客戶簡介
電力能源承擔著支撐社會經(jīng)濟可持續(xù)發(fā)展�����、服務國計民生戰(zhàn)略大局的重要使命����,是保障我國社會主義現(xiàn)代化建設(shè)的骨干��,與廣大人民群眾的日常生活和企業(yè)事業(yè)單位的生存發(fā)展息息相關(guān)�����。作為國民經(jīng)濟的“溫度計”和“晴雨表”,國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分����,其安全性和可靠性需要進行重點保障。
近年來���,大數(shù)據(jù)���、云計算、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等技術(shù)在電力行業(yè)中廣泛應用��,“數(shù)字新基建”項目在電網(wǎng)運營管理中建成落地�����,電力行業(yè)信息化水平進步一步提高�,但新技術(shù)新應用也帶來海量數(shù)據(jù)的產(chǎn)生,數(shù)據(jù)安全隱患更加凸顯�����。
國網(wǎng)江蘇省電力有限公司(以下簡稱“江蘇電網(wǎng)”)是國家電網(wǎng)公司系統(tǒng)規(guī)模最大的省級電網(wǎng)公司之一���,服務全省4000多萬電力客戶�����。擁有35千伏及以上變電站2990余座��、輸電線路8.7萬公里�����,電網(wǎng)規(guī)模超過英國���、意大利等國家。
電力企業(yè)存儲數(shù)據(jù)規(guī)模大�����、種類多且價值高����,為應對數(shù)據(jù)安全新形勢、新挑戰(zhàn)����,江蘇電網(wǎng)著力推進網(wǎng)絡與信息安全防護���,強化健全網(wǎng)絡安全保障體系,牢織數(shù)據(jù)安全密網(wǎng)����,確保電力數(shù)據(jù)安全萬無一失。
需求分析
江蘇電力調(diào)度控制中心隸屬于江蘇電網(wǎng)�,目前中心業(yè)務類型復雜,員工眾多�����,數(shù)據(jù)流動環(huán)節(jié)接觸人員眾多����,這給數(shù)據(jù)安全管理帶來更加復雜的難題。
比如在運維端����,企業(yè)歷經(jīng)多年信息化建設(shè),現(xiàn)已擁有多且復雜的應用系統(tǒng)���、業(yè)務系統(tǒng)�、數(shù)據(jù)庫等IT系統(tǒng)���,引入了第三方駐場人員進行信息系統(tǒng)開發(fā)�、測試甚至是運維,現(xiàn)有的生產(chǎn)區(qū)數(shù)據(jù)庫內(nèi)部操作不透明����、“人”及社會關(guān)系的不確定性、人員能力的參差不齊等多重因素����,都會容易出現(xiàn)非法查詢、隨意增刪改數(shù)據(jù)��、誤操作刪除數(shù)據(jù)等�。而目前���,缺乏有效的安全工具來阻止內(nèi)部用戶的惡意操作���、濫用資源和泄露企業(yè)機密信息等行為,而現(xiàn)可用的依賴于數(shù)據(jù)庫日志文件的審計方法���,存在諸多的弊端�����,比如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能�、數(shù)據(jù)庫日志文件本身存在被篡改的風險,難于體現(xiàn)審計信息的真實性等等����。
對此,為解決運維場景面臨的越權(quán)訪問數(shù)據(jù)��、非法/無意操縱數(shù)據(jù)����、敏感數(shù)據(jù)外泄等難題,江蘇電網(wǎng)電力調(diào)度控制中心現(xiàn)以內(nèi)部風險管控為發(fā)力點�,進行數(shù)據(jù)安全防護建設(shè)。
解決方案
電力調(diào)度控制中心經(jīng)過實際考察����,決定通過部署美創(chuàng)數(shù)據(jù)庫防水壩系統(tǒng),來解決現(xiàn)有安全隱患���,具體如下:
為了提高調(diào)度技術(shù)系統(tǒng)的自主性和安全性���,中心已在電力調(diào)度系統(tǒng)中采用達夢國產(chǎn)數(shù)據(jù)庫作為后臺數(shù)據(jù)庫。針對當前運維環(huán)境��,美創(chuàng)數(shù)據(jù)庫防水壩從源頭上對運維人員和業(yè)務人員進行分離管控,采用多維度的安全認證方式�,保證運維來源的可信、可控����。對不同級別的DBA數(shù)據(jù)庫權(quán)限進行分類,Schema級別的敏感數(shù)據(jù)分類�,權(quán)限粒度細化到表格級別,對數(shù)據(jù)庫的敏感信息進行分類從而保障用戶數(shù)據(jù)資產(chǎn)的安全���。主要具有以下核心功能:
1.訪問控制:采用多維度�、多因素的認證方式��,從業(yè)務角度對數(shù)據(jù)庫運維人員和業(yè)務人員進行身份識別和訪問控制�,采用白名單方式對不同類型的運維人員進行身份識別。
2.數(shù)據(jù)脫敏:開發(fā)����、測試環(huán)境下敏感數(shù)據(jù)信息的動態(tài)數(shù)據(jù)脫敏�����,針對用戶業(yè)務系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)類型不同�����、字段不同、用途不同進行自動的數(shù)據(jù)脫敏處理�,從而保障用戶生產(chǎn)網(wǎng)中的敏感數(shù)據(jù)信息不泄露。
3數(shù)據(jù)庫解析:支持業(yè)界主流Oracle�����、Mysql����、DB2等數(shù)據(jù)庫類型,針對不同類型的數(shù)據(jù)庫協(xié)議���,運維人員和開發(fā)人員可以自由選擇適配��。
4防篡改:防止惡意的SQL語句修改行為����,對數(shù)據(jù)庫用戶權(quán)限業(yè)務用戶和SYS類型用戶權(quán)限進行分離�,權(quán)限粒度細化到DML、DDL�����、DCL操作類型,防止非法用戶提權(quán)危險操作行為發(fā)生����。防止非法終端注冊、黑客模擬攻擊等可疑的攻擊訪問行為�����,自動攔截����,并產(chǎn)生自動的攔截告警。
5合規(guī)審計:識別等保三級法案�,隱私數(shù)據(jù)法案的控制,對HIPAA法案���、PCI-DSS法案�、SOX法案�、GLBA法案等法案的符合度進行適配和審計。
客戶收益
1����、多維度安全訪問控制和授權(quán)管理,很好的解決運維過程中賬戶共享���、臨時賬號���,賬號管理混亂、運維操作不透明����、第三方業(yè)務單位運維過程數(shù)據(jù)安全風險問題。
2���、對核心生產(chǎn)庫的重要敏感數(shù)據(jù)進行動態(tài)脫敏��,實現(xiàn)敏感資產(chǎn)數(shù)據(jù)和非敏感數(shù)據(jù)的分離�����,防止運維人員涉及重要敏感數(shù)據(jù)信息����。
3��、智能化報表與告警訂閱�,利于整體把控數(shù)據(jù)庫運維整體安全態(tài)勢。
4、安全合規(guī)審計要求��,保護敏感數(shù)據(jù)資產(chǎn)的安全審計���。
