電網資料安全案例

資料庫安全專家發表於2019-12-06

一、背景概述


1、需求分析


電網目前的系統現狀如下:


(1)主要分生產環境和測試環境(地市)兩個機房,兩個機房物理隔離,但目前存在某些跳板機制,從測試環境機房,可以拿到存在堡壘機的一些資訊,達到獲取資料的目的,是一個不可忽視的安全隱患。


(2)資料庫目前將近300多套,以Oracle(其中大部分版本為11.0.2.0.4,小部分為12C)為主,有少量SQL Server,DB2,MySQL,還有4套達夢資料庫(其中兩套用於生產環境)。


(3)伺服器大約有200臺,其中以Linux、X86居多,重要的應用伺服器AIX(小型機)為主,約50-60臺,主要跑企業級的應用,如生產、營銷、人力資源、資產等6+1全省集中的業務系統。


二、總體設計  


針對電網的安全需求,為了保證電網資訊系統的資料安全,中安威士構建資料安全防護平臺,通過可視、可控、儲存安全的方式達到資料的安全防護。


1、資料視覺化:無論是生產環境、測試環境,還是通過堡壘機訪問資料庫,都可以實時記錄資料庫的訪問情況及風險狀況,及時發現資料的異常活動狀況和風險,並進行告警;還能針對各種異常活動提供事後追查的機制。


2、資料可控化:對敏感資料進行脫敏處理,確保運維及開發、測試人員只能看到模糊化後的資料,防止真實資料的外洩及損壞。


3、資料儲存安全:針對 儲存大量重要資料的資料庫,需要有選擇地將敏感內容進行加密儲存,防止資料庫系統在被入侵的情況下丟失資料,進一步增強訪問控制,防止內部人員特權的濫用和盜用。


基於資料視覺化,可控化及資料安全儲存的需求,有針對性的對XX電網提供資料安全防護的解決方案,彌補現有的安全體系不足。通過敏感資料發現、效能審計、風險評估、粗細粒度審計、敏感內容加密及 脫敏相互關聯,防護能力逐步提升,實現資料的視覺化、儲存安全及可控化。



三、方案價值



通過上述的解決方案能夠有效解決該電網在生產域、測試域、堡壘機之間的實施和管理,提高資料庫的安全性、機密性、穩定性以及可用性。有效滿足了電網資料管理可視、可控及儲存安全的需求,給客戶帶來的如下價值:


1、簡化業務治理,提高資料安全管理能力。由於資料庫系統是一個複雜的“黑盒子”軟體系統,其視覺化程度很低。資料庫管理員很難說清在某個時刻資料被訪問的情況,這對業務治理帶來了很大的困難。尤其在雲環境中,這種不視覺化程度更加嚴重。我司資料安全防護解決方案通過多種手段全面監控資料的訪問情況,並提供豐富的預設統計報表,以圖形化的方式將資料的訪問情況和風險情況視覺化,進而提供訪問控制能力,極大簡化了業務治理,提高了資料安全管理能力;


2、維護電網的公信力。確保電網不會發生資訊的洩露和不良資訊的傳遞,提升電網在社會上的影響力和聲譽。



來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69914889/viewspace-2667313/,如需轉載,請註明出處,否則將追究法律責任。

相關文章