電網資料安全案例

一、背景概述

1、需求分析

電網目前的系統現狀如下：

（1）主要分生產環境和測試環境（地市）兩個機房，兩個機房物理隔離，但目前存在某些跳板機制，從測試環境機房，可以拿到存在堡壘機的一些資訊，達到獲取資料的目的，是一個不可忽視的安全隱患。

（2）資料庫目前將近300多套，以Oracle（其中大部分版本為11.0.2.0.4，小部分為12C）為主，有少量SQL Server，DB2，MySQL，還有4套達夢資料庫（其中兩套用於生產環境）。

（3）伺服器大約有200臺，其中以Linux、X86居多，重要的應用伺服器AIX（小型機）為主，約50-60臺，主要跑企業級的應用，如生產、營銷、人力資源、資產等6+1全省集中的業務系統。

二、總體設計  

針對電網的安全需求，為了保證電網資訊系統的資料安全，中安威士構建資料安全防護平臺，透過可視、可控、儲存安全的方式達到資料的安全防護。

1、資料視覺化：無論是生產環境、測試環境，還是透過堡壘機訪問資料庫，都可以實時記錄資料庫的訪問情況及風險狀況，及時發現資料的異常活動狀況和風險，並進行告警；還能針對各種異常活動提供事後追查的機制。

2、資料可控化：對敏感資料進行脫敏處理，確保運維及開發、測試人員只能看到模糊化後的資料，防止真實資料的外洩及損壞。

3、資料儲存安全：針對 儲存大量重要資料的資料庫，需要有選擇地將敏感內容進行加密儲存，防止資料庫系統在被入侵的情況下丟失資料，進一步增強訪問控制，防止內部人員特權的濫用和盜用。

基於資料視覺化，可控化及資料安全儲存的需求，有針對性的對XX電網提供資料安全防護的解決方案，彌補現有的安全體系不足。透過敏感資料發現、效能審計、風險評估、粗細粒度審計、敏感內容加密及 脫敏相互關聯，防護能力逐步提升，實現資料的視覺化、儲存安全及可控化。

三、方案價值

透過上述的解決方案能夠有效解決該電網在生產域、測試域、堡壘機之間的實施和管理，提高資料庫的安全性、機密性、穩定性以及可用性。有效滿足了電網資料管理可視、可控及儲存安全的需求，給客戶帶來的如下價值：

1、簡化業務治理，提高資料安全管理能力。由於資料庫系統是一個複雜的“黑盒子”軟體系統，其視覺化程度很低。資料庫管理員很難說清在某個時刻資料被訪問的情況，這對業務治理帶來了很大的困難。尤其在雲環境中，這種不視覺化程度更加嚴重。我司資料安全防護解決方案透過多種手段全面監控資料的訪問情況，並提供豐富的預設統計報表，以圖形化的方式將資料的訪問情況和風險情況視覺化，進而提供訪問控制能力，極大簡化了業務治理，提高了資料安全管理能力；

2、維護電網的公信力。確保電網不會發生資訊的洩露和不良資訊的傳遞，提升電網在社會上的影響力和聲譽。