“电”亮安全 | 江苏电网内部数据安全风险管控实践
电力能源承担着支撑社会经济可持续发展、服务国计民生战略大局的重要使命,是保障我国社会主义现代化建设的骨干,与广大人民群众的日常生活和企业事业单位的生存发展息息相关。作为国民经济的“温度计”和“晴雨表”,国家关键基础设施的重要组成部分,其安全性和可靠性需要进行重点保障。
近年来,大数据、云计算、物联网和移动互联网等技术在电力行业中广泛应用,“数字新基建”项目在电网运营管理中建成落地,电力行业信息化水平进步一步提高,但新技术新应用也带来海量数据的产生,数据安全隐患更加凸显。
国网江苏省电力有限公司(以下简称“江苏电网”)是国家电网公司系统规模最大的省级电网公司之一,服务全省4000多万电力客户。拥有35千伏及以上变电站2990余座、输电线路8.7万公里,电网规模超过英国、意大利等国家。
电力企业存储数据规模大、种类多且价值高,为应对数据安全新形势、新挑战,江苏电网着力推进网络与信息安全防护,强化健全网络安全保障体系,牢织数据安全密网,确保电力数据安全万无一失。
江苏电力调度控制中心隶属于江苏电网,目前中心业务类型复杂,员工众多,数据流动环节接触人员众多,这给数据安全管理带来更加复杂的难题。
比如在运维端,企业历经多年信息化建设,现已拥有多且复杂的应用系统、业务系统、数据库等IT系统,引入了第三方驻场人员进行信息系统开发、测试甚至是运维,现有的生产区数据库内部操作不透明、“人”及社会关系的不确定性、人员能力的参差不齐等多重因素,都会容易出现非法查询、随意增删改数据、误操作删除数据等。而目前,缺乏有效的安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为,而现可用的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性等等。
对此,为解决运维场景面临的越权访问数据、非法/无意操纵数据、敏感数据外泄等难题,江苏电网电力调度控制中心现以内部风险管控为发力点,进行数据安全防护建设。
电力调度控制中心经过实际考察,决定通过部署美创数据库防水坝系统,来解决现有安全隐患,具体如下:
为了提高调度技术系统的自主性和安全性,中心已在电力调度系统中采用达梦国产数据库作为后台数据库。针对当前运维环境,美创数据库防水坝从源头上对运维人员和业务人员进行分离管控,采用多维度的安全认证方式,保证运维来源的可信、可控。对不同级别的DBA数据库权限进行分类,Schema级别的敏感数据分类,权限粒度细化到表格级别,对数据库的敏感信息进行分类从而保障用户数据资产的安全。主要具有以下核心功能:
访问控制:采用多维度、多因素的认证方式,从业务角度对数据库运维人员和业务人员进行身份识别和访问控制,采用白名单方式对不同类型的运维人员进行身份识别。
2数据脱敏:开发、测试环境下敏感数据信息的动态数据脱敏,针对用户业务系统的数据库数据类型不同、字段不同、用途不同进行自动的数据脱敏处理,从而保障用户生产网中的敏感数据信息不泄露。
3数据库解析:支持业界主流Oracle、Mysql、DB2等数据库类型,针对不同类型的数据库协议,运维人员和开发人员可以自由选择适配。
4防篡改:防止恶意的SQL语句修改行为,对数据库用户权限业务用户和SYS类型用户权限进行分离,权限粒度细化到DML、DDL、DCL操作类型,防止非法用户提权危险操作行为发生。防止非法终端注册、黑客模拟攻击等可疑的攻击访问行为,自动拦截,并产生自动的拦截告警。
5合规审计:识别等保三级法案,隐私数据法案的控制,对HIPAA法案、PCI-DSS法案、SOX法案、GLBA法案等法案的符合度进行适配和审计。
03项目建设收益
2、对核心生产库的重要敏感数据进行动态脱敏,实现敏感资产数据和非敏感数据的分离,防止运维人员涉及重要敏感数据信息。
3、智能化报表与告警订阅,利于整体把控数据库运维整体安全态势。
4、安全合规审计要求,保护敏感数据资产的安全审计。
请输入标题
请输入标题