一、系统建设背景

数据是石油、数据是血液、数据是业务的促进剂、数据是“大脑”运转所需的能量。数据在流动过程中产生的价值越来越高,也越来越多样化,与之而来的是,数据生命周期下的问题和风险也越发严重,作为监管部门,如何清晰了解被监管对象的数据安全整体防护能力,作为数据安全建设部门,如何直观化、全面化展示当前数据安全防护能力和清晰化未来数据安全建设方向和内容也越来越迫切。

《数据安全法》(草案)第二十八条明确了对重要数据的处理者应定期对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等内容。

目前在数据安全检查工作过程中,针对技术侧的专项安全检测检查工具目前相对较少,业界也没有相关标准,所以本文也是浅谈系统技术实现,希望起到抛砖引玉效果,共同促进数据安全评估工作的科学化与标准化。
二、数据安全检测检查系统建设架构


数据安全检测检查系统整体可分为支撑层、检测层、业务层与展示层。
    支撑层是系统检查维度的来源,可从CIS、PCI-DSS、DISA(STIG)、CVE等多个方面形成安全基线和漏采检查依据。检测层可分为规则库、政策库、变量库和自定义规则库,规则库为规则名称、数据类型(MYSQL、ORACLE、SQLSERVER等)、检测语句、检测描述、类别、补救措施、严重性等;政策库为政策名称、数据库类型、来源依据、策略关联信息;变量库为变量名称、默认值、数据库类型、脚本、规则库关联信息。业务层为主要提供的检测场景,可分为身份验证用户管理类、漏洞检测类、访问控制类、系统完整性检测类、资源控制类和通用数据检测类。通过风险可视、风险报告等多种方式对检测的结果进行展示。



系统架构图
三、系统检查流程

系统检查流程可分为获取基础录入信息(如数据库类型、数据库IP、数据库端口、数据库用户名、数据库密码)、根据数据库类型及版本获取检测规则、根据规则ID获取政策信息、根据规则ID获取变量信息、预测试、执行检查规则脚本、形成结果展示。具体详情如下图。



检测流程图

详细检测效果如下:




检测详细效果示例

此处根据检测效果,结合规则库、政策库等元素内容形成报告或可视化展示效果即可。
四、结束语

数据库安全检测检查系统是支撑数据安全检查评估工作的重要抓手,虽可通过人员访谈、系统查看、文档查阅的方式对组织内部数据安全情况进行了解,但整体还是缺少能实际反映组织数据库安全现状的检测方式。以上场景便是形成此文的最初目的。最终,通过此文,可相对清晰了解数据库安全检测检查系统的实现原理,为整体系统建设提供一定帮助。
温馨提示:
1、在论坛里发表的文章仅代表作者本人的观点,与本网站立场无关。
2、论坛的所有内容都不保证其准确性,有效性,时间性。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
4、若因线路及非本站所能控制范围的故障导致暂停服务期间造成的一切不便与损失,论坛不负任何责任。
5、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    • 售后服务
    • 关注我们
    • 社区新手

    QQ|手机版|小黑屋|数据通

    Powered by datatong.net X3.4  © 2008-2020 数据通