一、概述
近年來,在煙草行業運營與生産管理活動中,信歌照息化工(gōng)具發揮着日益重要的作用,煙草企業逐步搭建起較為(wèi)完善錢跳的網絡架構與内部信息系統環境,并成為(wèi)提升自喝山身核心競争力的基礎。與此同時(shí),各類信息安全問題不(bù)斷突顯車什,對煙草行業數據的價值挖掘、利用及其安全防護至關重要。
二、治理需求
伴随國家(jiā)煙草專賣局(中國煙草總公司)先後發布《煙草行業等級保護基我樹本要求》、《煙草行業移動應用安全規範》、《煙草行業網絡安全基線管理技風兒術規範》、《煙草行業網絡與信息安全檢查自查指南》可紙、《煙草工(gōng)業企業生産網與管理網網絡互聯安全規範》、《河公煙草行業工(gōng)業控制系統網絡安全基線技術規範》等一系列行業指南、規範司風和要求,為(wèi)煙草企業有序開(kāi)展信息安全建設工(刀森gōng)作提供指引。此外,通(tōng)過對各地方局一火木年一度的全面信息安全檢查和專項信息安全檢查,将“以查習用促建、以查促管、以查促改、以查促防” 落到實處,持續提升煙我拿草行業整體信息化建設水平與數據安全防護能力。
在此背景下,A市煙草專賣局根據國家(jiā)要求制定《A市煙草專賣局(我東公司)數據管理辦法》,其中第十條規定:除數據庫管理員外和也,其他(tā)任何人不(bù)得(de)接觸數據庫;業慢不(bù)得(de)擅自向其他(tā)單位或個人提供任何數據,不(bù)有能得(de)擅自複制數據;需要對能接觸到數據呢和庫的管理及運維人員進行操作記錄及管控。然而,從A市煙草專務街賣局現有的網絡環境及配置來看,難以滿足《辦法》中提出的爸車相關要求。
三、痛點分析
1、運維人員管理混亂
A市煙草專賣局各業務系統由第三方公司負責日常運維服務,駐場人員與市局信息中心簽錯微訂保密協議後,可獲得(de)對各自負責系統“增删改查”等操作子下的數據庫最高權限。運維側堡壘機僅能實現身份校(亮數xiào)驗和審計錄像功能,無法對運維人員的違規或動服高危操作進行及時(shí)攔截,且存在多個運維人員共用一個堡壘機賬号等術中問題。
2、管理規定落實困難
A市煙草專賣局自身數據管理規定要求“運維人員每次對數據庫中數據進行制著修改都要獲得(de)并留存業務主管部門審批的紙質單城藍據”,但因運維人員擁有其數據庫的最高權限空歌,僅憑規定流程難以有效約束相關人員的實際行為(wèi)。如(rú)此一來,到電業務人員有可能違反數據管理規定,在未經申報審批的情況下私自聯子吃系系統運維人員,直接在數據庫中對業務系統數據進行修改司錢。
3、數據資(zī)産信息不(bù)全
A市煙草專賣局各業務系統多由第三方公司承建并負責後續運維服務,數據庫也影算由對應提供商分别運維,且在開(kāi)發測試及日常運維過程還存在其綠業他(tā)中間庫、測試庫。與此同時(shí),市局信息中心僅掌握各生産庫開車的相關信息,無法确定是否存在其他(tā)測試庫或未知的僵屍庫,從而刀看對日常數據安全管理工(gōng)作造成困難。
4、敏感數據分布不(bù)明
A市煙草專賣局各業務系統多由第三方公司承建并負責後哥的續運維服務,市局信息中心難以準确掌握各類數據的具體資說存儲字段位置,而各外包運維公司又不(bù)明确其答務中哪些屬于敏感數據,從而直接導緻前者無法針對敏感數據為火進行有效梳理、管控及安全防護。
5、敏感數據分類困難
煙草企業各業務系統中存在大(dà)量敏感信息,包括:職工(gōng)個人信息南朋、薪資(zī)信息、賬戶賬号信息、卷煙庫存及采銷信息、零售戶信息、往來單位信線道息等。國家(jiā)煙草專賣局要求各省、地市、媽紅縣煙草專賣局推進數據分類分級工(gōng)作,但相關的喝高執行标準和實施參考尚不(bù)全面。A市煙草專賣局十分關注數據資(zī森件)産梳理、敏感數據保護、數據流向監控、風險操報外作識别等工(gōng)作,但主要依托管理員自身經驗秒喝進行分析和判斷,導緻數據分類分級工(gōng器照)作難以精準、高效開(kāi)展。
四、建設思路
方案設計側重解決A市煙草專賣局的數據資(zī)産梳理、敏感數據分得地類分級和運維區安全管控相關需求,安華金(jīn)和結合市局現有信息系統部署的實器懂際情況,在運維區與數據庫服務器(qì)之間通(tōn冷化g)過代理方式部署數據庫運維安全系統(DOSS);同時(s習爸hí),在旁路部署數據庫安全評估(DSAS)系統,建設思花哥路如(rú)下:
1、加強運維人員管理,落實數據管理規定
依照《A市煙草專賣局(公司)數據管理辦法》相關要求制定運維人民物員行為(wèi)準則及數據修改審批流程。運維人員通(tōng)讀我過安華金(jīn)和數據庫運維安全系統(DO時爸SS)訪問、操作數據庫,涉及越權操作必須經過指定負責人審算木批後方可執行,從而有效避免出現高危操作或未經審批的越權操作行為(wèi知上)。
2、全面梳理數據資(zī)産,準确發現敏感數據
動靜結合——通(tōng)過“端口掃描+數據掃描算匠”探測、定位數據資(zī)産;通(tōng)過“動态流量+訪問協議解析村道”發現、識别數據庫及敏感數據;通(tōng)過“資(zī)謝機産标識+數據标簽”對數據資(zī)産進行有效管理得爸;通(tōng)過對數據庫、敏感對象、訪問源、訪問行為(wèi)等進行分析綠湖,對數據流向抽象繪圖;通(tōng)過動站答态流量信息,驗證訪問情況是否與靜态标識信息相符。
3、建立數據分級标準,輔助數據分類分級
根據自身業務特點,對産生、采集、加工(gōng)、使用的數據進行分類管理;同時高靜(shí),以數據分類為(wèi)基礎,采用規範、明确的方法,區分數據空朋的重要性和敏感度差異,以實現分對數據的級管理。
4、解決方案
1、數據庫運維安全系統(DOSS)
在交換機上部署DOSS,配置為(wèi)代理模式;配合用戶将運維區登錄方式修人短改為(wèi)代理模式;過渡期後,阻斷運維區直連數據庫的網畫你絡路徑,确保以代理方式進行訪問的唯一性。
(1)規則策略
提供語句操作規則,通(tōng)過配置訪問來源、操作來科對象、執行結果、條件限制、時(shí)間等元素,生成針對數據庫的操作規時煙則,從而定義合法操作和非法操作。
(2)操作審批
運維人員對數據庫的高危操作、重要操作和涉敏操作須經審批議得後才可執行,并在執行過程中持續管控其實際行為(wèi)與審批操那會作的一緻性。
(3)行為(wèi)審計
審計所有通(tōng)過DOSS操作數據庫的行為(w好女èi),同時(shí)對運維操作的申請及審批信息進行準确審計。
2、數據庫安全評估系統(DSAS)
在交換機上旁路部署安華金(jīn)和DSAS能能(含動态梳理);通(tōng)過“靜态端口掃描+動态流量分有好析”對數據庫資(zī)産及敏感數據進行發現和定位;同時(shí),協助紙民客戶建立行之有效的數據分類分級标準。
(1)數據庫自動嗅探
系統可指定IP段和端口範圍進行搜索,或自動搜索網吃還内數據庫;同時(shí),系統支持動态發現數據庫的能城熱力——通(tōng)過自動抓取訪問數據庫的流量包,并對流量包信舊來息進行解析。可自動發現數據庫的基本信息包括:端口号、數據庫類舞說型、數據庫實例名、數據庫服務器(qì)IP地址等。
(2)自動識别敏感數據
按照用戶指定的一部分敏感數據或預定義的敏感數據特征,在執行任務舞外過程中對抽取的數據進行自動識别,發現敏感要草數據,并根據規則導出敏感數據清單;通(t分雪ōng)過解析旁路鍊路的動态流量包獲取訪問對象醫要信息,根據用戶指定的一部分敏感數據或預定義的敏感數文人據特征對訪問對象自動識别,從而實現對敏感數據分布笑東的動态發現;通(tōng)過自動識别敏感數據,可避免按照字段定義敏感數據元的繁費視瑣工(gōng)作,并持續發現新的敏感數據。
(3)資(zī)産使用分析
對訪問數據庫及敏感數據的數據庫用戶、應用信息、主機信息、客戶端IP地址等到從訪問源進行統計分析,并根據分析結果繪制數據庫的飛站日常訪問拓撲圖;對數據庫及敏感數據使用情況進行持續監控刀厭,協助用戶動态梳理自身敏感數據被哪些人、哪些業務系統,通(tōng)過何種途知門徑、在什麼時(shí)間所訪問,彙總動态梳理結果并形成敏感數妹制據流向圖;對訪問數據庫、訪問敏感數據的操作類型,如(r校照ú):SELECT、DML、DCL、DDL等進行統計分析關冷;對訪問數據庫、訪問敏感數據的日常訪問流量和頻哥音次進行統計分析并繪制熱度分析統計圖;針對各業務系統中西市被訪問頻次低(dī)或無任何訪問的數據庫、對象(表、身書視圖、存儲過程、函數)等資(zī)産按周期進行統計。
(4)數據分類分級
自動發現系統資(zī)産中的各類型數據,討朋自動厘清各數據之間的關系;依據煙草行業業務特習服點對産生、采集、加工(gōng)、使用的數據進河公行分類管理;以數據分類為(wèi)基礎,采用規範、報線明确的方法區分數據的重要性和敏感度差異進行分級管河但理;幫助用戶制定數據分類分級辦法,為(wèi)煙草行業提供數據分類分厭拿級防護安全指導思路,并在全行業進行複制、推廣。
應用效果
通(tōng)過上述方案的實施,顯著加強了A市煙草專賣局的運維安全管理能力,哥市實現了其對自身數據資(zī)産的準确發現和記錄,進一步明确了敏感有高數據的位置分布與分類分級,具體應用效果如(rú)下:
1、滿足了《網絡安全法》《數據安全法》及等保2.0中對數據安全花長的相關要求;
2、規範了運維人員的操作流程,确保每一次運維操作都有記錄留存,确保每一次線吧越權操作都有對應的審批記錄留存;
3、動靜結合,幫助客戶對自身全部數據資(zī)産在從進行準确定位并登記造冊;
4、幫助客戶從多個複雜的業務系統數據庫中準确定位敏感數電會據的存儲情況與位置分布;
5、協助客戶完成煙草行業數據分類分級标準,并制定了對小離應的分類分級規則。通(tōng)過分類分級,可有針對性地采取适當、合理的管來睡理與安全防護措施,形成一套科(kē)學、規範的數據資(zī)産管行的理與保護機制。