久久无码激情床戏视频,视频一区二区免费,国产丰满乱子伦无码,被亲夹得我好爽一区二区,国产一区二区三区欧美亚洲,国内裸体无遮挡免费视频,丰满人妻熟妇av无码区,国产麻豆成人av,波多野结衣被三个小鬼

?
您當前的位置 : 首頁 > 技術博客 > 數(shù)據(jù)安全
內(nèi)容中心
按關鍵字查找
【安華金和】煙草行業(yè)數(shù)據(jù)安全治理解決方案
作者: 發(fā)布時間:2022-03-07

一、概述


近年來,在煙草行業(yè)運營與生產(chǎn)管理活動中,信息化工具發(fā)揮著日益重要的作用,煙草企業(yè)逐步搭建起較為完善的網(wǎng)絡架構與內(nèi)部信息系統(tǒng)環(huán)境,并成為提升自身核心競爭力的基礎。與此同時,各類信息安全問題不斷突顯,對煙草行業(yè)數(shù)據(jù)的價值挖掘、利用及其安全防護至關重要。


二、治理需求


伴隨國家煙草專賣局(中國煙草總公司)先后發(fā)布《煙草行業(yè)等級保護基本要求》、《煙草行業(yè)移動應用安全規(guī)范》、《煙草行業(yè)網(wǎng)絡安全基線管理技術規(guī)范》、《煙草行業(yè)網(wǎng)絡與信息安全檢查自查指南》、《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡互聯(lián)安全規(guī)范》、《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡安全基線技術規(guī)范》等一系列行業(yè)指南、規(guī)范和要求,為煙草企業(yè)有序開展信息安全建設工作提供指引。此外,通過對各地方局一年一度的全面信息安全檢查和專項信息安全檢查,將“以查促建、以查促管、以查促改、以查促防” 落到實處,持續(xù)提升煙草行業(yè)整體信息化建設水平與數(shù)據(jù)安全防護能力。


在此背景下,A市煙草專賣局根據(jù)國家要求制定《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》,其中第十條規(guī)定:除數(shù)據(jù)庫管理員外,其他任何人不得接觸數(shù)據(jù)庫;不得擅自向其他單位或個人提供任何數(shù)據(jù),不得擅自復制數(shù)據(jù);需要對能接觸到數(shù)據(jù)庫的管理及運維人員進行操作記錄及管控。然而,從A市煙草專賣局現(xiàn)有的網(wǎng)絡環(huán)境及配置來看,難以滿足《辦法》中提出的相關要求。



三、痛點分析


1、運維人員管理混亂


A市煙草專賣局各業(yè)務系統(tǒng)由第三方公司負責日常運維服務,駐場人員與市局信息中心簽訂保密協(xié)議后,可獲得對各自負責系統(tǒng)“增刪改查”等操作的數(shù)據(jù)庫最高權限。運維側堡壘機僅能實現(xiàn)身份校驗和審計錄像功能,無法對運維人員的違規(guī)或高危操作進行及時攔截,且存在多個運維人員共用一個堡壘機賬號等問題。


2、管理規(guī)定落實困難


A市煙草專賣局自身數(shù)據(jù)管理規(guī)定要求“運維人員每次對數(shù)據(jù)庫中數(shù)據(jù)進行修改都要獲得并留存業(yè)務主管部門審批的紙質(zhì)單據(jù)”,但因運維人員擁有其數(shù)據(jù)庫的最高權限,僅憑規(guī)定流程難以有效約束相關人員的實際行為。如此一來,業(yè)務人員有可能違反數(shù)據(jù)管理規(guī)定,在未經(jīng)申報審批的情況下私自聯(lián)系系統(tǒng)運維人員,直接在數(shù)據(jù)庫中對業(yè)務系統(tǒng)數(shù)據(jù)進行修改。


3、數(shù)據(jù)資產(chǎn)信息不全


A市煙草專賣局各業(yè)務系統(tǒng)多由第三方公司承建并負責后續(xù)運維服務,數(shù)據(jù)庫也由對應提供商分別運維,且在開發(fā)測試及日常運維過程還存在其他中間庫、測試庫。與此同時,市局信息中心僅掌握各生產(chǎn)庫的相關信息,無法確定是否存在其他測試庫或未知的僵尸庫,從而對日常數(shù)據(jù)安全管理工作造成困難。


4、敏感數(shù)據(jù)分布不明


A市煙草專賣局各業(yè)務系統(tǒng)多由第三方公司承建并負責后續(xù)運維服務,市局信息中心難以準確掌握各類數(shù)據(jù)的具體存儲字段位置,而各外包運維公司又不明確其中哪些屬于敏感數(shù)據(jù),從而直接導致前者無法針對敏感數(shù)據(jù)進行有效梳理、管控及安全防護。


5、敏感數(shù)據(jù)分類困難


煙草企業(yè)各業(yè)務系統(tǒng)中存在大量敏感信息,包括:職工個人信息、薪資信息、賬戶賬號信息、卷煙庫存及采銷信息、零售戶信息、往來單位信息等。國家煙草專賣局要求各省、地市、縣煙草專賣局推進數(shù)據(jù)分類分級工作,但相關的執(zhí)行標準和實施參考尚不全面。A市煙草專賣局十分關注數(shù)據(jù)資產(chǎn)梳理、敏感數(shù)據(jù)保護、數(shù)據(jù)流向監(jiān)控、風險操作識別等工作,但主要依托管理員自身經(jīng)驗進行分析和判斷,導致數(shù)據(jù)分類分級工作難以精準、高效開展。



四、建設思路


方案設計側重解決A市煙草專賣局的數(shù)據(jù)資產(chǎn)梳理、敏感數(shù)據(jù)分類分級和運維區(qū)安全管控相關需求,安華金和結合市局現(xiàn)有信息系統(tǒng)部署的實際情況,在運維區(qū)與數(shù)據(jù)庫服務器之間通過代理方式部署數(shù)據(jù)庫運維安全系統(tǒng)(DOSS);同時,在旁路部署數(shù)據(jù)庫安全評估(DSAS)系統(tǒng),建設思路如下:


01.jpg


1、加強運維人員管理,落實數(shù)據(jù)管理規(guī)定


依照《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》相關要求制定運維人員行為準則及數(shù)據(jù)修改審批流程。運維人員通過安華金和數(shù)據(jù)庫運維安全系統(tǒng)(DOSS)訪問、操作數(shù)據(jù)庫,涉及越權操作必須經(jīng)過指定負責人審批后方可執(zhí)行,從而有效避免出現(xiàn)高危操作或未經(jīng)審批的越權操作行為。


02.jpg


2、全面梳理數(shù)據(jù)資產(chǎn),準確發(fā)現(xiàn)敏感數(shù)據(jù)


動靜結合——通過“端口掃描+數(shù)據(jù)掃描”探測、定位數(shù)據(jù)資產(chǎn);通過“動態(tài)流量+訪問協(xié)議解析”發(fā)現(xiàn)、識別數(shù)據(jù)庫及敏感數(shù)據(jù);通過“資產(chǎn)標識+數(shù)據(jù)標簽”對數(shù)據(jù)資產(chǎn)進行有效管理;通過對數(shù)據(jù)庫、敏感對象、訪問源、訪問行為等進行分析,對數(shù)據(jù)流向抽象繪圖;通過動態(tài)流量信息,驗證訪問情況是否與靜態(tài)標識信息相符。



3、建立數(shù)據(jù)分級標準,輔助數(shù)據(jù)分類分級


03.jpg


根據(jù)自身業(yè)務特點,對產(chǎn)生、采集、加工、使用的數(shù)據(jù)進行分類管理;同時,以數(shù)據(jù)分類為基礎,采用規(guī)范、明確的方法,區(qū)分數(shù)據(jù)的重要性和敏感度差異,以實現(xiàn)分對數(shù)據(jù)的級管理。



4、解決方案


04.jpg



1、數(shù)據(jù)庫運維安全系統(tǒng)(DOSS)


在交換機上部署DOSS,配置為代理模式;配合用戶將運維區(qū)登錄方式修改為代理模式;過渡期后,阻斷運維區(qū)直連數(shù)據(jù)庫的網(wǎng)絡路徑,確保以代理方式進行訪問的唯一性。



(1)規(guī)則策略


提供語句操作規(guī)則,通過配置訪問來源、操作對象、執(zhí)行結果、條件限制、時間等元素,生成針對數(shù)據(jù)庫的操作規(guī)則,從而定義合法操作和非法操作。



(2)操作審批


運維人員對數(shù)據(jù)庫的高危操作、重要操作和涉敏操作須經(jīng)審批后才可執(zhí)行,并在執(zhí)行過程中持續(xù)管控其實際行為與審批操作的一致性。



(3)行為審計


審計所有通過DOSS操作數(shù)據(jù)庫的行為,同時對運維操作的申請及審批信息進行準確審計。



2、數(shù)據(jù)庫安全評估系統(tǒng)(DSAS)


在交換機上旁路部署安華金和DSAS(含動態(tài)梳理);通過“靜態(tài)端口掃描+動態(tài)流量分析”對數(shù)據(jù)庫資產(chǎn)及敏感數(shù)據(jù)進行發(fā)現(xiàn)和定位;同時,協(xié)助客戶建立行之有效的數(shù)據(jù)分類分級標準。



(1)數(shù)據(jù)庫自動嗅探


系統(tǒng)可指定IP段和端口范圍進行搜索,或自動搜索網(wǎng)內(nèi)數(shù)據(jù)庫;同時,系統(tǒng)支持動態(tài)發(fā)現(xiàn)數(shù)據(jù)庫的能力——通過自動抓取訪問數(shù)據(jù)庫的流量包,并對流量包信息進行解析。可自動發(fā)現(xiàn)數(shù)據(jù)庫的基本信息包括:端口號、數(shù)據(jù)庫類型、數(shù)據(jù)庫實例名、數(shù)據(jù)庫服務器IP地址等。



(2)自動識別敏感數(shù)據(jù)


按照用戶指定的一部分敏感數(shù)據(jù)或預定義的敏感數(shù)據(jù)特征,在執(zhí)行任務過程中對抽取的數(shù)據(jù)進行自動識別,發(fā)現(xiàn)敏感數(shù)據(jù),并根據(jù)規(guī)則導出敏感數(shù)據(jù)清單;通過解析旁路鏈路的動態(tài)流量包獲取訪問對象信息,根據(jù)用戶指定的一部分敏感數(shù)據(jù)或預定義的敏感數(shù)據(jù)特征對訪問對象自動識別,從而實現(xiàn)對敏感數(shù)據(jù)分布的動態(tài)發(fā)現(xiàn);通過自動識別敏感數(shù)據(jù),可避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作,并持續(xù)發(fā)現(xiàn)新的敏感數(shù)據(jù)。



(3)資產(chǎn)使用分析


對訪問數(shù)據(jù)庫及敏感數(shù)據(jù)的數(shù)據(jù)庫用戶、應用信息、主機信息、客戶端IP地址等訪問源進行統(tǒng)計分析,并根據(jù)分析結果繪制數(shù)據(jù)庫的日常訪問拓撲圖;對數(shù)據(jù)庫及敏感數(shù)據(jù)使用情況進行持續(xù)監(jiān)控,協(xié)助用戶動態(tài)梳理自身敏感數(shù)據(jù)被哪些人、哪些業(yè)務系統(tǒng),通過何種途徑、在什么時間所訪問,匯總動態(tài)梳理結果并形成敏感數(shù)據(jù)流向圖;對訪問數(shù)據(jù)庫、訪問敏感數(shù)據(jù)的操作類型,如:SELECT、DML、DCL、DDL等進行統(tǒng)計分析;對訪問數(shù)據(jù)庫、訪問敏感數(shù)據(jù)的日常訪問流量和頻次進行統(tǒng)計分析并繪制熱度分析統(tǒng)計圖;針對各業(yè)務系統(tǒng)中被訪問頻次低或無任何訪問的數(shù)據(jù)庫、對象(表、視圖、存儲過程、函數(shù))等資產(chǎn)按周期進行統(tǒng)計。



(4)數(shù)據(jù)分類分級


自動發(fā)現(xiàn)系統(tǒng)資產(chǎn)中的各類型數(shù)據(jù),自動厘清各數(shù)據(jù)之間的關系;依據(jù)煙草行業(yè)業(yè)務特點對產(chǎn)生、采集、加工、使用的數(shù)據(jù)進行分類管理;以數(shù)據(jù)分類為基礎,采用規(guī)范、明確的方法區(qū)分數(shù)據(jù)的重要性和敏感度差異進行分級管理;幫助用戶制定數(shù)據(jù)分類分級辦法,為煙草行業(yè)提供數(shù)據(jù)分類分級防護安全指導思路,并在全行業(yè)進行復制、推廣。



應用效果





通過上述方案的實施,顯著加強了A市煙草專賣局的運維安全管理能力,實現(xiàn)了其對自身數(shù)據(jù)資產(chǎn)的準確發(fā)現(xiàn)和記錄,進一步明確了敏感數(shù)據(jù)的位置分布與分類分級,具體應用效果如下:







1、滿足了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》及等保2.0中對數(shù)據(jù)安全的相關要求;


2、規(guī)范了運維人員的操作流程,確保每一次運維操作都有記錄留存,確保每一次越權操作都有對應的審批記錄留存;

3、動靜結合,幫助客戶對自身全部數(shù)據(jù)資產(chǎn)進行準確定位并登記造冊;

4、幫助客戶從多個復雜的業(yè)務系統(tǒng)數(shù)據(jù)庫中準確定位敏感數(shù)據(jù)的存儲情況與位置分布;

5、協(xié)助客戶完成煙草行業(yè)數(shù)據(jù)分類分級標準,并制定了對應的分類分級規(guī)則。通過分類分級,可有針對性地采取適當、合理的管理與安全防護措施,形成一套科學、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護機制。






?