美创合作重庆药品交易所:解决运维过程数据安全风险问题
重庆药品交易所从事药品、医疗器械及其他相关医用产品综合性电子交易,于2010年3月经重庆市政府批准成立,是重庆市委、市政府深化医药卫生体制改革,推动解决群众“看病难、看病贵”问题而重点打造的民生工程、民心工程。
重庆药品交易所按照“全国市场、一流水平”的发展定位,先后建成医药公共交易中心、医药金融结算中心、医药电商平台、医药大数据平台、发展交流中心等多个互联网网站,其中包含了大量产品信息以及交易数量、金额,敏感数据众多,一旦出现数据丢失、破坏、盗取等情况,后果不堪设想。
-
运维人员可轻易接触到交易类的敏感数据,造成数据泄露;
-
运维人员使用含恶意代码的绿色版管理工具,访问业务系统数据库进行合法运维操作,数据库有被遭到窃取或锁库、删库等风险;
-
DBA高权限账户密码存在被窃取、共享的风险,或者外部恶意人员拿到普通数据库账号密码后会想办法进行将权限提升为DBA高权限账户;
-
常存在多名运维人员共享同一账号,或运维人员使用临时创建或授权的新账号情况,账户管理不明确。一旦发生数据安全事件,难以定位账号实际使用者和责任人。
-
根据数据库账户、应用程序、主机名、IP地址、Mac地址、登陆时间、操作行为等实现多因素、多维度的身份验证,加强数据库准入管理;
-
对业务数据按其敏感级别进行分级分类,并对运维人员按其工作职责分类,做权限最小化设置,最大范围阻断运维人员对敏感数据的访问行为;
-
启用防密码猜测暴力破解及安全准入分析报告等功能,防止非法用户的越权使用、窃取、更改或破坏数据;
-
通过身份交付、工作日志的形式确保临时性访客运维合规,降低各种未知风险,并且确保所有的应用程序变更和部署都经过申请和授权,并通过运维日志记录检查应用部署是否得到正确的执行。
-
多维度的安全访问控制,很好的解决了运维过程中账户共享、临时账号、账号管理混乱、运维操作不透明、第三方业务单位运维过程数据安全风险问题;
-
强化数据库防御手段,补足数据安全短板,杜绝非法用户的撞库、拖库行为;
-
符合国家颁布的《网络安全法》、《信息系统安全等级保护基本要求》等相关法律、法规要求。
