資料庫應用之(能源)
電力是國民經濟的基礎產業,是國民經濟發展和人民生活極其重要的基礎設施之一。近些年來,電力的資訊化建設取得了非常顯著的成就,資訊化建設已經有了一定的規模,電力行業的資訊系統龐大複雜,IT系統治理難度大。
隨著智慧電網建設的不斷向前發展,同時國家電網集團公司對資訊保安的指導要求逐步在加強。2004年,國家電力監管委員會發布第5 號令《電力二次系統安全防護規定》;2005年,電力二次系統安全防護專家組和工作組提出《電力二次系統安全防護總體方案》;2008年,國家電網資訊化工作部印發316號檔案《國家電網公司資訊化“SG186”工程安全防護總體方案(試行)》通知,等。這些檔案均大篇幅地涵蓋了電力系統對IT系統治理方面的緊迫要求。資料庫安全面臨內部惡意操作以及外部惡意入侵兩大夾擊。如何有效保護資料庫資訊成為當前資訊保安界最為關注的課題。
根據《企業內部控制規範–基本規範的內部審計機制》以及《計算機資訊系統安全等級保護資料庫管理技術要求》,資料庫審計是必不可少的一項。
因此網路中部署專業的資料庫安全審計系統,可有效監控資料庫訪問行為,準確掌握資料庫系統的安全狀態,及時發現違反資料庫安全策略的事件並實時告警、記錄,同時進行安全事件定位分析,事後追查取證,保障單位資料庫安全。依據國網SG186工程的相關要求及等級保護建設的工作意見,應儘快在國網各級公司建立資料庫的安全審計體系,協助相關人員對資料操作行為的有效追溯及審計。
由於國內電力行業具有特殊的行業特點,整個電力系統企業分支眾多,很多電網公司、電廠分佈全國各地,相當數量的電廠、變電站等分支分佈在邊遠地區。如何將電力電網公司總部、分支機構的業務網進行安全的組網連線,如何讓電力公司各機構間高效的進行業務溝通,這成為了電力電網公司資訊管理部門必須解決的首要問題。
目前,大部分電力電網公司,總部、省市之間通過專線進行組網。但由於專線中傳輸的重要業務資料多為明文資料,另外有些偏遠的機構無法通過專線接入,現在越來越多的電力公司開始通過IPSec VPN在網際網路上建立安全隧道來實現業務資料的加密傳輸。
客戶物件:主要客戶物件包括國家電網和南方電網的各地電力公司、五大發電集團和各地電力設計院。
產品效能要求:由於電力公司的內部業務系統、線上作業系統需要進行實時的資料傳輸,要求較高的接入速度。因此,總部和分支通過IPSec VPN進行互聯時,要求較高的VPN加密吞吐效能。
對產品功能應用要求:各地電力公司、發電廠通過IPSec VPN功能建立加密隧道連線到總部中心,進行系統訪問和資料上傳;針對不同級別生產區域的訪問控制通過防火牆的安全策略來實現;出差員工通過VPN客戶端安全接入公司業務系統,實現移動辦公需要;
網路中的裝置需要通過安全管理平臺實現集中管理,防火牆要滿足集中管理平臺的需要,實現日誌傳輸、遠端管理等。
通過對某省電力的電力交易系統、資料中心、綜合應用的全資料庫型別進行綜合審計,能夠對電力交易過程中的相關業務資料進行監控,對資料中心的核心業務的保護以及實現綜合應用中資料庫操作的有效監管。採用埠映象將電力交易系統、資料中心、綜合應用系統等各資料庫伺服器的業務流量分別連線到資料庫審計與風險控制系統三個埠,在系統設定相應的審計物件及審計規則。
實現了針對所有帳戶對資料庫訪問與操作的全面監測審計。提供包括對系統管理員的賬戶在內的所有帳戶登入、訪問和各種操作,可以審計來自直接進入資料庫系統的,也可以審計通過中介軟體進入資料庫系統的,通過關聯可以清晰地知道何時、何地、何人進入資料庫系統在做什麼,是授權的,還是非授權的,訪問和操作是否合規或違規。
加強了對資料庫臨時帳戶的審計監測審計。資料庫系統的維護人員有時需要在資料庫中建立一些臨時的賬戶,用於資料庫的日常維護,然而這樣的賬戶如果被非系統維護人員惡意利用,由於使用時間較短,系統管理員很難發現數據資源被竊取或是被惡意修改。該系統具有針對此類安全風險的審計功能,可以把臨時帳戶對資料庫的訪問和操作全部記錄在案,保證了審計記錄的完整性。
加強了針對重要敏感資料的訪問的審計監測。資料庫系統中的資料具有商業性、技術性、保密性特點,如果這些資料被洩露或篡改,會給電力公司帶來各種嚴重的後果。該系統嚴密的監測審計功能,可以幫助資訊中心的系統管理人員嚴密地監測和掌控所有對核心業務資料庫系統中重要敏感資料的訪問和操作,及時發現違規操作和追根查源。
提供了詳細的資料庫審計記錄及分類統計。該系統能夠對所有審計資訊進行記錄、分類統計。根據使用者需要,提供內容豐富、詳細的審計統計報表,清晰地掌握資料庫系統安全執行和合規使用情況。
實現了資料庫異常操作監測報警。該系統實現了資料庫異常操作監測報警功能。根據事先制定的監測報警策略,對各類操作進行實時監測。當發現違反策略的操作時,立即產生報警資訊,警示管理部門儘快查明原因,降低風險係數。
彌補了資料庫系統內建日誌審計的缺陷。資料庫系統內建的日誌審計功能單一,日誌記錄可以被人為修改、刪除,該系統是一個完全獨立於資料庫系統的“黑盒子”,審計記錄自保護性強,彌補了資料庫內建日誌審計的缺陷。
通過部署核心業務系統的資料庫安全審計,能夠及時發現業務操作過程中存在安全隱患的資料庫操作行為,及時通知相關的責任人員,對安全事件的發生可通過遠端操作回放等功能實現追溯並定位。通過三層審計實現應用與資料庫的有效關聯,追蹤到終端使用者端。因此,我們認為資料庫安全審計系統能夠實現電力核心業務系統的資料操作監控,有效地規避違規操作的發生。