根據權威調查報告顯示，金融、政府等領域受數據泄露影響較為嚴重。核心原因可歸結為政務民生信息、財政金融信息的高昂商業價值，一旦發生數據泄漏事件，社會影響巨大。從數據泄露源頭分析來看，數據庫外部有日趨活躍的勒索病毒攻擊威脅，內部有運維人員的違規操作風險。而傳統的數據安全解決方案并不能很好應對這些問題。
地市財政局承擔著促進地區發展，改善民生支出的職責，其數據安全的重要性不言而喻。那如何能夠實現“內外兼修”的全面數據安全防護，防止敏感數據泄露？江蘇某地市財政局的數據安全建設實踐值得參考借鑒。

客戶簡介

江蘇省某地市財政局是當地一家綜合經濟管理部門，主要職能有切實履行宏觀調控職責，研究提出促進區域協調發展和推進基本公共服務均等化及主體功能區建設的建議并完善鼓勵公益事業發展的財稅政策及時調整優化財政支出結構，提高保障和改善民生的支出比重，合理界定財政保障范圍和標準，重點增加基本公共服務的投入。

需求背景

該單位機房舊址搬遷，根據規劃，數據中心新機房建設項目應遵循《數據中心設計規范》（GB50174-2017）中的B級標準進行規劃設計，采用科學的項目管理手段，通過規范的工程實施。從而建設一套既能滿足現在，又能適應未來信息系統發展的基礎設施系統。

數據中心整體建設過程中，敏感數據保護是其數據安全建設要達成的重要目標。美創科技根據當下數據安全發展現狀，結合數據中心內部、外部的安全風險，提出采用外部防勒索+內部運維管控的整體方案，具體包括部署美創諾亞防勒索+美創數據庫防水壩。

解決方案

針對該單位的數據安全建設需求，美創科技提出如下解決方案。

01外部防勒索病毒攻擊

為防止勒索病毒攻擊，保護該單位核心業務數據庫安全。美創科技本次安全設計所采取的安全防護核心思想為嚴格控制數據庫文件的“寫”權限，監控所有進程的寫操作，對于非法寫操作進行阻斷，從而對勒索病毒的寫操作進行控制。

1、美創科技通過在該單位業務數據庫上安裝防勒索軟件系統，利用防勒索集中管控平臺統一實時監控并及時下發安全策略，并自動推送到終端數據庫服務器。

2、鑒于勒索病毒的無差別廣譜特征，美創諾亞防勒索系統內置病毒誘捕系統，精確識別勒索病毒的入侵和告警。當勒索病毒對誘餌文件進行了加密或者刪除等操作，所有相關信息都會上傳至服務端，通過管理中心可以及時進行可疑病毒研究。

3、美創諾亞防勒索系統實時監控受保護客戶端的狀態，包括設備名、操作系統、設備 類型、IP地址、Mac地址、訪問時間等。

02內部運維管控

針對該單位內部運維安全風險，美創通過反向代理部署數據庫防水壩實現數據庫運維工具管理、運維人員管理的設備?？蓪崿F以下功能：

一、敏感數據定義和分級分類管理，有效防止信息泄露，提升敏感數據的完整性、保密性、可用性；

二、限制特權賬戶隨意訪問敏感數據，以敏感數據保護為核心，精確到敏感列的訪問控制，任何試圖訪問敏感數據的人都會進行驗證，必須經過授權，限制針對敏感數據的危險操作；

三、數據庫準入管理，過去內部DBA、駐場開發人員訪問數據比較隨意，數據庫防水壩通過準入管理，只允許在特定區域、特定終端登錄，多因素登錄保護；針對第三方運維使用SYS維護等行為，數據庫防水壩禁止其訪問敏感數據。

四、利用U盾、授權等機制對運維人員進行合規管理。

五、動態脫敏，非直接運維者調取數據時，根據規則對敏感數據進行脫敏處理。

六、提供全面風險分析報告等。

客戶收益

? 等保合規，符合網絡安全法、等級保護等相關政策對實現敏感數據保護的相關建設要求。

? 內部運維可控，針對數據庫的運維操作可管可控，事前有認證、事中有管控、事后有審計。從源頭降低了內部違規操作帶來的數據泄露風險。

? 外部主動防御，防勒索對各種已知勒索病毒和未知勒索病毒都具備免疫能力，安全機制遵循主動防御的思想，在安全措施上對勒索軟件的運行原理進行控制，并支持和其它主機安全防護措施共同作用。大大降低勒索病毒對數據庫安全帶來的威脅

? 安全保障，提高數據整體安全性，為該單位數據資源共享和數據應用提供堅實的數據安全保障。

轉自杭州美創科技有限公司公眾號，如需二次轉載，請聯系marketing@mchz.com.cn