前言

近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载，国内外媒体频繁报道，影响恶劣，引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开，各报道中也针对系列事件向用户提出密码设置策略等安全建议。针对此类大规模数据泄密事件，安恒信息专家团队特别制作相关解决方案，敬请大家关注。本文紧接《数据安全防“脱库”解决方案——防信息泄密的建设思路》，详细内容如下：

构建防信息泄露的城墙

安全服务与安全产品是相辅相成的，两者如砖头和水泥的关系，一方面，脱离服务的安全产品无法发挥其固有的能力，另一方面，脱离产品的服务效率低下、成本过高。因此，安恒提出“产品服务化、服务产品化”的理念，以优秀的产品、满意的服务为客户网络安全提供保证。

防泄密涉及网络安全、主机安全、运维安全等方方面面,建设应用安全体系是解决防泄密问题的核心所在。本方案中通过WEB应用层面、数据库层面、运维操作层面进行技术防范，降低泄密事件的风险。并针对现有系统提出了“事前+事中+事后”的安全防护方法。安恒公司依据多年的应用与数据库安全经验，拥有自己独到的针对信息与网络安全和信息与网络安全服务的方法论，来建设应用安全体系：

一、加强系统安全体系建设，减少从系统层发生信息泄密的发生：

通过对系统层的安全风险评估，发现系统安全层面存在的安全隐患及问题，并进行安全加固;

通过部署相应的网络防火墙进行合理的访问控制及安全域划分;

建立运维审计系统将远程运维进行安全审计，通过三个方面的建设加强系统安全体系建设。

二、建设应用安全体系，提高应用层抗攻击能力，降低信息泄密造成影响：

通过对应用层的安全风险评估，发现应用安全层面存在的安全隐患及问题，并进行安全加固;

建立事前预警机制，建设WEB应用安全检测系统和数据库安全检测系统，对已有业务系统及数据库进行安全检查，减少信息泄密的发生;

建立事中防护体系，建设WEB应用防火墙，提高WEB应用系统的抗风险能力;

建立事后追溯手段，建设应用与数据库安全审计系统，提高系统运行的透明度，对用户访问及数据库操作行为进行安全审计。

三、提升信息安全管理水平，加强管理制度建，辅以安全培训及应急响应：

建立应急响应机制，通过安恒专业的安全服务团队对发生的安全事件进行专业分析与服务，帮助用户快速地对安全事件进行响应;

建立安全培训体系，通过定期专业安全培训提升企业的技术人员安全管理实力。

通过管理制度建设，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

加强系统安全体系

上文提到了信息系统系统安全的重要性，据安恒公司的实际调研，大部分的企业都把业务系统及服务器托管至IDC机房，应用服务器和数据库服务器在网络层面和应用层面均没有采取任何的防护措施，所有服务器的安全防护方面属于在“裸奔”状态下运行，应通过建立风险评估机制，充分考虑网络访问控制、安全域划分及运维审计体系等安全管理措施。

一、 针对系统层安全进行信息系统风险评估与安全加固，并结合已有网络访问控制手段加固访问控制策略;

二、 建立建全网络访问控制机制及安全域划分，对托管在IDC机房的所有设备进行安全域划分，管理与业务分离、应用与数据分离;

三、 运维审计，通过对远程运维进行合理有效地监控，提升安全运维的透明度，对运维的操作进行监控审计;

(责任编辑：)