行業(yè)需求與挑戰(zhàn)

電力行業(yè)根據(jù)電網(wǎng)正常運(yùn)轉(zhuǎn)的要求，劃分為不同級別的信息系統(tǒng)，按“分區(qū)隔離、網(wǎng)絡(luò)專用”的要求，分為四個(gè)大區(qū)，四個(gè)大區(qū)之間實(shí)現(xiàn)隔離。采用這種機(jī)制的主要目的是保障系統(tǒng)的可靠性和穩(wěn)定性，防止低級別的，對系統(tǒng)有攻擊性、危害性的代碼和程序流入更高安全級別的系統(tǒng)。

管理信息大區(qū)與互聯(lián)網(wǎng)采用單向隔離裝置和數(shù)據(jù)庫隔離裝置實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；將所有的數(shù)據(jù)庫布置在內(nèi)網(wǎng)中，所有需要提供互聯(lián)網(wǎng)訪問的Web應(yīng)用系統(tǒng)放在外網(wǎng)，通過數(shù)據(jù)庫隔離裝置保障只有數(shù)據(jù)庫通訊協(xié)議能夠通過隔離裝置訪問到內(nèi)網(wǎng)的數(shù)據(jù)庫；隔離裝置通過對數(shù)據(jù)庫協(xié)議的解析和控制，實(shí)現(xiàn)外部系統(tǒng)對數(shù)據(jù)庫的攻擊行為的防護(hù)。

電力系統(tǒng)的核心生產(chǎn)系統(tǒng)和控制系統(tǒng)基本屬于等保2級系統(tǒng)，EMS系統(tǒng)和SCADA系統(tǒng)達(dá)到4級，部分經(jīng)營管理系統(tǒng)達(dá)到3級，其余系統(tǒng)均在2級以上。

現(xiàn)有的電力系統(tǒng)二次安全防護(hù)方案很好地隔離了外網(wǎng)、管理信息大區(qū)、生產(chǎn)控制大區(qū)之間的非法訪問。但在管理信息大區(qū)中，積累了大量的電力敏感數(shù)據(jù)，例如財(cái)務(wù)數(shù)據(jù)、營銷數(shù)據(jù)、人資數(shù)據(jù)、市場信息、生產(chǎn)管理信息等，這些來自于不同的應(yīng)用系統(tǒng)的數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)庫中。內(nèi)部人員、第三方運(yùn)維人員、Oracle數(shù)據(jù)庫系統(tǒng)的DBA、新模塊的程序開發(fā)人員對數(shù)據(jù)庫中的數(shù)據(jù)都需要頻繁地訪問，諸多的人群和過高的權(quán)限造成電力敏感數(shù)據(jù)集中泄露的風(fēng)險(xiǎn)，經(jīng)營方面的數(shù)據(jù)也有被異常篡改的風(fēng)險(xiǎn)。

解決方案概述及要點(diǎn)描述

本方案要點(diǎn)是以等保要求的數(shù)據(jù)庫安全防護(hù)思路：電力中的敏感數(shù)據(jù)主要存儲(chǔ)在數(shù)據(jù)庫中，對于數(shù)據(jù)庫的安全防護(hù)措施屬于當(dāng)前安全體系的薄弱環(huán)節(jié)，對應(yīng)等保安全要求的數(shù)據(jù)庫防護(hù)思路如下表：

?

?

數(shù)據(jù)庫安全整體規(guī)劃要點(diǎn)是：對電力行業(yè)敏感信息泄露安全威脅的分析，對數(shù)據(jù)庫安全進(jìn)行整體設(shè)計(jì)與規(guī)劃，通過全系列數(shù)據(jù)庫安全產(chǎn)品相互之間分工協(xié)作，共同形成整體的防護(hù)體系，覆蓋了數(shù)據(jù)庫安全防護(hù)的事前診斷、事中控制和事后分析。

方案價(jià)值呈現(xiàn)

• 通過數(shù)據(jù)庫漏掃定期進(jìn)行數(shù)據(jù)庫安全檢查，防患于未然，對數(shù)據(jù)庫安全風(fēng)險(xiǎn)進(jìn)行綜合評估，對管理域中數(shù)據(jù)庫的安全現(xiàn)狀進(jìn)行全面檢測。安全漏洞 項(xiàng)包括：弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補(bǔ)丁升級等，評估是否存在安全漏洞并提供修復(fù)建議，為系統(tǒng)的安全配置提升 提供有效的參考。
• 電力行業(yè)用于互聯(lián)網(wǎng)安全防護(hù)的邏輯強(qiáng)隔離裝置和數(shù)據(jù)庫隔離裝置在Oracle數(shù)據(jù)庫的OCI連接訪問語句識(shí)別方面有欠缺，數(shù)據(jù)庫防火墻- 從訪問源頭來保護(hù)數(shù)據(jù)，監(jiān)測數(shù)據(jù)庫的訪問，防止未授權(quán)的訪問、SQL Injection、權(quán)限或角色的非法提升以及對敏感數(shù)據(jù)的非法訪問。
• 等保三級以上的核心系統(tǒng)可以通過在數(shù)據(jù)庫中加密存儲(chǔ)敏感信息防止被解析為明文，通過獨(dú)立于數(shù)據(jù)庫的權(quán)控體系和引入安全管理員、審計(jì)管理員實(shí)現(xiàn)三權(quán)分立的安全管理手段，防止DBA、第三方外包人員和程序開發(fā)人員越權(quán)訪問敏感信息。
• 電力行業(yè)很多和業(yè)務(wù)相關(guān)的操作如營銷和計(jì)量數(shù)據(jù)的修改、批量客戶信息和人資及生產(chǎn)數(shù)據(jù)的查詢，這些操作都需要關(guān)聯(lián)到具體業(yè)務(wù)人員進(jìn)行數(shù)據(jù)庫操作審計(jì)，以便在出現(xiàn)安全事件的時(shí)候可以有效的追責(zé)定責(zé)。

方案優(yōu)勢

保護(hù)國家安全電力行業(yè)安全，符合等級保護(hù)的安全要求

電力行業(yè)目前按照電監(jiān)會(huì)的《電力二次系統(tǒng)安全防護(hù)總體方案》落實(shí)了對生產(chǎn)控制大區(qū)和管理信息大區(qū)的邊界防護(hù)，通過隔離裝置后部署數(shù)據(jù)庫防火墻，很好地實(shí)現(xiàn)了互聯(lián)網(wǎng)和管理信息大區(qū)之間的安全隔離。

實(shí)現(xiàn)電力行業(yè)信息系統(tǒng)數(shù)據(jù)庫運(yùn)維側(cè)安全

管理信息大區(qū)里集中存儲(chǔ)著各應(yīng)用的大量數(shù)據(jù)庫信息，同時(shí)電力系統(tǒng)處于邊建設(shè)且邊使用的階段，第三方程序開發(fā)人員、運(yùn)維人員、擁有DBA權(quán)限的用戶具有對這些數(shù)據(jù)的全部訪問權(quán)限，而安全管理員并不清楚他們對數(shù)據(jù)庫的訪問操作，這樣就對數(shù)據(jù)庫中敏感數(shù)據(jù)泄露和篡改帶來風(fēng)險(xiǎn)。

突破傳統(tǒng)產(chǎn)品限制，數(shù)據(jù)庫安全防護(hù)技術(shù)領(lǐng)先

本方案基于安華金和的數(shù)據(jù)庫安全系列產(chǎn)品提出了數(shù)據(jù)庫全方位防護(hù)、主動(dòng)防御的安全加固方案，采用的數(shù)據(jù)庫安全技術(shù)將突破傳統(tǒng)安全產(chǎn)品的缺陷，實(shí)現(xiàn)數(shù)據(jù)的全面安全防護(hù)，從根源上徹底解決了敏感信息的防控問題。