電力在其整個(gè)“發(fā)、輸、變、調(diào)、配、用”的周期中,每個(gè)環(huán)節(jié)、每個(gè)瞬間都在產(chǎn)生海量的數(shù)據(jù),如果數(shù)據(jù)提供者對(duì)數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、使用過(guò)程中無(wú)法有效控制,可能會(huì)造成海量敏感數(shù)據(jù)泄露。
而當(dāng)前,電力行業(yè)在信息安全建設(shè)方面存在“共性”,即針對(duì)數(shù)據(jù)的保護(hù)主要側(cè)重于對(duì)外部的防御,比如部署防火墻、入侵檢測(cè)、漏洞掃描等傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施,真正對(duì)于數(shù)據(jù)庫(kù)核心數(shù)據(jù)卻缺乏有效的保護(hù),例如內(nèi)部高權(quán)限人員、運(yùn)維人員可直接接觸敏感數(shù)據(jù),容易發(fā)生越權(quán)違規(guī)操作、誤操作等行為都對(duì)敏感數(shù)據(jù)造成威脅。
電力行業(yè)如何建立“恰到好處”的數(shù)據(jù)安全防護(hù)?天津市電力公司的建設(shè)方案,了解一下。
客戶簡(jiǎn)介
天津市電力公司(以下簡(jiǎn)稱“天津電網(wǎng)”)隸屬國(guó)家電網(wǎng)公司,負(fù)責(zé)全市電網(wǎng)規(guī)劃、建設(shè)和運(yùn)營(yíng),承擔(dān)著保障天津能源安全,為天津經(jīng)濟(jì)社會(huì)發(fā)展提供安全、可靠、優(yōu)質(zhì)電力供應(yīng)的任務(wù)。公司供電面積1.18萬(wàn)平方公里,供電營(yíng)業(yè)戶數(shù)超過(guò)470萬(wàn)戶,供電服務(wù)人口超過(guò)1200萬(wàn)人。截至2011年底,公司資產(chǎn)總額達(dá)到583億元,年銷售電量589.52億千瓦時(shí),員工12761人。
需求背景
天津電網(wǎng)職工數(shù)量龐雜,人員的職責(zé)、流程有待完善,內(nèi)部員工的日常操作不甚規(guī)范。數(shù)據(jù)庫(kù)管理員、業(yè)務(wù)操作人員、第三方運(yùn)維人員等都可直接訪問(wèn)敏感數(shù)據(jù),缺乏有效的訪問(wèn)控制。
現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明,無(wú)法通過(guò)外部的任何安全工具來(lái)阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為;可用的依賴于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法,存在諸多的弊端,比如:數(shù)據(jù)庫(kù)審計(jì)功能的開啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn),難于體現(xiàn)審計(jì)信息的真實(shí)性等等。
解決方案
針對(duì)天津電網(wǎng)存在的安全隱患,美創(chuàng)數(shù)據(jù)庫(kù)防水壩可以有效解決。
在當(dāng)前復(fù)雜的運(yùn)維環(huán)境,數(shù)據(jù)庫(kù)防水壩從源頭上對(duì)運(yùn)維人員和業(yè)務(wù)人員進(jìn)行分離管控,采用多維度的安全認(rèn)證方式,保證運(yùn)維來(lái)源的可信、可控。對(duì)不同級(jí)別的DBA數(shù)據(jù)庫(kù)權(quán)限進(jìn)行分類,Schema級(jí)別的敏感數(shù)據(jù)分類,權(quán)限粒度細(xì)化到表格級(jí)別,對(duì)數(shù)據(jù)庫(kù)的敏感信息進(jìn)行分類從而保障用戶數(shù)據(jù)資產(chǎn)的安全。
美創(chuàng)數(shù)據(jù)庫(kù)防水壩系統(tǒng)具有幾大核心模塊:
訪問(wèn)控制模塊
采用多維度、多因素的認(rèn)證方式,從業(yè)務(wù)角度對(duì)數(shù)據(jù)庫(kù)運(yùn)維人員和業(yè)務(wù)人員進(jìn)行身份識(shí)別和訪問(wèn)控制,采用白名單方式對(duì)不同類型的運(yùn)維人員進(jìn)行身份識(shí)別。
數(shù)據(jù)脫敏模塊
開發(fā)、測(cè)試環(huán)境下敏感數(shù)據(jù)信息的動(dòng)態(tài)數(shù)據(jù)脫敏,針對(duì)用戶業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)數(shù)據(jù)類型不同、字段不同、用途不同進(jìn)行自動(dòng)的數(shù)據(jù)脫敏處理,從而保障用戶生產(chǎn)網(wǎng)中的敏感數(shù)據(jù)信息不泄露。
數(shù)據(jù)庫(kù)解析模塊
支持業(yè)界主流Oracle、Mysql、DB2等數(shù)據(jù)庫(kù)類型,針對(duì)不同類型的數(shù)據(jù)庫(kù)協(xié)議,運(yùn)維人員和開發(fā)人員可以自由選擇適配。
防篡改模塊
防止惡意的SQL語(yǔ)句修改行為,對(duì)數(shù)據(jù)庫(kù)用戶權(quán)限業(yè)務(wù)用戶和SYS類型用戶權(quán)限進(jìn)行分離,權(quán)限粒度細(xì)化到DML、DDL、DCL操作類型,防止非法用戶提權(quán)危險(xiǎn)操作行為發(fā)生。防止非法終端注冊(cè)、黑客模擬攻擊等可疑的攻擊訪問(wèn)行為,自動(dòng)攔截,并產(chǎn)生自動(dòng)的攔截告警。
合規(guī)審計(jì)模塊
識(shí)別等保三級(jí)法案,隱私數(shù)據(jù)法案的控制,對(duì)HIPAA法案、PCI-DSS法案、SOX法案、GLBA法案等法案的符合度進(jìn)行適配和審計(jì)。
客戶收益
1.多維度安全訪問(wèn)控制和授權(quán)管理,很好的解決運(yùn)維過(guò)程中賬戶共享、臨時(shí)賬號(hào),賬號(hào)管理混亂、運(yùn)維操作不透明、第三方業(yè)務(wù)單位運(yùn)維過(guò)程數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題。
2.對(duì)核心生產(chǎn)庫(kù)的重要敏感數(shù)據(jù)進(jìn)行動(dòng)態(tài)脫敏,實(shí)現(xiàn)敏感資產(chǎn)數(shù)據(jù)和非敏感數(shù)據(jù)的分離,防止運(yùn)維人員涉及重要敏感數(shù)據(jù)信息。
3.智能化報(bào)表與告警訂閱,利于整體把控?cái)?shù)據(jù)庫(kù)運(yùn)維整體安全態(tài)勢(shì)。
4.安全合規(guī)審計(jì)要求,保護(hù)敏感數(shù)據(jù)資產(chǎn)的安全審計(jì)
