数据平台不仅要安全,还要合规,三级等保是我们要符合的主要安全规范。InterSystems的数据平台和集成平台产品都和三级等保有关。如果没有正确配置它们的安全选项,就会影响到整个系统的安全,影响到合规性。
在生产环境上,如何配置安全的InterSystems的数据平台,并达到三级等保的要求?
这个系列文章,针对InterSystems 数据平台的安全架构,围绕对三级等保的合规性展开,介绍如何配置出一个安全、合规的数据平台。
注:本文提到的InterSystems的数据平台,包括Caché数据库、Ensemble集成平台、HealthConnect医疗版集成平台和InterSystems IRIS数据平台。
三级等保的要求
三级等保要求 |
对数据平台的要求 |
身份鉴别 |
确保用户身份是真实、准确的 |
访问控制 |
控制:谁、以什么方式、从什么设备可以访问什么数据和功能? |
入侵防范 |
防范静态数据、传输中的数据、日志和备份中的数据被入侵 |
恶意代码防范 |
防止恶意代码被植入和执行,例如SQL注入 |
可信验证 |
|
数据完整性 |
保证数据完整性和一致性的能力 |
数据备份恢复 |
对数据的备份与恢复能力和策略 |
InterSystems数据平台安全架构数据平台安全架构
InterSystems数据平台提供了一个完善的安全架构,用以保护从接入到数据保存的各个层面的数据安全:
InterSystems数据平台提供丰富的安全相关特性,用以保障系统安全性和合规性:
我们按数据的流向逐一展开,看看应该如何加强InterSystems数据平台的安全。
1. InterSystems数InterSystems数据平台连接通道安全
客户端可以使用多种技术连接到InterSystems数据平台,包括ODBC/JDBC、Java、.net、TCP、Telnet、HTTP、SOAP、REST等。除了客户端的连接,InterSystems数据平台之间也有很多连接通道,例如高可用镜像成员之间、数据平台和Web网关之间… 这些连接通道都应该考虑使用SSL/TLS进行通讯加密,从而保护数据的安全和一致性。
1.1配置InterSystems数据平台的超级服务器接入通道加密
除了通过HTTP、SOAP、REST之外的客户端,其它的客户端都连接到InterSystems数据平台的超级服务器。InterSystems数据平台在系统范围内使用SSL/TLS协议为超级服务器端口通道加密。
配置步骤如下:
- 在管理门户中,通过路径 系统 > 安全管理 > SSL/TLS 配置,建立名为%SuperServer的SSL/TLS配置项。参考文档系统 > 安全管理 > SSL/TLS 配置,建立名为%SuperServer的SSL/TLS配置项。
- 在管理门户中,通过路径 系统 > 安全管理 > SSL/TLS 配置,在超级服务器SSL/TLS支持 选项上选中“要求”。它的三个选项分别为:
禁用(默认选项)- 拒绝使用TLS的客户端连接
启用 - 允许使用TLS的客户端连接,但不必要
要求 – 仅接受使用TLS的客户端连接