一、概述
近年來�,在煙草行業(yè)運(yùn)營與生產(chǎn)管理活動中,信息化工具發(fā)揮著日益重要的作用���,煙草企業(yè)逐步搭建起較為完善的網(wǎng)絡(luò)架構(gòu)與內(nèi)部信息系統(tǒng)環(huán)境���,并成為提升自身核心競爭力的基礎(chǔ)���。與此同時��,各類信息安全問題不斷突顯�,對煙草行業(yè)數(shù)據(jù)的價值挖掘���、利用及其安全防護(hù)至關(guān)重要����。
二�、治理需求
伴隨國家煙草專賣局(中國煙草總公司)先后發(fā)布《煙草行業(yè)等級保護(hù)基本要求》、《煙草行業(yè)移動應(yīng)用安全規(guī)范》���、《煙草行業(yè)網(wǎng)絡(luò)安全基線管理技術(shù)規(guī)范》�、《煙草行業(yè)網(wǎng)絡(luò)與信息安全檢查自查指南》、《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》����、《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》等一系列行業(yè)指南、規(guī)范和要求���,為煙草企業(yè)有序開展信息安全建設(shè)工作提供指引�����。此外���,通過對各地方局一年一度的全面信息安全檢查和專項信息安全檢查,將“以查促建��、以查促管�����、以查促改�、以查促防” 落到實處,持續(xù)提升煙草行業(yè)整體信息化建設(shè)水平與數(shù)據(jù)安全防護(hù)能力�。
在此背景下�,A市煙草專賣局根據(jù)國家要求制定《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》��,其中第十條規(guī)定:除數(shù)據(jù)庫管理員外�����,其他任何人不得接觸數(shù)據(jù)庫����;不得擅自向其他單位或個人提供任何數(shù)據(jù),不得擅自復(fù)制數(shù)據(jù)���;需要對能接觸到數(shù)據(jù)庫的管理及運(yùn)維人員進(jìn)行操作記錄及管控。然而���,從A市煙草專賣局現(xiàn)有的網(wǎng)絡(luò)環(huán)境及配置來看����,難以滿足《辦法》中提出的相關(guān)要求����。
三、痛點(diǎn)分析
1�����、運(yùn)維人員管理混亂
A市煙草專賣局各業(yè)務(wù)系統(tǒng)由第三方公司負(fù)責(zé)日常運(yùn)維服務(wù),駐場人員與市局信息中心簽訂保密協(xié)議后���,可獲得對各自負(fù)責(zé)系統(tǒng)“增刪改查”等操作的數(shù)據(jù)庫最高權(quán)限��。運(yùn)維側(cè)堡壘機(jī)僅能實現(xiàn)身份校驗和審計錄像功能���,無法對運(yùn)維人員的違規(guī)或高危操作進(jìn)行及時攔截,且存在多個運(yùn)維人員共用一個堡壘機(jī)賬號等問題���。
2����、管理規(guī)定落實困難
A市煙草專賣局自身數(shù)據(jù)管理規(guī)定要求“運(yùn)維人員每次對數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行修改都要獲得并留存業(yè)務(wù)主管部門審批的紙質(zhì)單據(jù)”����,但因運(yùn)維人員擁有其數(shù)據(jù)庫的最高權(quán)限,僅憑規(guī)定流程難以有效約束相關(guān)人員的實際行為�。如此一來,業(yè)務(wù)人員有可能違反數(shù)據(jù)管理規(guī)定�����,在未經(jīng)申報審批的情況下私自聯(lián)系系統(tǒng)運(yùn)維人員,直接在數(shù)據(jù)庫中對業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行修改���。
3�����、數(shù)據(jù)資產(chǎn)信息不全
A市煙草專賣局各業(yè)務(wù)系統(tǒng)多由第三方公司承建并負(fù)責(zé)后續(xù)運(yùn)維服務(wù)�,數(shù)據(jù)庫也由對應(yīng)提供商分別運(yùn)維����,且在開發(fā)測試及日常運(yùn)維過程還存在其他中間庫、測試庫��。與此同時���,市局信息中心僅掌握各生產(chǎn)庫的相關(guān)信息,無法確定是否存在其他測試庫或未知的僵尸庫��,從而對日常數(shù)據(jù)安全管理工作造成困難��。
4���、敏感數(shù)據(jù)分布不明
A市煙草專賣局各業(yè)務(wù)系統(tǒng)多由第三方公司承建并負(fù)責(zé)后續(xù)運(yùn)維服務(wù)�����,市局信息中心難以準(zhǔn)確掌握各類數(shù)據(jù)的具體存儲字段位置�����,而各外包運(yùn)維公司又不明確其中哪些屬于敏感數(shù)據(jù)��,從而直接導(dǎo)致前者無法針對敏感數(shù)據(jù)進(jìn)行有效梳理��、管控及安全防護(hù)��。
5���、敏感數(shù)據(jù)分類困難
煙草企業(yè)各業(yè)務(wù)系統(tǒng)中存在大量敏感信息��,包括:職工個人信息�����、薪資信息�����、賬戶賬號信息����、卷煙庫存及采銷信息、零售戶信息����、往來單位信息等。國家煙草專賣局要求各省�����、地市����、縣煙草專賣局推進(jìn)數(shù)據(jù)分類分級工作,但相關(guān)的執(zhí)行標(biāo)準(zhǔn)和實施參考尚不全面�����。A市煙草專賣局十分關(guān)注數(shù)據(jù)資產(chǎn)梳理��、敏感數(shù)據(jù)保護(hù)�����、數(shù)據(jù)流向監(jiān)控��、風(fēng)險操作識別等工作�,但主要依托管理員自身經(jīng)驗進(jìn)行分析和判斷,導(dǎo)致數(shù)據(jù)分類分級工作難以精準(zhǔn)��、高效開展�����。
四�、建設(shè)思路
方案設(shè)計側(cè)重解決A市煙草專賣局的數(shù)據(jù)資產(chǎn)梳理、敏感數(shù)據(jù)分類分級和運(yùn)維區(qū)安全管控相關(guān)需求��,安華金和結(jié)合市局現(xiàn)有信息系統(tǒng)部署的實際情況����,在運(yùn)維區(qū)與數(shù)據(jù)庫服務(wù)器之間通過代理方式部署數(shù)據(jù)庫運(yùn)維安全系統(tǒng)(DOSS);同時���,在旁路部署數(shù)據(jù)庫安全評估(DSAS)系統(tǒng)���,建設(shè)思路如下:
1、加強(qiáng)運(yùn)維人員管理��,落實數(shù)據(jù)管理規(guī)定
依照《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》相關(guān)要求制定運(yùn)維人員行為準(zhǔn)則及數(shù)據(jù)修改審批流程。運(yùn)維人員通過安華金和數(shù)據(jù)庫運(yùn)維安全系統(tǒng)(DOSS)訪問���、操作數(shù)據(jù)庫���,涉及越權(quán)操作必須經(jīng)過指定負(fù)責(zé)人審批后方可執(zhí)行,從而有效避免出現(xiàn)高危操作或未經(jīng)審批的越權(quán)操作行為�����。
2�、全面梳理數(shù)據(jù)資產(chǎn),準(zhǔn)確發(fā)現(xiàn)敏感數(shù)據(jù)
動靜結(jié)合——通過“端口掃描+數(shù)據(jù)掃描”探測����、定位數(shù)據(jù)資產(chǎn);通過“動態(tài)流量+訪問協(xié)議解析”發(fā)現(xiàn)����、識別數(shù)據(jù)庫及敏感數(shù)據(jù);通過“資產(chǎn)標(biāo)識+數(shù)據(jù)標(biāo)簽”對數(shù)據(jù)資產(chǎn)進(jìn)行有效管理���;通過對數(shù)據(jù)庫���、敏感對象�、訪問源���、訪問行為等進(jìn)行分析,對數(shù)據(jù)流向抽象繪圖�;通過動態(tài)流量信息,驗證訪問情況是否與靜態(tài)標(biāo)識信息相符���。
3��、建立數(shù)據(jù)分級標(biāo)準(zhǔn)���,輔助數(shù)據(jù)分類分級
根據(jù)自身業(yè)務(wù)特點(diǎn),對產(chǎn)生��、采集�����、加工����、使用的數(shù)據(jù)進(jìn)行分類管理;同時����,以數(shù)據(jù)分類為基礎(chǔ)����,采用規(guī)范����、明確的方法,區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異����,以實現(xiàn)分對數(shù)據(jù)的級管理。
4����、解決方案
1、數(shù)據(jù)庫運(yùn)維安全系統(tǒng)(DOSS)
在交換機(jī)上部署DOSS����,配置為代理模式;配合用戶將運(yùn)維區(qū)登錄方式修改為代理模式���;過渡期后����,阻斷運(yùn)維區(qū)直連數(shù)據(jù)庫的網(wǎng)絡(luò)路徑,確保以代理方式進(jìn)行訪問的唯一性��。
(1)規(guī)則策略
提供語句操作規(guī)則��,通過配置訪問來源�����、操作對象�����、執(zhí)行結(jié)果����、條件限制�����、時間等元素��,生成針對數(shù)據(jù)庫的操作規(guī)則�,從而定義合法操作和非法操作。
(2)操作審批
運(yùn)維人員對數(shù)據(jù)庫的高危操作���、重要操作和涉敏操作須經(jīng)審批后才可執(zhí)行���,并在執(zhí)行過程中持續(xù)管控其實際行為與審批操作的一致性����。
(3)行為審計
審計所有通過DOSS操作數(shù)據(jù)庫的行為��,同時對運(yùn)維操作的申請及審批信息進(jìn)行準(zhǔn)確審計��。
2�����、數(shù)據(jù)庫安全評估系統(tǒng)(DSAS)
在交換機(jī)上旁路部署安華金和DSAS(含動態(tài)梳理)��;通過“靜態(tài)端口掃描+動態(tài)流量分析”對數(shù)據(jù)庫資產(chǎn)及敏感數(shù)據(jù)進(jìn)行發(fā)現(xiàn)和定位�����;同時����,協(xié)助客戶建立行之有效的數(shù)據(jù)分類分級標(biāo)準(zhǔn)。
(1)數(shù)據(jù)庫自動嗅探
系統(tǒng)可指定IP段和端口范圍進(jìn)行搜索,或自動搜索網(wǎng)內(nèi)數(shù)據(jù)庫�;同時,系統(tǒng)支持動態(tài)發(fā)現(xiàn)數(shù)據(jù)庫的能力——通過自動抓取訪問數(shù)據(jù)庫的流量包��,并對流量包信息進(jìn)行解析����。可自動發(fā)現(xiàn)數(shù)據(jù)庫的基本信息包括:端口號�、數(shù)據(jù)庫類型、數(shù)據(jù)庫實例名�、數(shù)據(jù)庫服務(wù)器IP地址等����。
(2)自動識別敏感數(shù)據(jù)
按照用戶指定的一部分敏感數(shù)據(jù)或預(yù)定義的敏感數(shù)據(jù)特征,在執(zhí)行任務(wù)過程中對抽取的數(shù)據(jù)進(jìn)行自動識別�,發(fā)現(xiàn)敏感數(shù)據(jù),并根據(jù)規(guī)則導(dǎo)出敏感數(shù)據(jù)清單���;通過解析旁路鏈路的動態(tài)流量包獲取訪問對象信息��,根據(jù)用戶指定的一部分敏感數(shù)據(jù)或預(yù)定義的敏感數(shù)據(jù)特征對訪問對象自動識別����,從而實現(xiàn)對敏感數(shù)據(jù)分布的動態(tài)發(fā)現(xiàn);通過自動識別敏感數(shù)據(jù)�����,可避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作�����,并持續(xù)發(fā)現(xiàn)新的敏感數(shù)據(jù)��。
(3)資產(chǎn)使用分析
對訪問數(shù)據(jù)庫及敏感數(shù)據(jù)的數(shù)據(jù)庫用戶���、應(yīng)用信息�����、主機(jī)信息�����、客戶端IP地址等訪問源進(jìn)行統(tǒng)計分析�,并根據(jù)分析結(jié)果繪制數(shù)據(jù)庫的日常訪問拓?fù)鋱D�����;對數(shù)據(jù)庫及敏感數(shù)據(jù)使用情況進(jìn)行持續(xù)監(jiān)控,協(xié)助用戶動態(tài)梳理自身敏感數(shù)據(jù)被哪些人�、哪些業(yè)務(wù)系統(tǒng),通過何種途徑����、在什么時間所訪問,匯總動態(tài)梳理結(jié)果并形成敏感數(shù)據(jù)流向圖���;對訪問數(shù)據(jù)庫�����、訪問敏感數(shù)據(jù)的操作類型��,如:SELECT、DML�����、DCL��、DDL等進(jìn)行統(tǒng)計分析�����;對訪問數(shù)據(jù)庫、訪問敏感數(shù)據(jù)的日常訪問流量和頻次進(jìn)行統(tǒng)計分析并繪制熱度分析統(tǒng)計圖��;針對各業(yè)務(wù)系統(tǒng)中被訪問頻次低或無任何訪問的數(shù)據(jù)庫����、對象(表、視圖��、存儲過程�����、函數(shù))等資產(chǎn)按周期進(jìn)行統(tǒng)計�。
(4)數(shù)據(jù)分類分級
自動發(fā)現(xiàn)系統(tǒng)資產(chǎn)中的各類型數(shù)據(jù),自動厘清各數(shù)據(jù)之間的關(guān)系�;依據(jù)煙草行業(yè)業(yè)務(wù)特點(diǎn)對產(chǎn)生、采集���、加工�、使用的數(shù)據(jù)進(jìn)行分類管理����;以數(shù)據(jù)分類為基礎(chǔ),采用規(guī)范����、明確的方法區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異進(jìn)行分級管理���;幫助用戶制定數(shù)據(jù)分類分級辦法,為煙草行業(yè)提供數(shù)據(jù)分類分級防護(hù)安全指導(dǎo)思路����,并在全行業(yè)進(jìn)行復(fù)制、推廣�。
應(yīng)用效果
通過上述方案的實施,顯著加強(qiáng)了A市煙草專賣局的運(yùn)維安全管理能力�����,實現(xiàn)了其對自身數(shù)據(jù)資產(chǎn)的準(zhǔn)確發(fā)現(xiàn)和記錄�����,進(jìn)一步明確了敏感數(shù)據(jù)的位置分布與分類分級����,具體應(yīng)用效果如下:
1��、滿足了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及等保2.0中對數(shù)據(jù)安全的相關(guān)要求�;
2���、規(guī)范了運(yùn)維人員的操作流程,確保每一次運(yùn)維操作都有記錄留存��,確保每一次越權(quán)操作都有對應(yīng)的審批記錄留存����;3、動靜結(jié)合�,幫助客戶對自身全部數(shù)據(jù)資產(chǎn)進(jìn)行準(zhǔn)確定位并登記造冊;4�����、幫助客戶從多個復(fù)雜的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中準(zhǔn)確定位敏感數(shù)據(jù)的存儲情況與位置分布�����;5���、協(xié)助客戶完成煙草行業(yè)數(shù)據(jù)分類分級標(biāo)準(zhǔn)�,并制定了對應(yīng)的分類分級規(guī)則�。通過分類分級,可有針對性地采取適當(dāng)����、合理的管理與安全防護(hù)措施�,形成一套科學(xué)��、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制�����。
產(chǎn)品咨詢:4000 258 365 
