ADM告诉你：如何应对等保2.0关于访问控制的细粒度要求

2019年5月13日国家市场监督管理总局正式发布了《信息安全技术网络安全等级保护基本要求》2.0版本（简称等保2.0），于2019年12月1日已经正式实施。早在十多年前，2007年和2008年国家颁布实施的《信息安全等级保护管理办法》与《信息安全等级保护基本要求》被称为等保1.0，这为我国网络安全事业发展奠定了坚实的基础。

相对于等保1.0来讲，等保2.0是为了适应新技术的发展，解决云计算、物联网与移动互联、工控领域等级保护的需要，信息系统等级保护的要求更加细化严格，可以说是在网络安全等级保护制度过程中具有里程碑的意义。

以等保三级为例，以下通过等保1.0和等保2.0的具体要求进行比较，并给出相应的等保2.0的应对解决方案。

数据权限管理解决方案

等保2.0中该测评单元包括以下要求

a） 测评指标：访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。

b） 测试对象：终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。

c） 测评实验：应核查访问控制策略的控制粒度是否达到主体为用户级或进程级，客体为文件、数据库表、记录或字段级。

ADM解决方案：

等保2.0中对数据的访问控制要求更为精细，要求访问控制的粒度应达到数据库表级和字段级，这就导致传统的运维安全审计产品不再能满足等级保护的测评要求，而上讯信息ADM平台的数据权限管理解决方案此时登场，通过数据库访问权限管控与数据动态脱敏的功能结合，实现细化到数据库表、字段级、记录的权限管控，并对不具备查看原始数据权限的数据做相应的动态脱敏处理。

01采用虚拟账号，消除访问隐患

ADM内置权限匹配的功能，根据具体属性制定访问策略，做到事前控制、事中跟踪、事后识别全程记录访问者，严格控制访问行为。

02缩小访问粒度，管控访问细节

所有SQL指令经过ADM过滤，扫描出所有的访问属性，首次将访问粒度缩小至数据库表级、数据库字段级，满足等保2.0对数据访问控制的客体要求。

03属性动态灵活，提高访问安全

ADM访问控制技术的优势在于能够动态识别客户端发出的所有访问行为，替换真值返回受限访问结果，不局限于数据自身特征预定的固定、静态的敏感策略，因此在保证数据安全访问的前提下，增加了数据访问的灵活性。

通过创建访问用户，对访问用户设置访问权限，限定该用户可访问数据库中的哪些表，进而对访问用户的特殊行为，比如insert、update、select、delete、drop、truncate等操作进行阻断或审批后允许操作，ADM建立了一套完整的数据访问控制流程，杜绝了权限设置过大造成的管控遗漏现象、账号共享导致的越权访问以及数据访问过程中丧失灵活性的问题。

上讯信息ADM产品通过数据权限管理解决方案，助力企业打造更高安全级别的网络安全堡垒，顺利通过等保2.0访问控制方向的安全等级测评，未来，上讯信息将不遗余力地为网络安全事业发展提供更多强有力的解决方案！