ADM告訴你(nǐ)：如何應對(duì)等保2.0關于訪問控制的細粒度要求

2019年5月13日國家市場監督管理(lǐ)總局正式發布了(le)《信息安全技術網絡安全等級保護基本要求》2.0版本（簡稱等保2.0），于2019年12月1日已經正式實施。早在十多年前，2007年和(hé)2008年國家頒布實施的《信息安全等級保護管理(lǐ)辦法》與《信息安全等級保護基本要求》被稱爲等保1.0，這(zhè)爲我國網絡安全事(shì)業發展奠定了(le)堅實的基礎。

相對(duì)于等保1.0來(lái)講，等保2.0是爲了(le)适應新技術的發展，解決雲計(jì)算(suàn)、物聯網與移動互聯、工(gōng)控領域等級保護的需要，信息系統等級保護的要求更加細化嚴格，可以說是在網絡安全等級保護制度過程中具有裏程碑的意義。

以等保三級爲例，以下(xià)通過等保1.0和(hé)等保2.0的具體要求進行比較，并給出相應的等保2.0的應對(duì)解決方案。

數據權限管理(lǐ)解決方案

等保2.0中該測評單元包括以下(xià)要求

a） 測評指标：訪問控制的粒度應達到(dào)主體爲用(yòng)戶級或進程級，客體爲文(wén)件、數據庫表級。

b） 測試對(duì)象：終端和(hé)服務器等設備中的操作(zuò)系統（包括宿主機和(hé)虛拟機操作(zuò)系統）、網絡設備（包括虛拟網絡設備）、安全設備（包括虛拟安全設備）、移動終端、移動終端管理(lǐ)系統、移動終端管理(lǐ)客戶端、業務應用(yòng)系統、數據庫管理(lǐ)系統、中間件和(hé)系統管理(lǐ)軟件及系統設計(jì)文(wén)檔等。

c） 測評實驗：應核查訪問控制策略的控制粒度是否達到(dào)主體爲用(yòng)戶級或進程級，客體爲文(wén)件、數據庫表、記錄或字段級。

ADM解決方案：

等保2.0中對(duì)數據的訪問控制要求更爲精細，要求訪問控制的粒度應達到(dào)數據庫表級和(hé)字段級，這(zhè)就導緻傳統的運維安全審計(jì)産品不再能(néng)滿足等級保護的測評要求，而上(shàng)訊信息ADM平台的數據權限管理(lǐ)解決方案此時(shí)登場，通過數據庫訪問權限管控與數據動态脫敏的功能(néng)結合，實現(xiàn)細化到(dào)數據庫表、字段級、記錄的權限管控，并對(duì)不具備查看(kàn)原始數據權限的數據做相應的動态脫敏處理(lǐ)。

01采用(yòng)虛拟賬号，消除訪問隐患

ADM内置權限匹配的功能(néng)，根據具體屬性制定訪問策略，做到(dào)事(shì)前控制、事(shì)中跟蹤、事(shì)後識别全程記錄訪問者，嚴格控制訪問行爲。

02縮小(xiǎo)訪問粒度，管控訪問細節

所有SQL指令經過ADM過濾，掃描出所有的訪問屬性，首次将訪問粒度縮小(xiǎo)至數據庫表級、數據庫字段級，滿足等保2.0對(duì)數據訪問控制的客體要求。

03屬性動态靈活，提高(gāo)訪問安全

ADM訪問控制技術的優勢在于能(néng)夠動态識别客戶端發出的所有訪問行爲，替換真值返回受限訪問結果，不局限于數據自(zì)身特征預定的固定、靜态的敏感策略，因此在保證數據安全訪問的前提下(xià)，增加了(le)數據訪問的靈活性。

通過創建訪問用(yòng)戶，對(duì)訪問用(yòng)戶設置訪問權限，限定該用(yòng)戶可訪問數據庫中的哪些(xiē)表，進而對(duì)訪問用(yòng)戶的特殊行爲，比如insert、update、select、delete、drop、truncate等操作(zuò)進行阻斷或審批後允許操作(zuò)，ADM建立了(le)一套完整的數據訪問控制流程，杜絕了(le)權限設置過大(dà)造成的管控遺漏現(xiàn)象、賬号共享導緻的越權訪問以及數據訪問過程中喪失靈活性的問題。

上(shàng)訊信息ADM産品通過數據權限管理(lǐ)解決方案，助力企業打造更高(gāo)安全級别的網絡安全堡壘，順利通過等保2.0訪問控制方向的安全等級測評，未來(lái)，上(shàng)訊信息将不遺餘力地爲網絡安全事(shì)業發展提供更多強有力的解決方案！