随着电力行业信息化的不断发展,其内部信息系统越来越复杂,数据库作为信息系统的核心和基础,承载着越来越多的关键业务信息。同时,国家对信息安全方面的重视程度也逐步加深:2014年7月2日,国家能源局发布《电力行业网络与信息安全管理办法》;2018年,9月13日,国家能源局发布《关于加强电力行业网络安全工作的指导意见》,内容全面覆盖《网络安全法》、《电力监管条例》及相关法律法规要求,对加强关键信息基础设施安全保护、加强电力企业数据安全保护等方面提出了更高、更严的要求。
H电力公司经过多年发展,依靠现代化经营管理能力,不断加强了信息化、自动化、系统化的特点,而基于政策指导和信息数据化进程不断加快,H电力公司更需要对数据进行强制性、可控性保护。
一方面,H电力公司需要通过不断挖掘数据价值以支撑自身服务质量、工作效率和发展需要;另一方面,又要保证数据在复杂场景、系统之间被安全、合理的访问和使用。
传统安全防护手段无法跨越的鸿沟
根据国家能源局对数据安全的意见及H电力公司对数据安全的要求,H电力公司进行了自查,发现了如下不足:
敏感数据管理不足
随着H电力公司信息化建设的持续推进,营销、人资、财务、资产、协同、综合等核心系统中存储着大量的业务往来、用户隐私等重要敏感数据。
H电力公司内部电力数据传输与共享场景普遍,当前虽然有一些数据脱敏手段,但是主要采用脚本或人工脱敏的方式,脱敏规则不统一,从而导致脱敏效率低下,以及脱敏后数据质量差、数据间关联关系被破坏等一系列问题,需要通过对敏感数据进行专业的脱敏实现,“用、护”结合。
风险行为监控不足
H电力公司信息化规模庞大、系统繁杂、人员众多,日常工作中发生越权访问、下载或篡改数据等违规操作行为难以及时发现和定位,往往对内部数据安全事件的预防和调查造成困扰。
数据库运维管控不足
H电力公司的网络复杂、业务特殊、数据库众多,在运维专区中,使用堡垒机来对运维人员进行管理,但这种管理方式在数据安全防护上存在一定问题:运维人员不按操作规范或既定方案进行数据库运维操作、非法导出敏感数据、数据库操作行为没有细粒度的审计记录等。
H电力公司根据目前数据安全痛点和对现状的深入分析,提出如下需求:
1.实现与现有运维管理流程深度融合,实时监控运维人员数据库操作;
2.实现与现有SPV集成,运维人员无需单独申请对数据库访问,保持操作习惯不变;
3.实现细粒度运维管控,控制对象可以是库,可以是表,并可以精准到列;除了传统的增删改查操作外,还可以根据访问的影响行判断是否存在数据窃取、批量删除等高危行为;管控的对象还包括用户、登录IP、时间、客户端工具等多种条件;
4.提供用户行为审计,方便及时发现风险隐患;
5.支持动态数据遮蔽防止敏感数据泄漏,查询数据自动显示签名,防止拍照外传。
没有授权进不去 未经许可拿不走 数据泄漏赖不掉
针对以上H电力公司面临的问题,CloudQuery提出本次项目目标应做到“没有授权进不去,未经许可拿不走,数据泄漏赖不掉”。
根据H电力公司对信息安全工作的指示,加强对数据中心数据安全的防护要求,经过深入研究,整理出如下建设思路:
数据脱敏
由于H电力公司数据错综复杂,各业务数据流转通道各不相同,按照数据的分级分类标准,在对数据进行共享时,应针对重要数据进行脱敏降级,确保数据接收方不会对数据内容进行二次扩散。
数据库安全管控
通过引入CloudQuery,对数据库的访问及其他操作行为进行细粒度防御、审计分析,从而全程监控、记录包括非法访问、数据库违规操作、数据批量导出或篡改在内等一系列风险行为,实现对所有数据访问行为进行审计记录,然后通过数据分析技术结合数据操作审计典型策略要求,对风险行为进行挖掘和预警,并可在安全事件发生后,做到准确、高效的溯源定责。
数据库运维与管理
在确保不影响正常开展运维工作的前提下,建立数据库运维操作的审批机制和技术措施。通过CloudQuery对所有涉及敏感数据的操作进行限制,强化对数据库运维操作的监管力度,及时阻断越权操作行为的发生,令运维工作实际操作与计划操作保持一致。
对数据运维操作的关键动作进行划分,将那些敏感操作梳理出来并默认禁止。当有变更需求时,通过发起运维审批流程,根据审批小组的审批意见,有序、安全的执行运维操作。
四大核心模块 解决电力行业棘手问题
针对H电力公司的系统现状、其数据库安全管控需求及目标,CloudQuery制定了符合H电力公司数据库安全管控目标的解决方案,全面发挥数据库安全管控平台在企业中的价值。
CloudQuery作为一体化企业数据安全管控平台,是企业数据操作的入口,将组织(包含应用)、数据、安全整合到一个平台,提供一系列数据应用工具辅助应用和IT人员完成相关的数据处理和操作,并逐渐培养组织的数据化流程、协作机制,完善组织的数据意识。
CloudQuery采用以服务组件为单位,面向云的分布式架构,支持高可用模式保持用户使用的连续性,针对H电力公司,我们主要将平台划分为四大核心模块:数据处理中心、用户管控中心、监控中心、审计中心。
数据处理中心:广泛的数据库支持,集中管控数据
CloudQuery支持绝大多数国内外主流数据库以及中间件,目前支持Oracle、SQLServer、MySQL、PostgreSQL、Redis、Hbase、达梦、RDS for MySQL等,未来将支持更多种类的数据库及中间件数据源。覆盖H电力公司目前使用的主要数据库数据源。同时,CloudQuery完美支持各数据库特性,契合操作人员日常数据操作习惯。
用一个平台对所有数据操作进行管控,包含登录登出、权限、脱敏、审计、监控、过滤、回退等。内置一系列流程库,可通过OpenAPI接口与现有运维管理系统进行对接,实现数据操作/授权在数据中心内部流转。
对于H电力公司的数据脱敏要求,CloudQuery采用被动脱敏方式,即不改变数据库内容,但查询得到的结果为脱敏后的数据。脱敏按照规则来处理数据,规则分为内置和动态,内置规则只要用户查询的数据中符合系统内部定义的敏感资源,就会被处理;动态规则指系统管理员或者拥有者根据业务自定义,比如订单里的门牌号等。系统支持5种脱敏模式设定:替换、掩码、加密、截断后加密和无效化。
脱敏还会应用在以下场景:
- 导出:导出的数据条目只要符合脱敏设定,那么不管是什么样的文件格式,其内容都会被脱敏;
- 转储:转储的SQL语句,其内容也会被脱敏。
用户管控中心:细粒度权限管控,越权访问需审批
针对可能存在的用户越权访问、非法导出等违规行为,CloudQuery从不同需求和不同维度进行细粒度权限控制:
- 操作权限:根据不同的数据源可以分配不同权限,权限由创建连接的账号所拥有的权限列表为全集,可以向下分发,默认加入连接的用户只拥有select(查询)权限,其他均需要手动赋权或通过流程进行提权申请。
- 限时限量:可对数据操作进行限时限量权限管控,约定允许操作的开始日期时间和结束日期时间;选择每周能操作的天数;限制用户每个自然周期查询可以得到的记录数,周期结束限量会清零。周期可以灵活配置(天、周、月)。
- 高危操作限制:对核心业务系统中,重要的有库、表操作非常关键,随意变更可能会带来灾难性影响,在Cloud Query将其定义为“高危资源”,在其上的所有变更操作(DML、DDL)都会生成工单;危险性较高的操作,比如truncate, delete等等,也同样可被管理员设置为“高危操作”。所有高危操作需要走工单,获取短期的权限,解封操作。
- 数据过滤:数据库过滤在某种程度上实现了用户的多租,即多个用户使用同一个数据库连接,看到的是不同的数据“视图”,千人千面,这极大的增加了权限的灵活性。
- 数据导出限制:数据导出目前支持excel、csv、txt、pdf等格式,支持加密、水印,内容为表格状。结果集导出会受到权限的制约,默认都是关闭状态,如果需要某张表的导出权限可以在流程中向连接管理员发起申请,审批通过后即可进行导出操作。导出同时受到过滤以及脱敏等相关权限的制约,例如当用户在查询结果集时某一列受到脱敏限制,同时在导出时该列也是被脱敏的状态。
审计中心:记录用户行为,风险操作可追踪
CloudQuery审计系统可跟踪用户在平台上的所有操作,覆盖数据库、流程、权限等方面的查询和变更。审计明细包含用户、连接、库、操作对象、动作、摘要、时间、结果、IP来源等,可按条件过滤,并支持Excel导出。
除了审计明细,系统还支持面向业务的审计分析,可进行多维度的分析,如UV、PV、数据库类型、语句执行时长、慢查询、高危操作。
而通过应用探针或Cloud Query提供的审计驱动可对应用的数据操作进行审计分析。相对于面向人的操作审计,应用数据审计主要是站在数据库管理员和安全的视角,对应用的数据访问进行分析,找出违反审计规则的语句,每一个应用包含一个审计视图。主要包含:
- 审计明细:包含应用ID、数据源、库、操作对象、动作、摘要、时间、结果、IP来源等。
- 慢查询:数据库语句执行时间连续超过某一个阈值的语句聚合,采样窗口(分钟)可由系统设置。
- 高危操作:识别出应用中对特定资源的非法操作。
- 非法地址:根据IP来源,识别与数据库不匹配的操作。比如生产环境,只能限于生成应用IP,不能是测试应用IP。
同时应用审计会基于SQL模式进行数据分析,支持以下维度的分析:
- 常用热点表:基于数据库下每张表的读写次数计算出每张表的热度,尽量排序得出热度前十的表进行展示
- 应用Top SQL:基于应用的语句执行次数统计出排行前20的SQL,方便DBA及时查看进行索引调整等SQL优化
- 应用慢SQL:基于语句执行时长列出应用的慢SQL,为DBA等相关工作人员进行SQL审核提供方便
数据库监控中心:
CloudQuery可以提供一个集中监控平台,连接管理员可以看到自己管纳连接的数据库负载情况,针对每一种数据源会有不同的监控指标,方便更直观的排查与定位问题。
CloudQuery的应用价值
没有授权进不去
基于细粒度的权限管控体系,CloudQuery通过「用户-角色-权限」,在快速授权的同时精准控制每个用户的访问及操作权限,规避了H电力公司原先可能面临的越权访问、下载或篡改数据等违规操作行为。
未经许可拿不走
CloudQuery以独创的「查导分离」作为数据防泄漏的最后一道防线,将导出动作单独形成一种权限类型,与查询动作分离开来。即使H电力公司内部人员恶意获取数据也无法将数据落地至PC电脑,更别提在企业内部甚至外部进行流通。
数据泄露赖不掉
CloudQuery作为企业内部的第四道安全防护门。对平台内部众多操作进行埋点,保证H电力公司的用户每一个动作都可追踪、可溯源。一旦有用户执行恶意语句或误操作可以及时定位到问题用户及用户PC IP。同时,CloudQuery辅助以告警模块,从不同风控视角来监测当前平台内用户的操作风险性,可以让H电力公司在发生数据泄漏时间后快速、精准定位到责任人,及时还原丢失数据。
从H电力公司的应用可见,CloudQuery站在企业角度,根据内部数据流向提供全链路的干涉跟踪保护机制,贯穿数据登录、使用、登出整个生命周期。1:1 针对各数据源的终端,可实时对操作的SQL执行拦截、分析、审计、告警等操作,精确到人和应用。避免延后追溯,避免安装堡垒机客户端,也避免审计记录和录像的对比,极大的提高了审计效率和用户体验,让企业内部数据运转更加流畅、安全。