一、概述
近年來���,在煙草行業(yè)運(yùn)營與生產(chǎn)管理活動(dòng)中���,信息化工具發(fā)揮著日益重要的作用���,煙草企業(yè)逐步搭建起較為完善的網(wǎng)絡(luò)架構(gòu)與內(nèi)部信息系統(tǒng)環(huán)境,并成為提升自身核心競爭力的基礎(chǔ)����。與此同時(shí),各類信息安全問題不斷突顯�,對(duì)煙草行業(yè)數(shù)據(jù)的價(jià)值挖掘、利用及其安全防護(hù)至關(guān)重要�����。
二����、治理需求
伴隨國家煙草專賣局(中國煙草總公司)先后發(fā)布《煙草行業(yè)等級(jí)保護(hù)基本要求》、《煙草行業(yè)移動(dòng)應(yīng)用安全規(guī)范》����、《煙草行業(yè)網(wǎng)絡(luò)安全基線管理技術(shù)規(guī)范》、《煙草行業(yè)網(wǎng)絡(luò)與信息安全檢查自查指南》��、《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》、《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》等一系列行業(yè)指南����、規(guī)范和要求,為煙草企業(yè)有序開展信息安全建設(shè)工作提供指引��。此外��,通過對(duì)各地方局一年一度的全面信息安全檢查和專項(xiàng)信息安全檢查�,將“以查促建、以查促管����、以查促改、以查促防” 落到實(shí)處�,持續(xù)提升煙草行業(yè)整體信息化建設(shè)水平與數(shù)據(jù)安全防護(hù)能力。
在此背景下�,A市煙草專賣局根據(jù)國家要求制定《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》,其中第十條規(guī)定:除數(shù)據(jù)庫管理員外����,其他任何人不得接觸數(shù)據(jù)庫;不得擅自向其他單位或個(gè)人提供任何數(shù)據(jù)���,不得擅自復(fù)制數(shù)據(jù)�;需要對(duì)能接觸到數(shù)據(jù)庫的管理及運(yùn)維人員進(jìn)行操作記錄及管控����。然而,從A市煙草專賣局現(xiàn)有的網(wǎng)絡(luò)環(huán)境及配置來看�,難以滿足《辦法》中提出的相關(guān)要求。
三�����、痛點(diǎn)分析
1�、運(yùn)維人員管理混亂
A市煙草專賣局各業(yè)務(wù)系統(tǒng)由第三方公司負(fù)責(zé)日常運(yùn)維服務(wù),駐場人員與市局信息中心簽訂保密協(xié)議后���,可獲得對(duì)各自負(fù)責(zé)系統(tǒng)“增刪改查”等操作的數(shù)據(jù)庫最高權(quán)限���。運(yùn)維側(cè)堡壘機(jī)僅能實(shí)現(xiàn)身份校驗(yàn)和審計(jì)錄像功能,無法對(duì)運(yùn)維人員的違規(guī)或高危操作進(jìn)行及時(shí)攔截�,且存在多個(gè)運(yùn)維人員共用一個(gè)堡壘機(jī)賬號(hào)等問題。
2����、管理規(guī)定落實(shí)困難
A市煙草專賣局自身數(shù)據(jù)管理規(guī)定要求“運(yùn)維人員每次對(duì)數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行修改都要獲得并留存業(yè)務(wù)主管部門審批的紙質(zhì)單據(jù)”,但因運(yùn)維人員擁有其數(shù)據(jù)庫的最高權(quán)限,僅憑規(guī)定流程難以有效約束相關(guān)人員的實(shí)際行為����。如此一來,業(yè)務(wù)人員有可能違反數(shù)據(jù)管理規(guī)定�����,在未經(jīng)申報(bào)審批的情況下私自聯(lián)系系統(tǒng)運(yùn)維人員����,直接在數(shù)據(jù)庫中對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行修改。
3�����、數(shù)據(jù)資產(chǎn)信息不全
A市煙草專賣局各業(yè)務(wù)系統(tǒng)多由第三方公司承建并負(fù)責(zé)后續(xù)運(yùn)維服務(wù)�,數(shù)據(jù)庫也由對(duì)應(yīng)提供商分別運(yùn)維,且在開發(fā)測試及日常運(yùn)維過程還存在其他中間庫����、測試庫。與此同時(shí)����,市局信息中心僅掌握各生產(chǎn)庫的相關(guān)信息�����,無法確定是否存在其他測試庫或未知的僵尸庫�,從而對(duì)日常數(shù)據(jù)安全管理工作造成困難��。
4����、敏感數(shù)據(jù)分布不明
A市煙草專賣局各業(yè)務(wù)系統(tǒng)多由第三方公司承建并負(fù)責(zé)后續(xù)運(yùn)維服務(wù)���,市局信息中心難以準(zhǔn)確掌握各類數(shù)據(jù)的具體存儲(chǔ)字段位置�,而各外包運(yùn)維公司又不明確其中哪些屬于敏感數(shù)據(jù)�����,從而直接導(dǎo)致前者無法針對(duì)敏感數(shù)據(jù)進(jìn)行有效梳理�����、管控及安全防護(hù)���。
5�、敏感數(shù)據(jù)分類困難
煙草企業(yè)各業(yè)務(wù)系統(tǒng)中存在大量敏感信息,包括:職工個(gè)人信息���、薪資信息����、賬戶賬號(hào)信息��、卷煙庫存及采銷信息�����、零售戶信息����、往來單位信息等。國家煙草專賣局要求各省��、地市��、縣煙草專賣局推進(jìn)數(shù)據(jù)分類分級(jí)工作����,但相關(guān)的執(zhí)行標(biāo)準(zhǔn)和實(shí)施參考尚不全面。A市煙草專賣局十分關(guān)注數(shù)據(jù)資產(chǎn)梳理����、敏感數(shù)據(jù)保護(hù)�、數(shù)據(jù)流向監(jiān)控����、風(fēng)險(xiǎn)操作識(shí)別等工作,但主要依托管理員自身經(jīng)驗(yàn)進(jìn)行分析和判斷��,導(dǎo)致數(shù)據(jù)分類分級(jí)工作難以精準(zhǔn)���、高效開展。
四���、建設(shè)思路
方案設(shè)計(jì)側(cè)重解決A市煙草專賣局的數(shù)據(jù)資產(chǎn)梳理����、敏感數(shù)據(jù)分類分級(jí)和運(yùn)維區(qū)安全管控相關(guān)需求���,安華金和結(jié)合市局現(xiàn)有信息系統(tǒng)部署的實(shí)際情況�����,在運(yùn)維區(qū)與數(shù)據(jù)庫服務(wù)器之間通過代理方式部署數(shù)據(jù)庫運(yùn)維安全系統(tǒng)(DOSS)�;同時(shí),在旁路部署數(shù)據(jù)庫安全評(píng)估(DSAS)系統(tǒng)���,建設(shè)思路如下:
1��、加強(qiáng)運(yùn)維人員管理��,落實(shí)數(shù)據(jù)管理規(guī)定
依照《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》相關(guān)要求制定運(yùn)維人員行為準(zhǔn)則及數(shù)據(jù)修改審批流程���。運(yùn)維人員通過安華金和數(shù)據(jù)庫運(yùn)維安全系統(tǒng)(DOSS)訪問、操作數(shù)據(jù)庫���,涉及越權(quán)操作必須經(jīng)過指定負(fù)責(zé)人審批后方可執(zhí)行�����,從而有效避免出現(xiàn)高危操作或未經(jīng)審批的越權(quán)操作行為�����。
2����、全面梳理數(shù)據(jù)資產(chǎn)��,準(zhǔn)確發(fā)現(xiàn)敏感數(shù)據(jù)
動(dòng)靜結(jié)合——通過“端口掃描+數(shù)據(jù)掃描”探測、定位數(shù)據(jù)資產(chǎn)�����;通過“動(dòng)態(tài)流量+訪問協(xié)議解析”發(fā)現(xiàn)��、識(shí)別數(shù)據(jù)庫及敏感數(shù)據(jù)���;通過“資產(chǎn)標(biāo)識(shí)+數(shù)據(jù)標(biāo)簽”對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行有效管理�;通過對(duì)數(shù)據(jù)庫�、敏感對(duì)象、訪問源��、訪問行為等進(jìn)行分析���,對(duì)數(shù)據(jù)流向抽象繪圖;通過動(dòng)態(tài)流量信息�����,驗(yàn)證訪問情況是否與靜態(tài)標(biāo)識(shí)信息相符����。
3����、建立數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)�,輔助數(shù)據(jù)分類分級(jí)
根據(jù)自身業(yè)務(wù)特點(diǎn),對(duì)產(chǎn)生���、采集�����、加工���、使用的數(shù)據(jù)進(jìn)行分類管理;同時(shí)�,以數(shù)據(jù)分類為基礎(chǔ),采用規(guī)范����、明確的方法,區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異����,以實(shí)現(xiàn)分對(duì)數(shù)據(jù)的級(jí)管理。
4、解決方案
1�����、數(shù)據(jù)庫運(yùn)維安全系統(tǒng)(DOSS)
在交換機(jī)上部署DOSS�,配置為代理模式;配合用戶將運(yùn)維區(qū)登錄方式修改為代理模式��;過渡期后����,阻斷運(yùn)維區(qū)直連數(shù)據(jù)庫的網(wǎng)絡(luò)路徑,確保以代理方式進(jìn)行訪問的唯一性��。
(1)規(guī)則策略
提供語句操作規(guī)則���,通過配置訪問來源�����、操作對(duì)象、執(zhí)行結(jié)果�����、條件限制�����、時(shí)間等元素,生成針對(duì)數(shù)據(jù)庫的操作規(guī)則���,從而定義合法操作和非法操作��。
(2)操作審批
運(yùn)維人員對(duì)數(shù)據(jù)庫的高危操作�����、重要操作和涉敏操作須經(jīng)審批后才可執(zhí)行����,并在執(zhí)行過程中持續(xù)管控其實(shí)際行為與審批操作的一致性���。
(3)行為審計(jì)
審計(jì)所有通過DOSS操作數(shù)據(jù)庫的行為��,同時(shí)對(duì)運(yùn)維操作的申請(qǐng)及審批信息進(jìn)行準(zhǔn)確審計(jì)�����。
2�、數(shù)據(jù)庫安全評(píng)估系統(tǒng)(DSAS)
在交換機(jī)上旁路部署安華金和DSAS(含動(dòng)態(tài)梳理);通過“靜態(tài)端口掃描+動(dòng)態(tài)流量分析”對(duì)數(shù)據(jù)庫資產(chǎn)及敏感數(shù)據(jù)進(jìn)行發(fā)現(xiàn)和定位���;同時(shí)����,協(xié)助客戶建立行之有效的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)�����。
(1)數(shù)據(jù)庫自動(dòng)嗅探
系統(tǒng)可指定IP段和端口范圍進(jìn)行搜索��,或自動(dòng)搜索網(wǎng)內(nèi)數(shù)據(jù)庫�����;同時(shí)��,系統(tǒng)支持動(dòng)態(tài)發(fā)現(xiàn)數(shù)據(jù)庫的能力——通過自動(dòng)抓取訪問數(shù)據(jù)庫的流量包�,并對(duì)流量包信息進(jìn)行解析?��?勺詣?dòng)發(fā)現(xiàn)數(shù)據(jù)庫的基本信息包括:端口號(hào)�����、數(shù)據(jù)庫類型����、數(shù)據(jù)庫實(shí)例名�、數(shù)據(jù)庫服務(wù)器IP地址等。
(2)自動(dòng)識(shí)別敏感數(shù)據(jù)
按照用戶指定的一部分敏感數(shù)據(jù)或預(yù)定義的敏感數(shù)據(jù)特征�����,在執(zhí)行任務(wù)過程中對(duì)抽取的數(shù)據(jù)進(jìn)行自動(dòng)識(shí)別����,發(fā)現(xiàn)敏感數(shù)據(jù),并根據(jù)規(guī)則導(dǎo)出敏感數(shù)據(jù)清單���;通過解析旁路鏈路的動(dòng)態(tài)流量包獲取訪問對(duì)象信息�����,根據(jù)用戶指定的一部分敏感數(shù)據(jù)或預(yù)定義的敏感數(shù)據(jù)特征對(duì)訪問對(duì)象自動(dòng)識(shí)別�����,從而實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)分布的動(dòng)態(tài)發(fā)現(xiàn)�����;通過自動(dòng)識(shí)別敏感數(shù)據(jù)����,可避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作,并持續(xù)發(fā)現(xiàn)新的敏感數(shù)據(jù)����。
(3)資產(chǎn)使用分析
對(duì)訪問數(shù)據(jù)庫及敏感數(shù)據(jù)的數(shù)據(jù)庫用戶、應(yīng)用信息���、主機(jī)信息�、客戶端IP地址等訪問源進(jìn)行統(tǒng)計(jì)分析���,并根據(jù)分析結(jié)果繪制數(shù)據(jù)庫的日常訪問拓?fù)鋱D��;對(duì)數(shù)據(jù)庫及敏感數(shù)據(jù)使用情況進(jìn)行持續(xù)監(jiān)控�,協(xié)助用戶動(dòng)態(tài)梳理自身敏感數(shù)據(jù)被哪些人���、哪些業(yè)務(wù)系統(tǒng)���,通過何種途徑�、在什么時(shí)間所訪問�,匯總動(dòng)態(tài)梳理結(jié)果并形成敏感數(shù)據(jù)流向圖;對(duì)訪問數(shù)據(jù)庫����、訪問敏感數(shù)據(jù)的操作類型�����,如:SELECT���、DML����、DCL���、DDL等進(jìn)行統(tǒng)計(jì)分析����;對(duì)訪問數(shù)據(jù)庫�、訪問敏感數(shù)據(jù)的日常訪問流量和頻次進(jìn)行統(tǒng)計(jì)分析并繪制熱度分析統(tǒng)計(jì)圖;針對(duì)各業(yè)務(wù)系統(tǒng)中被訪問頻次低或無任何訪問的數(shù)據(jù)庫���、對(duì)象(表���、視圖��、存儲(chǔ)過程�、函數(shù))等資產(chǎn)按周期進(jìn)行統(tǒng)計(jì)�。
(4)數(shù)據(jù)分類分級(jí)
自動(dòng)發(fā)現(xiàn)系統(tǒng)資產(chǎn)中的各類型數(shù)據(jù),自動(dòng)厘清各數(shù)據(jù)之間的關(guān)系��;依據(jù)煙草行業(yè)業(yè)務(wù)特點(diǎn)對(duì)產(chǎn)生�����、采集�����、加工���、使用的數(shù)據(jù)進(jìn)行分類管理����;以數(shù)據(jù)分類為基礎(chǔ)��,采用規(guī)范、明確的方法區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異進(jìn)行分級(jí)管理���;幫助用戶制定數(shù)據(jù)分類分級(jí)辦法���,為煙草行業(yè)提供數(shù)據(jù)分類分級(jí)防護(hù)安全指導(dǎo)思路,并在全行業(yè)進(jìn)行復(fù)制���、推廣。
應(yīng)用效果
通過上述方案的實(shí)施����,顯著加強(qiáng)了A市煙草專賣局的運(yùn)維安全管理能力,實(shí)現(xiàn)了其對(duì)自身數(shù)據(jù)資產(chǎn)的準(zhǔn)確發(fā)現(xiàn)和記錄�,進(jìn)一步明確了敏感數(shù)據(jù)的位置分布與分類分級(jí),具體應(yīng)用效果如下:
1�、滿足了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及等保2.0中對(duì)數(shù)據(jù)安全的相關(guān)要求;
2���、規(guī)范了運(yùn)維人員的操作流程��,確保每一次運(yùn)維操作都有記錄留存�����,確保每一次越權(quán)操作都有對(duì)應(yīng)的審批記錄留存�;3、動(dòng)靜結(jié)合���,幫助客戶對(duì)自身全部數(shù)據(jù)資產(chǎn)進(jìn)行準(zhǔn)確定位并登記造冊(cè)����;4��、幫助客戶從多個(gè)復(fù)雜的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中準(zhǔn)確定位敏感數(shù)據(jù)的存儲(chǔ)情況與位置分布�����;5�����、協(xié)助客戶完成煙草行業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)����,并制定了對(duì)應(yīng)的分類分級(jí)規(guī)則。通過分類分級(jí)����,可有針對(duì)性地采取適當(dāng)���、合理的管理與安全防護(hù)措施,形成一套科學(xué)�����、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制�����。
產(chǎn)品咨詢:4000 258 365 
