中安星云数据安全防护一体机解决方案是由基于PK体系架构,专为经济运行监管、疾病防控、治安防控、诚信体系、国防应用等各类业务场景开发设计的企业级数据安全整体解决方案。它整合了应用软件、数据库、存储、备份、网络和安全等资源,能够为泰安检察院检察官业绩考评系统提供数据库横向扩展、运行状态评估、安全防护、行为监测、数据备份等功能,可以有效的降低检察官业绩考评系统部署的复杂度,满足等保合规要求,为泰安检察院构建数据安全主动可视的数据安全防御体系,保障检察官业绩考评系统中数据服务的安全可靠、可控、可视和高效稳定运行。
一、项目背景
随着司法体制改革进程的不断深入,为提高检察官办案质效,科学高效保障检察工作运行,泰安市检察院根据高检院《关于开展检察官业绩考评工作的若干规定》,保证业绩考评工作能够高效准确运转,该院利用信息化手段,升级推出检察官业绩考评系统,该系统根据检察官的各项业务指标完成情况自动进行统计、计算和排名,并能自动生成每名检察官的业绩档案。检察官业绩考评系统包含刑事检察业务、刑事执行检察、民事检察业务、行政检察业务、公益诉讼检察业务、未成年人检察业务、控告申诉检察业务、案件管理业务、法律政策研究业务九大板块存储着大量的数据,一方面,检察院高度重视数据保密,严格按照国家标准采取防护措施,确保数据使用安全、传输安全。需要对系统分别按照分级、等级保护要求,非授权人员无法查看和操作。严格设置“三员”,系统管理员、安全保密员、安全审计员相互隔离,确保后台操作相互制约、相互监督。另一方面,采取切实有效的措施加强系统的安全性。我们对系统运行状态及访问行为进行自动化监控和审计,实时掌握系统运行的关键指标,发现违规操作,立即就会预警,第一时间响应和处理,保证系统安全稳定运行。
二、方案简介
2.1方案定位
中安星云数据安全防护一体机解决方案是由基于PK体系架构,专为经济运行监管、疾病防控、治安防控、诚信体系、国防应用等各类业务场景开发设计的企业级数据安全整体解决方案。它整合了应用软件、数据库、存储、备份、网络和安全等资源,能够为泰安检察院检察官业绩考评系统提供数据库横向扩展、运行状态评估、安全防护、行为监测、数据备份等功能,可以有效的降低检察官业绩考评系统部署的复杂度,满足等保合规要求,为泰安检察院构建数据安全主动可视的数据安全防御体系,保障检察官业绩考评系统中数据服务的安全可靠、可控、可视和高效稳定运行。
2.2方案架构
中安星云数据安全防护一体机解决方案可以采用软件形态交付,也可以采用一体化机柜交付方式,方案架构如下:
数据层:支撑应用系统的数据库系统,向上连接安全一体机,可以是国产品牌如达梦、南大通用数据库,也可以是国外品牌如oracle、mysql数据库,也可以是MPP、Hive、Hbase等数据库。
安全接入层:该层完成数据库的安全连接。主要通过DPDK引擎、代理引擎来实现,通过协议解析技术将获取到的数据库访问行为进行解析。
安全防护层:该层实现数据处理逻辑。包括各种规则的检测、SQL注入攻击的检测、安全规则的匹配、数据安全存储等从而实现数据发现、数据库状态监控、风险扫描、安全防护、行为监测和存储备份能力。
展示层:该层实现用户接口以及与数据库安全产品的接口连接。包括统一管理、状态显示、统一系统配置管理,风险管理、安全处置以及日志查询分析界面等。
智慧应用:被保护的对象,可以是OLTP、OLAP、混合型等业务场景,如智慧政务、智慧教育、智慧医疗、智慧军营等系统。
三、方案功能设计
中安星云数据库安全防护一体机解决方案提供以下功能模块,具体功能分述如下:
3.1数据库兼容性
支持oracle、mysql、DB2、达梦、南大通用、人大金仓等关系型数据库同时还支持Hive、MongoDB、HBase等非关系型数据库。
3.2统一安全管理
支持对数据库系统、存储系统、应用系统进行全面的状态监控,实时监测设备启用状态、持续时间、资源使用率、防护数据库数量以及存储空空间、存储效率等,帮助安全人员及时掌握设备安全状况降低运营维护的复杂度。
3.3统一安全分析
依托分布式处理架构,对安全日志进行统一分析、关联分析,过滤重复信息,发现隐藏的安全问题,提供丰富报表展示,提供整体安全态势的综合报表,自定义检索报表等。支持丰富的图表类型,包括直方、曲线、面积和饼图及三维数据的图表。
3.4统一全景展示
利用大数据安全分析技术,将安全日志进行分析展现,对来自外部的攻击行为和内部违规和异常行为进行分析,实时展现一定时间段内攻防态势包括风险类型分布、数据库风险趋势、威胁来源、威胁目标、风险行为统计、风险事件等级等态势信息。
3.5统一安全处置
基于大数据技术的全文检索引擎,能够对系统日志、告警日志等全维度日志进行检索;能够对告警信息、风险分析进行钻取、能够对安全事件进行上下文回放,并能够对告警信息进行处置。
3.6安全防护
提供SQL语句级和表列级的防护能力,能够实时监测和阻断SQL注入攻击、数据库漏洞攻击以及拖库撞库等外部黑客攻击行为;可以规范内部用户的访问行为,阻断内部高危操作如访问系统表,不带条件的更新和删除。
3.7访问行为监测
提供全面详细的行为监测记录,可以涵盖访问数据的所有途径,无论是内部、外部,还是直接、间接的访问行为,通过权限分立可以避免受到未预期的删除、修改或覆盖,为用户提供稳定可靠的事后追溯的依据和来源。
3.8混合统一存储
支持无中断横向扩展,存储系统双活等高级功能,融合以太网、光纤通道(FC)和以太网光纤通道(FCoE)网络,支持纯闪存、闪存/磁盘混用以及仅磁盘三种选项,允许用户使用相同的平台和管理工具解决各种工作负载难题。
3.9数据备份
集备份软件和备份存储管理于一体的整体备份方案,实现对网络内重要数据进行定时备份,并可实现对备份数据的归档或复制。采用集群形式部署,内置分布式文件系统,提供高性能存储和备份性能的同时,大幅提升存储的冗余程度、备份数据安全性和升级扩展的平滑度。
四、特点和优势
4.1强大的兼容性
能够兼容X86平台和信创平台,能够兼容国内外20多种数据库服务,可以与OLTP、OLAP、混合型等业务场景进行无缝对接,为各类数据应用提供全方位的支撑。
4.2电信级可靠性
关键部件均采用冗余设计,支持双机热备,软硬件BYPASS、双副本数据保护模式,备份恢复技术,确保系统在各种未知的突发情况发生时,能够快速切换至恢复,保证整个系统的稳定安全。
4.3坚如磐石的数据安全保障
依托信创软硬件平台,在保证供应链和底层硬件和操作系统安全的基础上提供入侵检测、访问控制、漏洞防护、安全审计、存储备份等功能,能够有效避各种数据安全事件的发生。
4.4开箱即用降低TCO
开箱即用的一体化解决方案,只需要一名工程师即可完成安装、部署、实施等一系列的工作,无需协调系统、网络、存储、安全、数据库等各层面的繁琐过程,降低运维投入。
五、方案价值
5.1国产化软硬件架构,数据更安全
泰安检察院通过部署数据库安全防护一体机解决方案摆脱外国硬件平台的束缚,能够提供从底层硬件和操作系统层面保证安全可控。同时可协助用户满足等级保护政策要求,提高数据安全水平,避免数据信息泄露风险,提升泰安检察院的公信力。
5.2一体化解决方案,降低运营维护成本
泰安检察院采用的数据库安全防护一体机解决方案开箱即用,降低数据库、应用以及安全设备的部署时间,通过统一的界面实现设备的统一管理,统一策略下发、统一日志上报,确保管理员及时准确的了解网络中的系统的安全状况,降低整体的运营维护成本。
5.3分布式处理架构,扩展更简单
泰安检察院采用的数据库安全防护一体机解决方案,突破传统单机处理能力的瓶颈,可横向扩展安全防护能力和存储备份能力,实现海量日志的存储分析,针对PB级数据能实现秒级响应,并输出可读性高的安全报表。
5.4构建主动防御体系,数据安全可视可控
泰安检察院采用的数据库安全防护一体机解决方案基于主动防御技术,针对用户访问行为进行分析建模,形成数据安全访问基线,自动阻断异常违规访问行为,同时基于先进的安全可视化技术,为检察院实时呈现网络安全状况,帮助检察院及时把握网络安全事件发展趋势,实现敏感数据的可控、可管、可视、可追溯。