4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

电力行业数据库安全应用指南

作者:安华金和 发布时间:2019-02-20

电力行业数据库安全面临的挑战

近些年电力企业已经在持续加强信息安全建设,但是由于其网络复杂、业务特殊、系统繁多等特性,依然存在安全挑战,其中数据安全防护也存在一定的不足。

据国内风险评价机构“安全值”对电力行业中91家机构的数据库情况进行统计,发现超过两成比例的数据库直接暴露在互联网中。暴露在互联网上的数据库主要是mysql,并且大多使用的版本相当陈旧,mysql数据库最新版本中修复了大量已知安全漏洞。如果依旧采用老旧版本mysql,会缺乏足够的安全保护。旧版本不仅会造成数据的泄露,甚至会成为黑客入侵内网的跳板。

敏感数据共享的威胁

随着电力企业信息化推进,电力行业内部不同部门甚至是跨组织,跨区域间的电力数据共享场景越来越普遍。共享场景中的数据安全需要做到“用”、“护”结合,其中的涉及的关键技术就是数据脱敏技术。

虽然现在电力行业内部在数据共享场景下,大多已经采用了脱敏处理,但是其中还有一部分使用脚本或者手工脱敏技术,存在一定的问题,例如:脱敏后数据质量较差、数据的关联关系容易被破坏、脱敏规则的不统一和脱敏效率低下等。

纸质审批流程和监管问题

电力单位的网络复杂、业务特殊、数据库众多,在电网的运维专区中,通常是使用堡垒机来对运维人员进行管理,这种管理方式也会给数据安全造成一定的问题:运维人员不按操作规范或既定方案进行数据库运维操作、非法导出敏感数据、数据库操作行为没有细粒度的审计记录等。

小结

综合上面的问题,电力行业面临的数据库安全威胁主要有以下三点:

1)电网客户隐私信息大量外泄,不法之徒利用隐私数据犯罪。

2)内部人员批量查询造成敏感信息泄露。

3)内部人员违规操作、高危操作造成营销数据篡改导致经济损失。

电力行业数据库安全应用方案

采用数据库脱敏、数据水印技术,让敏感隐私数据安全使用

数据共享场景下,电网企业需要对敏感数据进行梳理,依照数据分级分类的原则,针对数据敏感程度不同进行分级分类,并清晰明确数据的导出风险原则。然后根据敏感级别的不同实施相应的技术和管理措施,并制定数据库共享和分发的处理流程。

其次在执行数据共享的操作过程中,应遵循业务角色最小化原则,导出的数据必须经过数据脱敏

对于敏感数据对外分发环节,应通过数据水印技术在数据外发时植入水印,一旦对外分发数据发生了泄露,相关部门可以通过泄露样本进行泄密溯源。

采用数据库管控平台,规范运维操作 

针对电网企业运维专区存在的问题,首先,电网企业应确保不影响正常运维开展的前提下,建立数据库运维的操作审批机制和技术措施。

其次,对运维内容进行调研,将敏感表、敏感数据的操作进行增强级管控。通过数据库安全运维系统对所有涉及敏感数据的操作进行限制,做到只有当审批人审批通过后才可执行操作。这样一来,一方面加强了数据库运维的监管力度,及时扼制恶意、越权操作行为发生。另一方面将实际的运维内容与计划的内容进行统一,避免了出现与工作内容上不一致的操作行为发生。

采用数据库审计,解决安全取证难的问题 

1)建立数据库的审计机制

电网企业应建立数据库操作行为审计体系,通过使用数据库审计技术对数据库的访问和操作行为进行细粒度审计分析,监控非法访问、数据库违规操作、数据批量导出、批量数据篡改等行为。

 2)建立相应的稽核制度

电网企业的信息技术部应负责对数据导出管理工作进行审计,确保数据导出的全过程得到记录和归档,从而做到事后审计,针对审计发现的问题,提出整改意见。

当发生个人信息泄露操作,可以追究责任,逐级进行责任倒查,追究当事人、运维的机构负责人、单位主管领导直至主要负责人的责任。

注意事项

电网企业在实施数据库安全的建设前,首先,应建立相关的数据库安全制度和规范操作指南。对于敏感数据的使用和共享环节要进行敏感数据的梳理并形成数据分级、分类标准和相关管理制度和处置流程。

其次,建立数据库的审计机制,对数据库各环节操作进行稽核。

数据库安全应用感言

 “通过使用安华金和数据库审计与监控系统,帮助我司解决了四方面难题:

一、通过数据库审计与监控系统对数据库层面的攻击行为实现了精准的识别,尤其是SQL注入方面,通过SQL语法语义分析技术,帮助我司发现了很多高级SQL注入攻击。

二、对于数据库违规操作行为实现了有效监控,结合我司制定的《数据库运维操作规范》,通过业务和数据库审计系统识别违规操作行为,从而定期对违规运维人员进行通报整改。

三、及时发现数据库中执行效率低下的语句以及执行失败的语句,从而在一定程度上对数据库语句实现了优化,促进了数据库高效运行。

四、对核心信息系统实现了增强级的监控,对于核心系统核心库进行了系统表操作监控,漏洞攻击监控、账户权限变更监控、数据异动监控,并通过SYSLOG与信息安全告警平台进行对接,实现风险自动告警。”

――国家电网某省信通公司安全专家


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号