前言
近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。针对此类大规模数据泄密事件,安恒信息专家团队特别制作相关解决方案,敬请大家关注。本文紧接《数据安全防“脱库”解决方案——防信息泄密的建设思路》,详细内容如下:
构建防信息泄露的城墙
安全服务与安全产品是相辅相成的,两者如砖头和水泥的关系,一方面,脱离服务的安全产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,安恒提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户网络安全提供保证。
防泄密涉及网络安全、主机安全、运维安全等方方面面,建设应用安全体系是解决防泄密问题的核心所在。本方案中通过WEB应用层面、数据库层面、运维操作层面进行技术防范,降低泄密事件的风险。并针对现有系统提出了“事前+事中+事后”的安全防护方法。安恒公司依据多年的应用与数据库安全经验,拥有自己独到的针对信息与网络安全和信息与网络安全服务的方法论,来建设应用安全体系:
一、加强系统安全体系建设,减少从系统层发生信息泄密的发生:
通过对系统层的安全风险评估,发现系统安全层面存在的安全隐患及问题,并进行安全加固;
通过部署相应的网络防火墙进行合理的访问控制及安全域划分;
建立运维审计系统将远程运维进行安全审计,通过三个方面的建设加强系统安全体系建设。
二、建设应用安全体系,提高应用层抗攻击能力,降低信息泄密造成影响:
通过对应用层的安全风险评估,发现应用安全层面存在的安全隐患及问题,并进行安全加固;
建立事前预警机制,建设WEB应用安全检测系统和数据库安全检测系统,对已有业务系统及数据库进行安全检查,减少信息泄密的发生;
建立事中防护体系,建设WEB应用防火墙,提高WEB应用系统的抗风险能力;
建立事后追溯手段,建设应用与数据库安全审计系统,提高系统运行的透明度,对用户访问及数据库操作行为进行安全审计。
三、提升信息安全管理水平,加强管理制度建,辅以安全培训及应急响应:
