1月5日，公安部科技信息化局发表了关于印发《公安云计算平台框架指南》的通知。为规范引导公安云计算建设，提升公安大数据能力，公安部科技信息化局以《公安云计算建设指导意见》的基础上编制了《公安云计算平台框架指南》，明确了云计算平台的总体技术框架，定义了功能架构的划分以及相关系统的边界。

作为国家重要行政机关，公安部肩负储存和管理国家与公民重要数据的重大责任，在拥抱云计算，提升信息化能力和价值的同时，安全保障能力同样是必选项。《公安云计算平台框架指南》中对于云计算平台的安全建设要求中，数据安全保障的技术手段给与了明确定位：建议使用提供安全告警与追查依据的数据库审计技术，以及提供安全威胁主动防御的数据库防火墙技术，两者结合提供云计算平台的数据安全保障。

其中，对数据库审计产品的功能需求表现在：主要监视并纪录对数据库服务器的各类操作，通过对网络数据的分析，实时地、智能地解析，并计入审计数据库中以便日后进行查询、分析、过滤，实现对数据库系统操作的监控和审计。

实时监测并智能地分析、还原各种数据库操作过程;

对数据库系统漏洞、登录账号、登录工具和数据操作过程进行跟踪，及时发现对数据库系统的异常使用。

应提供专业化审计报表。

并对数据库防火墙的功能提出了如下要求：

数据库防火墙部署在数据库服务器和应用服务器之间，屏蔽直接访问数据库的行为，防止通过数据库隐通道的攻击。

基于 IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证，形成多因子认证，弥补单一口令认证方式的不足。

应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。

实时检测数据库SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的纪录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

具体到指南中数据安全保护要求，除了各项安全标准中常见的数据库审计技术，数据库防火墙技术赫然在列。不同于数据库审计旁路监控的轻安全手段，串接阻断的数据库防火墙属于主动防御的重防护类手段，能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDSIPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，有效应对来自内部应用和外部黑客的数据安全威胁，而数据库审计+数据库防火墙的手段组合，能够形成策略同步后的联动作用，通过审计分析的异常语句，不断完善风险模型，支撑数据库防火墙对风险语句和异常行为的准确阻断和拦截。

安华金和的数据库防火墙不但可以满足上述《公安云计算平台框架指南》中数据库防火墙的功能需求，而且在技术领先性上还有更为出色的表现：

可以实现数据库实例级别的安全防护;

能够提供对应用IP、应用账号的解析，结合客户端IP、操作、对象、返回行为等多重控制点，可以进行灵活细致的安全策略配置，对于应用端的数据库访问、操作行为，实现精准、深入的安全管控和防护;

针对基于频次的口令攻击行为、数据库访问行为、操作行为、SQL注入进行全局策略管控，而不止于点对点的安全管控，并可以实现阻断、拦截、放行、告警等一连串动作;

可基于单库和全库两个层面进行安全风险分析，包括对安全风险的统计、检索、风险源的挖掘。

另一方面，在数据安全保障这一环节之前，我们也看到针对数据这一核心要素，《公安云计算平台框指南》中提出了数据分级分类的要求，针对数据的敏感程度、密级程度或开放范围进行数据分级，针对数据来源、业务属性、数据类型等进行数据分类划分，建立数据的分级分类管理体系。提出这项制度要求，需要借助技术工具来实现，具体的落地可以利用数据资产梳理系统对数据进行全面的梳理摸底，帮助发现敏感数据并实现有差别的针对性防护。因此，只有先做好数据分级分类，才能够为数据安全管理提供精确的依据，成为数据安全建设现行的第一步。

　置身于云计算框架下的新网络环境之中，信息的易获取性仍是亟待解决的核心威胁，高敏感度的公安数据置身于数据访问、使用和共享等复杂环境下，关乎国家安全、商业或技术机密、个人隐私等涉密信息将面临更严峻的安全挑战。《公安云计算平台框架指南》的发布，不仅提范公安行业的云计算建设水平，同样可以为其他政府及企业提供可参考的平台建设方案。