网站首页 > 数据库> 文章内容

安华金和电力系统数据库安全解决方案

※发布时间:2016-5-15 13:03:05   ※发布作者:habao   ※出自何处: 

  电力行业按电监会二次系统安全防护总体方案实现了“安全分区、网络专用、横向隔离、纵向认证”,有效地了确保电力实时闭环系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避免受到Internet的。

  但在整体的安全方案中,对于电力系统信息的防泄露,电力业务数据的防工作始终没有作为工作重点;在管理信息管理信息大区在数据库集中存储各应用的大量信息和与电力用户利益密切相关的经营数据,在管理大区中存在着大量的人员和外包工作人员,这样对电力经营数据的泄露和篡成极大风险,间接对电力生产系统的安全运转造成。

  等级对数据库安全建设的总体目标,一是要核心数据库自身的安全性,确保数据库不会受到造成业务系统的瘫痪;二是在数据库使用过程中及时发现安全问题,防患于未然,按修复进行安全加固;三是要求数据的保密性和完整性,对核心数据库中的数据进行有效的安全防护,确保关键数据不泄密,不被违规。

  本方案通过对电力行业信息泄露安全的分析,对数据库安全进行整体设计与规划,通过全系列数据库安全产品相互之间分工协作,共同形成整体的防护体系,覆盖了数据库安全防护的事前诊断、事中控制和事后分析。

  一. 现有的电力安全体系架构

  ▲电力系统二次防护总体示意图

  现有的电力安全防护体系主要包括三个方面:

  A、 分区隔离、网络专用

  根据对电网运转正常性的要求,将电网划分为不同级别的系统,分成四个大区,四个大区之间实现隔离。采用这种机制的主要目的是保障系统的可靠性和稳定性,防止低级别的,对系统有性、危害性的代码和程序流入更高安全级别的系统。

  B、内外网隔离

  管理信息大区与互联网采用单向隔离装置和数据库隔离装置实现内外网隔离;将所有的数据库布置在内网中,所有需要提供互联网访问的Web应用系统放在外网,通过数据库隔离装置保障只有数据库通讯协议能够通过隔离装置访问到内网的数据库;隔离装置通过对数据库协议的解析和控制,实现外部系统对数据库的行为的防护。

  C、实现等级安全

  电力系统的核心生产系统和控制系统基本属于等保2级系统,EMS系统和SCADA系统达到4级,部分经营管理系统达到3级,其余系统均在2级以上。

  二. 现有系统存在严重的信息泄漏和风险

  现有的电力系统二次安全防护方案很好地隔离了外网、管理信息大区、生产控制大区之间的非法访问。但在管理信息大区中,积累了大量的电力数据,例如财务数据、营销数据、人资数据、市场信息、生产管理信息等,这些来自于不同的应用系统的数据集中存储在数据库中。内部人员、第三方运维人员、Oracle数据库系统的DBA、新模块的程序开发人员对数据库中的数据都需要频繁地访问,诸多的人群和过高的权限造成电力数据集中泄露的风险,经营方面的数据也有被异常的风险。

  三. 符合等保要求的数据库安全防护思

  电力中的数据主要存储在数据库中,对于数据库的安全防护措施属于当前安全体系的薄弱环节,对应等保安全要求的数据库防护思如下表:

  ▲数据库安全防护思

  四. 数据库安全整体规划

  本方案通过对电力行业信息泄露安全的分析,对数据库安全进行整体设计与规划,通过全系列数据库安全产品相互之间分工协作,共同形成整体的防护体系,覆盖了数据库安全防护的事前诊断、事中控制和事后分析。

  ▲数据库安全防护

  ·事前诊断:通过数据库漏扫产品,有效检测数据库已知漏洞,并有效修复。

  电力行业主要的数据库类型是Oracle,在重要的应用系统也采用了国产数据库达梦和金仓。在某些网省公司存在大量软件开发和运维人员留下的数据库账户,由于数据库内的口令是加密存储,这些账户是否存在弱口也令无从得知,尤其是国产数据库弱口令扫描目前仅有安华金和的数据库漏扫能支持。本方案规划使用能支持国产数据库安全检测的数据库漏洞扫描系统,对当前系统中重要数据库进行全面的安全漏洞检测,有效当前数据库系统的安全问题,同时提出漏洞修复的,从而提升数据库系统整体的安全性。

  通过数据库漏扫定期进行数据库安全检查,防患于未然,对数据库安全风险进行综合评估,对管理域中数据库的安全现状进行全面检测。安全漏洞项包括:弱口令、缺省口令、弱安全策略、权限宽泛、数据发现、权限提升漏洞、补丁升级等,评估是否存在安全漏洞并提供修复,为系统的安全配置提升提供有效的参考。

  ·事中控制:通过数据库防火墙和数据库加密解决。

  目前电力行业已有一些系统如ERP是要通过互联网为的,数据库如果放在内网,会影响数据库的正常访问。但是放在外网,就有黑客以应用服务器为跳板,进行对数据库服务器的风险。电力行业用于互联网安全防护的逻辑强隔离装置和数据库隔离装置在Oracle数据库的OCI连接访问语句识别方面有欠缺,虽然电力行业有要求各应用系统的数据库访问转为E语言后再通过隔离装置,但是复杂的应用系统很难实现把数据库访问实现E语言的转换,同时关系型数据库的事务机制(ACID)是无法通过E语言实现的。

  数据库防火墙-从访问源头来数据,监测数据库的访问,防止未授权的访问、SQL Injection、权限或角色的非法提升以及对数据的非法访问。高度精准的基于SQL语法的分析,避免误判;基于黑、白名单的灵活的SQL级策略设置;支持Bypass和Proxy及混合部署模式,支持高可用,最大限度的适应企业需求;虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问。

  等保以上的核心系统可以通过在数据库中加密存储信息防止被解析为,通过于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段,防止DBA、第三方外包人员和程序开发人员越权访问信息,结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题。

  ·事后分析:通过数据库审计技术解决。

  电力行业很多和业务相关的操作如营销和计量数据的修改、批量客户信息和人资及生产数据的查询,这些操作都需要关联到具体业务人员进行数据库操作审计,以便在出现安全事件的时候可以有效的追责定责。

  数据库审计通过在核心由设备上设置端口镜像或采用分流,使安全审计能够到所有用户通过由设备与数据库进行通讯的操作,并把数据库操作进行协议还原和分析,细致的数据库操作审计和用户审计,并有丰富的查询检索和报表功能,简单、具备专业审计功能,节约人力,减少费用。

  五. 总结

  电力行业目前按照电监会的《电力二次系统安全防护总体方案》落实了对生产控制大区和管理信息大区的边界防护,通过隔离装置,很好地实现了电力诸多应用系统的安全分区,控制大区、管理大区、互联网之间的安全隔离。但是,管理信息大区里集中存储着各应用的大量数据库信息,同时电力系统处于边建设且边使用的阶段,第三方程序开发人员、运维人员、拥有DBA权限的用户具有对这些数据的全部访问权限,而安全管理员并不清楚他们对数据库的访问操作,这样就对数据库中数据泄露和带来风险。本方案基于安华金和的数据库安全系列产品提出了数据库全方位防护、主动防御的安全加固方案,本方案中采用的数据库安全技术将突破传统安全产品的缺陷,实现数据的全面安全防护,从根源上彻底解决了信息的防控问题。

  17岁少女有男性特征 盘点全世界罕见双性人

  全球罕见白色座头鲸现身

  嫦娥三号搭载的月球车征名 11月公布命名

  英少年驯兽师亲昵为狮子做按摩

  行摄:加少女头手挨地单腿跨马玩马术

  手机刷卡器的行业悲剧是怎样诞生的?

  十一月份的正是浓妆艳抹的时节,虽然天意渐凉,但放眼望去也都是层峦尽染浓妆艳抹的艳丽风光。这个世界正是带上相机踏出去“采风”的好时节,我趁着“APEC蓝”的通透空气带上我新入手的佳能PowerShot G7 X相机去园博园转转。……

  哈苏作为世界著名的中画幅相机厂家,其产品以出色的光学性能和高昂的价格始终是让大部分摄影师望其心叹。而在近期有传闻称哈苏将关闭其在意大利特雷维索设立新的产品设计中心,或许哈苏更期望能够进一步降低成本吧。……

  全画幅数码单反一直以出色的性能和昂贵的价格“高高在上”,不过随着生产工艺的不断升级以及市场需求的不断变化,以往十分“高贵”的全画幅数码单反相机也随之出现了万元级别的全画幅数码单反产品,作为万元级别的全画幅数码单反相机一直倍受到广大消费者的青睐,无论是其拍摄的性能还是万元上下的价格都无疑让更多的摄影师实现全画幅的梦想。而佳能EOS 6D以及尼康D610一直是大家关注的焦点,今天小编我就为大家带来这两款入门全画幅数码单反对比评测。……

  画幅顾名思义就是指成像单元的尺寸。在时代就是指底片的尺寸,而在数码时代就是指感光元件的面积。时代的画幅分别有:135画幅、中画幅、大画幅这三大类画幅尺寸,当然中画幅以上的画幅尺寸也都有着更加细致的划分,但整体就是这几大类。在135mm相机系统中标准的画幅尺寸是24mm36mm,这也就是传统135mm胶卷的尺寸。而在数码时代划分的更加细致,尤其是135画幅以内的画幅尺寸被细分为:全画幅、APS-H、APS-C、1英寸、4/3英寸、1/1.8英寸以及更小的画幅尺寸。……数码酷玩

  2014年无疑是4K电视的里程碑,在今年,4K电视成为电器城里最耀眼的明星产品,消费者选购电视的首选,也是众多家电厂商们争抢的对象。在CES 2014上,三星、LG便将4K超高清电视作为主打产品,相信在CES 2015上,4K电视会有更出色的表现……

推荐:

相关阅读
重庆学习网zslpsh,0755深圳房产人才招聘网,拾年网90后,anedc股票,最新电影下载淘娱淘乐,重庆中学生网高考,重庆中学生网高考,学习重庆方言网,重庆中学生学习方法,重庆俗语网,中学生网zslpsh,0755深圳交友网,重庆初中生,贵州重庆方言网,025新闻网,西南重庆方言歌曲,025南京交友网,重庆农家乐美女,观赏蟹种类zadull,云南重庆方言网,重庆中学学习网,028成都交友网,推广taoyutaol,西南四川方言网,观赏龟论坛zadull,四川重庆方言网,022天津交友网,重庆中学生网家长,鹦鹉鱼zadull,重庆俗语,电影淘娱淘乐,taoyutaole娱乐,华夏视讯网,0755深圳旅游招聘,昆明重庆方言网,淘娱淘乐影视,www.00game.net,观赏鱼zadul,重庆高考zslpsh,重庆中学生网高考,027房产招聘网,坝坝舞wagcw,西南重庆方言网,贵州重庆方言网,重庆言子儿网,热带鱼zadull,重庆高考zslpsh,0755深圳旅游招聘网,淘娱淘乐影视网,0571.361.cm,重庆方言学习网,028成都新闻,异形观赏鱼种类,影视网淘娱淘乐,最新电影下载淘娱淘乐,0773桂林论坛,拾年网80后动画片,观赏蟹论坛zadull,观赏龟繁殖教程,重庆一中zslpsh,重庆俗语网,广场舞wagcw,观赏虾的种类zadull,观赏鱼观赏虾观赏龟,西南方言网,观赏鱼之家论坛zadull,战争前线辅助00game,西南重庆方言小说,重庆中小学zslpsh,推广taoyutaol,战争前线论坛00game,0871交友网,025南京新闻网,重庆言子儿网站,娱乐taoyutaole,022天津交友网,025新闻网,重庆中学生网学习,022天津交友网,重庆方言歌网,www.120.cm健康网,anedc股票,重庆初中生