一、系统建设背景
数据是石油、数据是血液、数据是业务的促进剂、数据是“大脑”运转所需的能量。数据在流动过程中产生的价值越来越高,也越来越多样化,与之而来的是,数据生命周期下的问题和风险也越发严重,作为监管部门,如何清晰了解被监管对象的数据安全整体防护能力,作为数据安全建设部门,如何直观化、全面化展示当前数据安全防护能力和清晰化未来数据安全建设方向和内容也越来越迫切。
《数据安全法》(草案)第二十八条明确了对重要数据的处理者应定期对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等内容。
目前在数据安全检查工作过程中,针对技术侧的专项安全检测检查工具相对较少,业界也没有相关标准,所以本文也是浅谈系统技术实现,希望起到抛砖引玉效果,共同促进数据安全评估工作的科学化与标准化。
二、数据安全检测检查系统建设架构
数据安全检测检查系统整体可分为支撑层、检测层、业务层与展示层。
- 支撑层是系统检查维度的来源,可从CIS、PCI-DSS、DISA(STIG)、CVE等多个方面形成安全基线和漏采检查依据。
- 检测层可分为规则库、政策库、变量库和自定义规则库,规则库为规则名称、数据类型(MYSQL、ORACLE、SQLSERVER等)、检测语句、检测描述、类别、补救措施、严重性等;政策库为政策名称、数据库类型、来源依据、策略关联信息;变量库为变量名称、默认值、数据库类型、脚本、规则库关联信息。
- 业务层为主要提供的检测场景,可分为身份验证用户管理类、漏洞检测类、访问控制类、系统完整性检测类、资源控制类和通用数据检测类。
- 通过风险可视、风险报告等多种方式对检测的结果进行展示。
三、系统检查流程
系统检查流程可分为获取基础录入信息(如数据库类型、数据库IP、数据库端口、数据库用户名、数据库密码)、根据数据库类型及版本获取检测规则、根据规则ID获取政策信息、根据规则ID获取变量信息、预测试、执行检查规则脚本、形成结果展示。具体详情如下图。
详细检测效果如下:
此处根据检测效果,结合规则库、政策库等元素内容形成报告或可视化展示效果即可。
四、结束语
数据库安全检测检查系统是支撑数据安全检查评估工作的重要抓手,虽可通过人员访谈、系统查看、文档查阅的方式对组织内部数据安全情况进行了解,但整体还是缺少能实际反映组织数据库安全现状的检测方式。以上场景便是形成此文的最初目的。最终,通过此文,可相对清晰了解数据库安全检测检查系统的实现原理,为整体系统建设提供一定帮助。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
