電網數據安全案例

• 2019 年 11 月 29 日
• 筆記

一、背景概述

1、需求分析

電網目前的系統現狀如下：

（1）主要分生產環境和測試環境（地市）兩個機房，兩個機房物理隔離，但目前存在某些跳板機制，從測試環境機房，可以拿到存在堡壘機的一些信息，達到獲取數據的目的，是一個不可忽視的安全隱患。

（2）數據庫目前將近300多套，以Oracle（其中大部分版本為11.0.2.0.4，小部分為12C）為主，有少量SQL Server，DB2，MySQL，還有4套達夢數據庫（其中兩套用於生產環境）。

（3）服務器大約有200台，其中以Linux、X86居多，重要的應用服務器AIX（小型機）為主，約50-60台，主要跑企業級的應用，如生產、營銷、人力資源、資產等6+1全省集中的業務系統。

二、總體設計 

針對電網的安全需求，為了保證電網信息系統的數據安全，中安威士構建數據安全防護平台，通過可視、可控、存儲安全的方式達到數據的安全防護。

1、數據可視化：無論是生產環境、測試環境，還是通過堡壘機訪問數據庫，都可以實時記錄數據庫的訪問情況及風險狀況，及時發現數據的異常活動狀況和風險，並進行告警；還能針對各種異常活動提供事後追查的機制。

2、數據可控化：對敏感數據進行脫敏處理，確保運維及開發、測試人員只能看到模糊化後的數據，防止真實數據的外泄及損壞。

3、數據存儲安全：針對存儲大量重要數據的數據庫，需要有選擇地將敏感內容進行加密存儲，防止數據庫系統在被入侵的情況下丟失數據，進一步增強訪問控制，防止內部人員特權的濫用和盜用。

基於數據可視化，可控化及數據安全存儲的需求，有針對性的對XX電網提供數據安全防護的解決方案，彌補現有的安全體系不足。通過敏感數據發現、性能審計、風險評估、粗細粒度審計、敏感內容加密及脫敏相互關聯，防護能力逐步提升，實現數據的可視化、存儲安全及可控化。

三、方案價值

通過上述的解決方案能夠有效解決該電網在生產域、測試域、堡壘機之間的實施和管理，提高數據庫的安全性、機密性、穩定性以及可用性。有效滿足了電網數據管理可視、可控及存儲安全的需求，給客戶帶來的如下價值：

1、簡化業務治理，提高數據安全管理能力。由於數據庫系統是一個複雜的「黑盒子」軟件系統，其可視化程度很低。數據庫管理員很難說清在某個時刻數據被訪問的情況，這對業務治理帶來了很大的困難。尤其在雲環境中，這種不可視化程度更加嚴重。我司數據安全防護解決方案通過多種手段全面監控數據的訪問情況，並提供豐富的預設統計報表，以圖形化的方式將數據的訪問情況和風險情況可視化，進而提供訪問控制能力，極大簡化了業務治理，提高了數據安全管理能力；

2、維護電網的公信力。確保電網不會發生信息的泄露和不良信息的傳遞，提升電網在社會上的影響力和聲譽。