電力在其整個“發、輸、變、調、配、用”的周期中,每個環節、每個瞬間都在產生海量的數據,如果數據提供者對數據的采集、傳輸、存儲、處理、使用過程中無法有效控制,可能會造成海量敏感數據泄露。
而當前,電力行業在信息安全建設方面存在“共性”,即針對數據的保護主要側重于對外部的防御,比如部署防火墻、入侵檢測、漏洞掃描等傳統網絡安全防護措施,真正對于數據庫核心數據卻缺乏有效的保護,例如內部高權限人員、運維人員可直接接觸敏感數據,容易發生越權違規操作、誤操作等行為都對敏感數據造成威脅。
電力行業如何建立“恰到好處”的數據安全防護?天津市電力公司的建設方案,了解一下。
客戶簡介
天津市電力公司(以下簡稱“天津電網”)隸屬國家電網公司,負責全市電網規劃、建設和運營,承擔著保障天津能源安全,為天津經濟社會發展提供安全、可靠、優質電力供應的任務。公司供電面積1.18萬平方公里,供電營業戶數超過470萬戶,供電服務人口超過1200萬人。截至2011年底,公司資產總額達到583億元,年銷售電量589.52億千瓦時,員工12761人。
需求背景
天津電網職工數量龐雜,人員的職責、流程有待完善,內部員工的日常操作不甚規范。數據庫管理員、業務操作人員、第三方運維人員等都可直接訪問敏感數據,缺乏有效的訪問控制。
現有的數據庫內部操作不明,無法通過外部的任何安全工具來阻止內部用戶的惡意操作、濫用資源和泄露企業機密信息等行為;可用的依賴于數據庫日志文件的審計方法,存在諸多的弊端,比如:數據庫審計功能的開啟會影響數據庫本身的性能、數據庫日志文件本身存在被篡改的風險,難于體現審計信息的真實性等等。
解決方案
針對天津電網存在的安全隱患,美創數據庫防水壩可以有效解決。
在當前復雜的運維環境,數據庫防水壩從源頭上對運維人員和業務人員進行分離管控,采用多維度的安全認證方式,保證運維來源的可信、可控。對不同級別的DBA數據庫權限進行分類,Schema級別的敏感數據分類,權限粒度細化到表格級別,對數據庫的敏感信息進行分類從而保障用戶數據資產的安全。
美創數據庫防水壩系統具有幾大核心模塊:
訪問控制模塊
采用多維度、多因素的認證方式,從業務角度對數據庫運維人員和業務人員進行身份識別和訪問控制,采用白名單方式對不同類型的運維人員進行身份識別。
數據脫敏模塊
開發、測試環境下敏感數據信息的動態數據脫敏,針對用戶業務系統的數據庫數據類型不同、字段不同、用途不同進行自動的數據脫敏處理,從而保障用戶生產網中的敏感數據信息不泄露。
數據庫解析模塊
支持業界主流Oracle、Mysql、DB2等數據庫類型,針對不同類型的數據庫協議,運維人員和開發人員可以自由選擇適配。
防篡改模塊
防止惡意的SQL語句修改行為,對數據庫用戶權限業務用戶和SYS類型用戶權限進行分離,權限粒度細化到DML、DDL、DCL操作類型,防止非法用戶提權危險操作行為發生。防止非法終端注冊、黑客模擬攻擊等可疑的攻擊訪問行為,自動攔截,并產生自動的攔截告警。
合規審計模塊
識別等保三級法案,隱私數據法案的控制,對HIPAA法案、PCI-DSS法案、SOX法案、GLBA法案等法案的符合度進行適配和審計。
客戶收益
1.多維度安全訪問控制和授權管理,很好的解決運維過程中賬戶共享、臨時賬號,賬號管理混亂、運維操作不透明、第三方業務單位運維過程數據安全風險問題。
2.對核心生產庫的重要敏感數據進行動態脫敏,實現敏感資產數據和非敏感數據的分離,防止運維人員涉及重要敏感數據信息。
3.智能化報表與告警訂閱,利于整體把控數據庫運維整體安全態勢。
4.安全合規審計要求,保護敏感數據資產的安全審計
