欧美乱码精品一区二区三区,风流少妇又紧又爽又丰满,被债主在夫面前人妻被强,国产精品视频永久免费观看

電力行業(yè)數(shù)據(jù)庫安全面臨的挑戰(zhàn)

近些年電力企業(yè)已經(jīng)在持續(xù)加強(qiáng)信息安全建設(shè)，但是由于其網(wǎng)絡(luò)復(fù)雜、業(yè)務(wù)特殊、系統(tǒng)繁多等特性，依然存在安全挑戰(zhàn)，其中數(shù)據(jù)安全防護(hù)也存在一定的不足。

據(jù)國內(nèi)風(fēng)險評價機(jī)構(gòu)“安全值”對電力行業(yè)中91家機(jī)構(gòu)的數(shù)據(jù)庫情況進(jìn)行統(tǒng)計，發(fā)現(xiàn)超過兩成比例的數(shù)據(jù)庫直接暴露在互聯(lián)網(wǎng)中。暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)庫主要是mysql，并且大多使用的版本相當(dāng)陳舊，mysql數(shù)據(jù)庫最新版本中修復(fù)了大量已知安全漏洞。如果依舊采用老舊版本mysql，會缺乏足夠的安全保護(hù)。舊版本不僅會造成數(shù)據(jù)的泄露，甚至?xí)蔀楹诳腿肭謨?nèi)網(wǎng)的跳板。

敏感數(shù)據(jù)共享的威脅

隨著電力企業(yè)信息化推進(jìn)，電力行業(yè)內(nèi)部不同部門甚至是跨組織，跨區(qū)域間的電力數(shù)據(jù)共享場景越來越普遍。共享場景中的數(shù)據(jù)安全需要做到“用”、“護(hù)”結(jié)合，其中的涉及的關(guān)鍵技術(shù)就是數(shù)據(jù)脫敏技術(shù)。

雖然現(xiàn)在電力行業(yè)內(nèi)部在數(shù)據(jù)共享場景下，大多已經(jīng)采用了脫敏處理，但是其中還有一部分使用腳本或者手工脫敏技術(shù)，存在一定的問題，例如：脫敏后數(shù)據(jù)質(zhì)量較差、數(shù)據(jù)的關(guān)聯(lián)關(guān)系容易被破壞、脫敏規(guī)則的不統(tǒng)一和脫敏效率低下等。

紙質(zhì)審批流程和監(jiān)管問題

電力單位的網(wǎng)絡(luò)復(fù)雜、業(yè)務(wù)特殊、數(shù)據(jù)庫眾多，在電網(wǎng)的運維專區(qū)中，通常是使用堡壘機(jī)來對運維人員進(jìn)行管理，這種管理方式也會給數(shù)據(jù)安全造成一定的問題：運維人員不按操作規(guī)范或既定方案進(jìn)行數(shù)據(jù)庫運維操作、非法導(dǎo)出敏感數(shù)據(jù)、數(shù)據(jù)庫操作行為沒有細(xì)粒度的審計記錄等。

小結(jié)

綜合上面的問題，電力行業(yè)面臨的數(shù)據(jù)庫安全威脅主要有以下三點：

1）電網(wǎng)客戶隱私信息大量外泄，不法之徒利用隱私數(shù)據(jù)犯罪。

2）內(nèi)部人員批量查詢造成敏感信息泄露。

3）內(nèi)部人員違規(guī)操作、高危操作造成營銷數(shù)據(jù)篡改導(dǎo)致經(jīng)濟(jì)損失。

電力行業(yè)數(shù)據(jù)庫安全應(yīng)用方案

采用數(shù)據(jù)庫脫敏、數(shù)據(jù)水印技術(shù)，讓敏感隱私數(shù)據(jù)安全使用

數(shù)據(jù)共享場景下，電網(wǎng)企業(yè)需要對敏感數(shù)據(jù)進(jìn)行梳理，依照數(shù)據(jù)分級分類的原則，針對數(shù)據(jù)敏感程度不同進(jìn)行分級分類，并清晰明確數(shù)據(jù)的導(dǎo)出風(fēng)險原則。然后根據(jù)敏感級別的不同實施相應(yīng)的技術(shù)和管理措施，并制定數(shù)據(jù)庫共享和分發(fā)的處理流程。

其次在執(zhí)行數(shù)據(jù)共享的操作過程中，應(yīng)遵循業(yè)務(wù)角色最小化原則,導(dǎo)出的數(shù)據(jù)必須經(jīng)過數(shù)據(jù)脫敏。

對于敏感數(shù)據(jù)對外分發(fā)環(huán)節(jié)，應(yīng)通過數(shù)據(jù)水印技術(shù)在數(shù)據(jù)外發(fā)時植入水印，一旦對外分發(fā)數(shù)據(jù)發(fā)生了泄露，相關(guān)部門可以通過泄露樣本進(jìn)行泄密溯源。

采用數(shù)據(jù)庫管控平臺，規(guī)范運維操作 

針對電網(wǎng)企業(yè)運維專區(qū)存在的問題，首先，電網(wǎng)企業(yè)應(yīng)確保不影響正常運維開展的前提下，建立數(shù)據(jù)庫運維的操作審批機(jī)制和技術(shù)措施。

其次，對運維內(nèi)容進(jìn)行調(diào)研，將敏感表、敏感數(shù)據(jù)的操作進(jìn)行增強(qiáng)級管控。通過數(shù)據(jù)庫安全運維系統(tǒng)對所有涉及敏感數(shù)據(jù)的操作進(jìn)行限制，做到只有當(dāng)審批人審批通過后才可執(zhí)行操作。這樣一來，一方面加強(qiáng)了數(shù)據(jù)庫運維的監(jiān)管力度，及時扼制惡意、越權(quán)操作行為發(fā)生。另一方面將實際的運維內(nèi)容與計劃的內(nèi)容進(jìn)行統(tǒng)一，避免了出現(xiàn)與工作內(nèi)容上不一致的操作行為發(fā)生。

采用數(shù)據(jù)庫審計，解決安全取證難的問題 

1）建立數(shù)據(jù)庫的審計機(jī)制

電網(wǎng)企業(yè)應(yīng)建立數(shù)據(jù)庫操作行為審計體系，通過使用數(shù)據(jù)庫審計技術(shù)對數(shù)據(jù)庫的訪問和操作行為進(jìn)行細(xì)粒度審計分析，監(jiān)控非法訪問、數(shù)據(jù)庫違規(guī)操作、數(shù)據(jù)批量導(dǎo)出、批量數(shù)據(jù)篡改等行為。

 2）建立相應(yīng)的稽核制度

電網(wǎng)企業(yè)的信息技術(shù)部應(yīng)負(fù)責(zé)對數(shù)據(jù)導(dǎo)出管理工作進(jìn)行審計，確保數(shù)據(jù)導(dǎo)出的全過程得到記錄和歸檔，從而做到事后審計，針對審計發(fā)現(xiàn)的問題，提出整改意見。

當(dāng)發(fā)生個人信息泄露操作，可以追究責(zé)任，逐級進(jìn)行責(zé)任倒查，追究當(dāng)事人、運維的機(jī)構(gòu)負(fù)責(zé)人、單位主管領(lǐng)導(dǎo)直至主要負(fù)責(zé)人的責(zé)任。

注意事項

電網(wǎng)企業(yè)在實施數(shù)據(jù)庫安全的建設(shè)前，首先，應(yīng)建立相關(guān)的數(shù)據(jù)庫安全制度和規(guī)范操作指南。對于敏感數(shù)據(jù)的使用和共享環(huán)節(jié)要進(jìn)行敏感數(shù)據(jù)的梳理并形成數(shù)據(jù)分級、分類標(biāo)準(zhǔn)和相關(guān)管理制度和處置流程。

其次，建立數(shù)據(jù)庫的審計機(jī)制，對數(shù)據(jù)庫各環(huán)節(jié)操作進(jìn)行稽核。

數(shù)據(jù)庫安全應(yīng)用感言

 “通過使用安華金和數(shù)據(jù)庫審計與監(jiān)控系統(tǒng)，幫助我司解決了四方面難題：

一、通過數(shù)據(jù)庫審計與監(jiān)控系統(tǒng)對數(shù)據(jù)庫層面的攻擊行為實現(xiàn)了精準(zhǔn)的識別，尤其是SQL注入方面，通過SQL語法語義分析技術(shù)，幫助我司發(fā)現(xiàn)了很多高級SQL注入攻擊。

二、對于數(shù)據(jù)庫違規(guī)操作行為實現(xiàn)了有效監(jiān)控，結(jié)合我司制定的《數(shù)據(jù)庫運維操作規(guī)范》，通過業(yè)務(wù)和數(shù)據(jù)庫審計系統(tǒng)識別違規(guī)操作行為，從而定期對違規(guī)運維人員進(jìn)行通報整改。

三、及時發(fā)現(xiàn)數(shù)據(jù)庫中執(zhí)行效率低下的語句以及執(zhí)行失敗的語句，從而在一定程度上對數(shù)據(jù)庫語句實現(xiàn)了優(yōu)化，促進(jìn)了數(shù)據(jù)庫高效運行。

四、對核心信息系統(tǒng)實現(xiàn)了增強(qiáng)級的監(jiān)控，對于核心系統(tǒng)核心庫進(jìn)行了系統(tǒng)表操作監(jiān)控，漏洞攻擊監(jiān)控、賬戶權(quán)限變更監(jiān)控、數(shù)據(jù)異動監(jiān)控，并通過SYSLOG與信息安全告警平臺進(jìn)行對接，實現(xiàn)風(fēng)險自動告警?！?/p>

――國家電網(wǎng)某省信通公司安全專家