泄露。增强的对加密敏感数据的权限管理，防止越权权限的滥用、合法权限被盗用和滥用导致的数据泄漏。为运营、应用系统、以及开发和测试环境提供准真实数据。

2，云端数据活动的全面审计，让数据访问在阳光下进行。对云端数据的分布、性能、访问和活动情况进行全方位的监控和记录，便于事后审计和追查。及时发现数据的异常活动情况和风险，产生报警。输出可视化的报表，便于分析；

遵循以上思路，中安威士的政务云数据库安全加固解决方案基于自主研发的系列数据库安全加固产品而实现。具体的实施方案如下图所示：

该解决方案的要点如下：

1，对所有数据库部署数据库审计系统

通过部署中安威士特有的软件探针，实现全面审计；

开启数据库性风险评估功能，全面评估数据库系统的风险状态；