视联动力信息技术股份有限公司综合采用国产自主可控的视联网通信协议、国密算法、可信计算、零信任等技术,创新研制了新型数据安全防护系统,从事前、事中、事后全流程的安全可信、动态感知着手,建层层递进、纵深防御的数据安全防护体系,实现对政务云平台数据资产实施体系化安全防护加固。广东省通过攻防演练验证了该系统的有效性、可靠性和安全性,通过部署该系统解决了当地政府信息化建设或数字化转型过程中存在的关键信息基础设施自主可控、数据信息防窃取泄密等难题。
一、实施背景
数据作为数字经济的核心要素,正成为塑造国家核心竞争力的战略制高点,主权国家均意识到数据资产背后所蕴含的战略价值,对数据安全的理解已经上升至“国家安全”层面。随着数据价值愈加凸显,数据安全风险与日俱增。核心技术掌握在西方国家手中导致的“制信息权”不对称;勒索攻击、大规模数据泄漏等新型威胁已成为数字化转型的“劲敌”;网络攻击的首要目标已从破坏网络和信息系统的可用性,转向窃取高价值数据;现有多重安全防护措施下的数据资产依然会被窃取。数据安全已成为数字经济时代最紧迫和基础的安全问题。
党的十八大以来,以习近平同志为核心的党中央、国务院高度重视数据安全工作,将之视为事关国家安全和经济社会发展的重大议题,置于当下发展和未来建设的重要位置。近年来,国家陆续出台《数据安全法》《个人信息保护法》等法律法规政策,不断加强数据安全管理。同期,工业和信息化部陆续出台《工业和信息化领域数据安全管理办法(试行)》《关于促进数据安全产业发展的指导意见》,严格规范数据处理活动。各省严格贯彻落实党中央国务院精神,都在“十四五规划”“数字政府建设”“数字经济发展”等地方顶层规划中要求开展数据分级分类管理。在落地执行层面,各地陆续出台《数据管理办法》《数据分级分类指南》《数据共享要求》等标准,指导各地数据安全建设活动。数据安全建设已然成为政府信息化建设和数字化转型的安全基石。
二、实施目标
通过部署新型数据安全防护系统可对云数据中心实施安全加固,可以隔绝外部攻击所依赖的协议级连接,实时感知并阻断非法访问,防止数据丢失。整个系统可提升政务云平台安全防护能力,确保访问来源可信、业务连接受控、数据交互安全,各类威胁隐患可识别、可感知、可封堵,有效抵御内外部攻击,最大程度规避数据窃密与泄露的风险。同时,还可实现数据安全监管、全态势感知与联动防御协同,全面提升政务数据安全防护能力,提高数字政府建设的支撑保障能力和安全防护水平。
三、建设内容
基于国产自主通信技术的新型数据安全防护系统按照“存算分离”数据安全防护思路,在承载各类应用的服务器(或虚机)和存储数据信息的存储服务器(或虚机)中间部署新型数据安全防护系统。采用异构协议转换技术阻断外部攻击的IP连接;采用零信任技术验证应用服务的合法性,按需构建可访问数据库最小资源授权的“专属微隧道”,切断传统攻击在云平台内部横纵向渗透“提权”的路径,隐藏并保护数据资产;采用SQL语句合法性管控策略,访问特征建模,大数据智能监管呈现的方式实时识别并阻断恶意访问行为与攻击。具体架构如图所示。
基于国产自主通信技术的新型数据安全防护系统架构图
(1)异构隔离
采用自主可控的视联网通信协议建立前端应用至对应数据库服务的专属“微隧道”,通过异构协议转换技术隔绝外部攻击所依赖的IP连接,不响应未经过验证设备和用户的访问请求,默认拒绝一切连接,通信地址和服务端口对攻击者不可见,网络设备和数据资产对外隐身。
(2)准入控制
采用国密算法对设备、人员、应用和权限动态实施可信认证,并依托“零信任”技术持续进行风险和信任等级评估,动态执行细粒度访问控制策略。强化主动安全防范措施收敛攻击面,将数据丢失危害控制在最小限度,有效遏制非法访问、批量数据丢失和大规模“拖库”风险。
(3)体系防护
通过定制用户行为规则模型、告警模型及策略,构建用户防越权、SQL防注入、账密防泄露、数据防“拖库”、代码防篡改的的防护体系,改变“单点防御”方式,结合制度防护、物理防护、安全运营运维等安全服务事项,实现“多维递进、纵深防御”的数据库入侵防护体系。
(4)行为分析
通过行为分析、SQL语句合法性检验、访问特征建模、大数据监管等方式,实时甄别阻断数据库非法访问。通过多维度抓取分析行为特征,通过融合分析和高性能计算,动态识别访问行为特征值,判断访问行为的安全性。防范攻击者仿冒“合法身份”实施“拖库”。
(5)监控告警
建立自动感知、识别和判断执行的监测体系,感知业务状态和安全态势。根据可信策略库规则,对监测识别出的攻击行为与行为特征库进行匹配,结合行为特征告警规则,分别采取告警、拦截等措施。监测对象涵盖设备、身份、应用、权限、SQL语句合规、数据流向等。
(6)安全运营
建立人技法合一的安全运营体系,可提供数据安全业务架构设计、数据分级分类安全方案、用户行为特征项维护、SQL日常运行监控和数据安全管理配置等服务,对系统防护产生的告警内容和潜在风险行为进行人工判定干预。同时以规范制度和流程保证人机互动的顺畅高效。
(7)合规审计
对数据库的访问SQL合规性、操作日志、访问用户等信息进行审计,针对不同应用对应的数据库绑定不同安全策略,定制审计报告;对各类拦截和告警情况统计分析,形成风险分析报告;对数据安全事件进行回溯,重点分析事件暴露的风险问题,完善风险处置模型。
(8)一屏总览
支持一屏总览全局,实时呈现数据安全守护对象与风险事件实时视图;系统提供报表模板,可统计攻击行为、异常访问行为、阻断行为等分布与来源。支持选用报表模板发布执行报表任务,能够实现对风险日志及阻断行为进行各种粒度的报表输出、统计趋势展示等。
四、实施效果
对政务云数据资产采用新型数据安全防护系统防护后,可实现访问入口看不到、异构协议攻不破、威胁行为进不来、越权渗透可防护、窃取目标拿不走和核心数据出不去等效果。2023年1月,广东省政务服务管理局就基于国产自主通信技术的新型数据安全防护系统保护下的数据资产发起数据安全挑战活动。本次活动监测到SQL注入、目录遍历、命令注入、跨站脚本、HTTP_FLOOD扫描、应用越权访问、服务器端请求伪造、端口扫描探测等攻击手段,共监测拦截攻击请求1802.9万次,其中高风险348.1万次,中风险880万次,低风险574.8万次。截至活动结束,未收到有效攻击成果报告,靶标未被攻陷,数据未发生泄露,验证了该系统可有效保护政务数据资产的安全。
新型数据安全防护系统攻防效果