数据库应用之智慧城市

智慧城市是工业化、城镇化、信息化在特定历史时刻交汇的产物，也是调整经济结构的必然要求。随着现代信息技术的飞速发展，移动互联、物联网、智能家居、可穿戴数字设备等等，让人们的生活正在变得越来越智能，越来越便捷，而智慧城市结合现代信息技术，从更高更全面的角度来提升人们生活的质量，涵盖政府服务模式、经济发展方式及居民生活方式等城市发展中的方方面面。借助互联网、物联网、云计算及计算机等技术和手段，通过业务整合、流程优化、大数据处理，系统集成将现实世界和数字世界进行有效融合，为公众和城市管理提供各种智能化的服务，提升现代城市综合竞争力和国际影响力。

智慧城市是人们对未来生活方式的美好愿景，但是智慧城市面临着各种亟待解决的问题，其中数据安全问题仍是一贯的核心焦点。很多智慧城市应用涉及公民财产安全甚至国家安全，数据价值非常高，因此数据安全问题成为大数据时代智慧城市建设的首要难题。当前政府、企业、个人的数据安全意识也开始增强，尤其是“棱镜门”事件后，信息安全问题上升到前所未有的战略高度。能否解决智慧城市的数据安全问题，成了这一伟大项目立足和发展的关键。

智慧城市的数据安全需求

智慧城市信息系统是信息技术、通信技术与城市基础设施和公共服务资源的大集成和大应用，与常规信息系统具有不一样的特点，比如：

1）智慧城市的典型特点之一是广泛的物联网技术应用，将城市中的水、电、油、气、交通等公共服务资源以及个人和家庭的各种设施和物品通过互联网有机连接起来，达到全面的物联，形成更透彻的感知和更深入的智能化。

2）智慧城市的典型特点之二是云技术的使用，使得网络资源、计算资源和存储资源唾手可得，提供了人们在互联网上实现自己目标的全部技术能力。

3）智慧城市的典型特点之三是新一代通信技术的使用，提供了任何时候、任何地点以及任何设备的互联网接入能力。

4）智慧城市的典型特点之四是大数据智慧城市信息系统前所未有地保存着物联网、应用访问、用户信息、城市管理信息等全部的数据。

集中、共享、开放、自由是智慧城市信息系统的标签。这些标签是一把双刃剑，在给人们带来便捷的同时，也为内部大量的数据带来了比以往更加严重的威胁，如下：

1）核心数据破坏和泄露的风险：如网民的个人隐私信息，政府重要机密等，尤其政府内部存储的信息更容易被黑客盯上，成为信息交易产业链的源头。

2）非授权访问的风险：智慧城市带来的数据集中和开放自由的访问模式，带来了严峻的非授权访问隐患。当有人未经授权对我们的敏感信息进行了访问、甚至不合理的操作时，我们如何能及时知道我们的数据被谁动过？被谁访问过？

3）核心数据的存储风险：当人们在享受智慧城市带来的便捷的同时，人们也会担心他们的个人信息是否被妥善的保存着，是否会被管理人员或者相关的第三方维护人员等随意查看。政府的重要机密信息存储的安全性尤其需要重视。

4）法律和合规性风险：如此之大的数据集中在一起，安全性是否符合相关的法规（比如等保），对于智慧城市系统的管理者和众多的参与企业是一个重要的课题。

这些风险，不仅仅是广大用户使用智慧城市带来的便捷服务前首要考虑的因素，也是智慧城市系统的建设者、管理者及相关企业必须要解决的难关，更是智慧城市健康、持续发展的重要基础。

中安威士智慧城市应用及数据库安全解决方案

针对智慧城市面临的种种风险，中安威士提供完整的应用和数据库安全解决方案，将问题逐一解决。整体部署方案如下图所示：

整套方案由数据加密服务（TDE）、应用和数据库操作审计服务（ADT）、数据库防护服务（DAF）、性能和风险监控服务（MNT）四个服务模块组成。如下图所示：

这四个服务模块可以为应用和数据库提供相应的安全增强服务:

存储加密服务（TDE）

存储加密服务对用户定义的敏感数据内容进行加密，即使发生数据丢失或被拷贝的情况，未经授权的用户也无法读取数据的内容，确保信息不发生泄露。

部署存储加密服务后的访问效果

操作审计服务（ADT）

应用和数据库操作审计对数据库的访问、修改和管理行为进行记录和审计。通过审计手段可以规范用户内部人员的操作行为，另外如果发生数据泄密，也能通过审计手段帮助进行追查和取证。选用了操作审计服务之后，用户可以查看对自己应用系统（通常是HTTP操作）、数据库（通常是SQL操作）的所有访问行为，随时掌握我们的数据的被访问和使用情况，对于高危的操作行为，还可以及时得到告警。

用户看到的数据库操作审计效果

数据库防护服务（DAF）

数据库防护服务为数据库的访问行为增加了授权和准入控制手段，同时能防止SQL注入攻击、非授权访问行为对数据造成的破坏。启用了数据库防护服务之后，用户对数据库服务的访问必须要经过防火墙的二次授权和过滤分析，保证未经授权的访问和违规操作无法进行。防火墙提供端口映射功能，可以隐藏实际的数据库端口，使得对外提供的服务端口可以是任意空闲的端口，攻击者难以根据端口扫描得到数据库信息。另外，数据库防护服务内置了常见的SQL注入攻击规则，可以抵御来自外部的SQL注入攻击。

性能和风险监控服务（MNT）

智慧城市的数据大集中之后，对于业务系统性能的评估至关重要。部署性能和风险监控服务之后，可以为应用系统、数据库服务器的业务处理能力建立基线，随着业务量的增加，当业务响应速度降低到基线水平时，提醒用户进行性能优化或增加配置。性能和风险监控服务还可以评估物理服务器的安全风险，发现物理服务器存在的漏洞，对于已知威胁的漏洞可以进行虚拟补丁，系统会自动创建相应的安全规则，对用户的应用系统和数据库进行安全加固。

价值与收益

透过主动防御、审计监控、数据加密的体系建立一套立体的、全面的解决应用及数据库层面安全问题的方案，为用户打造了应用和数据库安全存储平台。用户通过这样一个平台，既能够对自己的数据库进行“可视化”管理，还可以根据数据库的重要程度，选择性的进行防护或加密措施，确保个人、企业及政府的核心信息资产不发生流失。同时，中安威士应用和数据库安全存储平台还可以为用户即时发送告警信息，以及定期的安全报告和报表，使用户对数据库的安全状态做到实时掌控和及时汇总，降低了对数据库管理的投入。