电力在其整个“发、输、变、调、配、用”的周期中,每个环节、每个瞬间都在产生海量的数据,如果数据提供者对数据的采集、传输、存储、处理、使用过程中无法有效控制,可能会造成海量敏感数据泄露。
而当前,电力行业在信息安全建设方面存在“共性”,即针对数据的保护主要侧重于对外部的防御,比如部署防火墙、入侵检测、漏洞扫描等传统网络安全防护措施,真正对于数据库核心数据却缺乏有效的保护,例如内部高权限人员、运维人员可直接接触敏感数据,容易发生越权违规操作、误操作等行为都对敏感数据造成威胁。
电力行业如何建立“恰到好处”的数据安全防护?天津市电力公司的建设方案,了解一下。
客户简介
天津市电力公司(以下简称“天津电网”)隶属国家电网公司,负责全市电网规划、建设和运营,承担着保障天津能源安全,为天津经济社会发展提供安全、可靠、优质电力供应的任务。公司供电面积1.18万平方公里,供电营业户数超过470万户,供电服务人口超过1200万人。截至2011年底,公司资产总额达到583亿元,年销售电量589.52亿千瓦时,员工12761人。
需求背景
天津电网职工数量庞杂,人员的职责、流程有待完善,内部员工的日常操作不甚规范。数据库管理员、业务操作人员、第三方运维人员等都可直接访问敏感数据,缺乏有效的访问控制。
现有的数据库内部操作不明,无法通过外部的任何安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为;可用的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性等等。
解决方案
针对天津电网存在的安全隐患,美创数据库防水坝可以有效解决。
在当前复杂的运维环境,数据库防水坝从源头上对运维人员和业务人员进行分离管控,采用多维度的安全认证方式,保证运维来源的可信、可控。对不同级别的DBA数据库权限进行分类,Schema级别的敏感数据分类,权限粒度细化到表格级别,对数据库的敏感信息进行分类从而保障用户数据资产的安全。
美创数据库防水坝系统具有几大核心模块:
访问控制模块
采用多维度、多因素的认证方式,从业务角度对数据库运维人员和业务人员进行身份识别和访问控制,采用白名单方式对不同类型的运维人员进行身份识别。
数据脱敏模块
开发、测试环境下敏感数据信息的动态数据脱敏,针对用户业务系统的数据库数据类型不同、字段不同、用途不同进行自动的数据脱敏处理,从而保障用户生产网中的敏感数据信息不泄露。
数据库解析模块
支持业界主流Oracle、Mysql、DB2等数据库类型,针对不同类型的数据库协议,运维人员和开发人员可以自由选择适配。
防篡改模块
防止恶意的SQL语句修改行为,对数据库用户权限业务用户和SYS类型用户权限进行分离,权限粒度细化到DML、DDL、DCL操作类型,防止非法用户提权危险操作行为发生。防止非法终端注册、黑客模拟攻击等可疑的攻击访问行为,自动拦截,并产生自动的拦截告警。
合规审计模块
识别等保三级法案,隐私数据法案的控制,对HIPAA法案、PCI-DSS法案、SOX法案、GLBA法案等法案的符合度进行适配和审计。
客户收益
1.多维度安全访问控制和授权管理,很好的解决运维过程中账户共享、临时账号,账号管理混乱、运维操作不透明、第三方业务单位运维过程数据安全风险问题。
2.对核心生产库的重要敏感数据进行动态脱敏,实现敏感资产数据和非敏感数据的分离,防止运维人员涉及重要敏感数据信息。
3.智能化报表与告警订阅,利于整体把控数据库运维整体安全态势。
4.安全合规审计要求,保护敏感数据资产的安全审计
