微博图标
安华金和官方微博
微信图标
安华金和官方公众号
4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

电力行业数据库安全解决方案

数据库安全需求

根据《电力监控统安全防护总体方案》的要求,电力行业调度自动化系统分为四个大区,各大区之间实现隔离。采用这种机制的主要目的是保障系统的可靠性和稳定性,防止低级别的,对系统有攻击性、危害性的代码和程序流入更高安全级别的系统:

1.安全区Ⅰ(实时控制区):包括调度自动化系统(SCADA/EMS)、配电自动化系统、变电站自动化系统、发电厂自动监控系统等;

2.安全区Ⅱ(非控制生产区):包括调度员培训模拟系统(DTS)、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等;

3.安全区Ⅲ(生产管理区):主要为电力生产所需的信息管理系统,如调度生产管理系统(DMIS)、统计报表系统(日报、旬报、月报、年报)、雷电监测系统、气象信息接入等;

4.安全区IV(管理信息区):包括管理信息系统(MIS)、办公自动化系统(OA)、客户服务等。

现有的电力监控系统安全防护方案能够较好的隔离外网、管理信息大区、生产控制大区之间的非法访问,但管理信息大区积累了大量的电力敏感数据,如财务数据、营销数据、人资数据、市场信息、生产管理信息等,经过梳理,我们将电力行业数据库面临的主要安全隐患分为以下几类:

对数据库系统整体安全状态未知,如数据库系统存在哪些漏洞,哪些不安全的配置项等等;

由于数据库系统自身安全问题以及对危险SQL语句无严格过滤而引发的数据库被攻击(如漏洞攻击、SQL注入等);

对于数据库的访问控制缺乏细粒度管控措施,存在违规访问风险以及内部人员的违规操作行为;

目前数据库中的敏感数据采用明文方式存储,缺乏安全措施,存在明文数据泄露隐患;

内部人员、第三方运维人员、数据库厂商的DBA人员、新模块的程序开发人员等,在工作中需要频繁访问数据库,缺乏对访问人员的身份管理及过高的权限分配可能导致电力敏感数据的集中泄露或异常篡改等安全风险。



方案概述

根据国家能源局发布的《电力监控系统安全防护总体方案》以及上文总结的电力行业数据库安全风险、安华金和提出电力行业数据库安全解决方案:

数据库脆弱性评估——数据库漏洞扫描工具

《电力监控系统安全防护总体方案》中明确指出安全防护方案的第一步需要进行脆弱性评估,其中包括数据库的漏洞评估。安华金和可提供专业的数据库漏洞扫描工具,对数据库系统进行全面的安全评估,包括DBMS漏洞、配置缺陷、弱口令、权限宽泛等安全隐患。

恶意代码防范——数据库防火墙

安华金和数据库防火墙可以实现对各主流数据库通讯协议的“双向、全协议解析”,支持各类接口类型(如JDBC、ODBC、OCI),提供针对数据库漏洞攻击及SQL注入攻击等的防护能力,对危险访问和操作进行实时拦截和阻断。

访问操作安全审计-数据库监控与审计系统

《电力监控系统安全防护总体方案》中明确提出需要在生产控制大区对数据库的操作日志提供安全审计功能,此外,需符合相关的等级保护要求。安华金和数据库监控与审计系统基于精确的数据库通讯协议解析能力,能够实现全面精确的数据库访问行为审计,符合相关政策合规要求。 



方案价值



典型用户

95598.png元宝山电力.png中国电力科学研究院.jpg
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号