一�、概述
近年來,在煙草行業(yè)運營與生產(chǎn)管理活動中���,信息化工具發(fā)揮著日益重要的作用����,煙草企業(yè)逐步搭建起較為完善的網(wǎng)絡(luò)架構(gòu)與內(nèi)部信息系統(tǒng)環(huán)境��,并成為提升自身核心競爭力的基礎(chǔ)�����。與此同時���,各類信息安全問題不斷突顯�,對煙草行業(yè)數(shù)據(jù)的價值挖掘����、利用及其安全防護至關(guān)重要。
二����、治理需求
伴隨國家煙草專賣局(中國煙草總公司)先后發(fā)布《煙草行業(yè)等級保護基本要求》���、《煙草行業(yè)移動應(yīng)用安全規(guī)范》、《煙草行業(yè)網(wǎng)絡(luò)安全基線管理技術(shù)規(guī)范》��、《煙草行業(yè)網(wǎng)絡(luò)與信息安全檢查自查指南》���、《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》�����、《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》等一系列行業(yè)指南�����、規(guī)范和要求����,為煙草企業(yè)有序開展信息安全建設(shè)工作提供指引�。此外,通過對各地方局一年一度的全面信息安全檢查和專項信息安全檢查��,將“以查促建�、以查促管、以查促改�、以查促防” 落到實處,持續(xù)提升煙草行業(yè)整體信息化建設(shè)水平與數(shù)據(jù)安全防護能力��。
在此背景下���,A市煙草專賣局根據(jù)國家要求制定《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》���,其中第十條規(guī)定:除數(shù)據(jù)庫管理員外,其他任何人不得接觸數(shù)據(jù)庫�����;不得擅自向其他單位或個人提供任何數(shù)據(jù)�,不得擅自復制數(shù)據(jù);需要對能接觸到數(shù)據(jù)庫的管理及運維人員進行操作記錄及管控���。然而�����,從A市煙草專賣局現(xiàn)有的網(wǎng)絡(luò)環(huán)境及配置來看�,難以滿足《辦法》中提出的相關(guān)要求�。
三����、痛點分析
1���、運維人員管理混亂
A市煙草專賣局各業(yè)務(wù)系統(tǒng)由第三方公司負責日常運維服務(wù)�����,駐場人員與市局信息中心簽訂保密協(xié)議后���,可獲得對各自負責系統(tǒng)“增刪改查”等操作的數(shù)據(jù)庫最高權(quán)限。運維側(cè)堡壘機僅能實現(xiàn)身份校驗和審計錄像功能��,無法對運維人員的違規(guī)或高危操作進行及時攔截��,且存在多個運維人員共用一個堡壘機賬號等問題�。
2、管理規(guī)定落實困難
A市煙草專賣局自身數(shù)據(jù)管理規(guī)定要求“運維人員每次對數(shù)據(jù)庫中數(shù)據(jù)進行修改都要獲得并留存業(yè)務(wù)主管部門審批的紙質(zhì)單據(jù)”�����,但因運維人員擁有其數(shù)據(jù)庫的最高權(quán)限����,僅憑規(guī)定流程難以有效約束相關(guān)人員的實際行為�。如此一來���,業(yè)務(wù)人員有可能違反數(shù)據(jù)管理規(guī)定,在未經(jīng)申報審批的情況下私自聯(lián)系系統(tǒng)運維人員����,直接在數(shù)據(jù)庫中對業(yè)務(wù)系統(tǒng)數(shù)據(jù)進行修改。
3���、數(shù)據(jù)資產(chǎn)信息不全
A市煙草專賣局各業(yè)務(wù)系統(tǒng)多由第三方公司承建并負責后續(xù)運維服務(wù)���,數(shù)據(jù)庫也由對應(yīng)提供商分別運維,且在開發(fā)測試及日常運維過程還存在其他中間庫���、測試庫�。與此同時�����,市局信息中心僅掌握各生產(chǎn)庫的相關(guān)信息����,無法確定是否存在其他測試庫或未知的僵尸庫�����,從而對日常數(shù)據(jù)安全管理工作造成困難��。
4��、敏感數(shù)據(jù)分布不明
A市煙草專賣局各業(yè)務(wù)系統(tǒng)多由第三方公司承建并負責后續(xù)運維服務(wù)��,市局信息中心難以準確掌握各類數(shù)據(jù)的具體存儲字段位置��,而各外包運維公司又不明確其中哪些屬于敏感數(shù)據(jù)�,從而直接導致前者無法針對敏感數(shù)據(jù)進行有效梳理��、管控及安全防護�。
5、敏感數(shù)據(jù)分類困難
煙草企業(yè)各業(yè)務(wù)系統(tǒng)中存在大量敏感信息�����,包括:職工個人信息���、薪資信息���、賬戶賬號信息��、卷煙庫存及采銷信息���、零售戶信息、往來單位信息等�����。國家煙草專賣局要求各省���、地市、縣煙草專賣局推進數(shù)據(jù)分類分級工作�,但相關(guān)的執(zhí)行標準和實施參考尚不全面。A市煙草專賣局十分關(guān)注數(shù)據(jù)資產(chǎn)梳理�、敏感數(shù)據(jù)保護、數(shù)據(jù)流向監(jiān)控����、風險操作識別等工作,但主要依托管理員自身經(jīng)驗進行分析和判斷����,導致數(shù)據(jù)分類分級工作難以精準、高效開展��。
四、建設(shè)思路
方案設(shè)計側(cè)重解決A市煙草專賣局的數(shù)據(jù)資產(chǎn)梳理����、敏感數(shù)據(jù)分類分級和運維區(qū)安全管控相關(guān)需求,安華金和結(jié)合市局現(xiàn)有信息系統(tǒng)部署的實際情況����,在運維區(qū)與數(shù)據(jù)庫服務(wù)器之間通過代理方式部署數(shù)據(jù)庫運維安全系統(tǒng)(DOSS);同時�����,在旁路部署數(shù)據(jù)庫安全評估(DSAS)系統(tǒng)���,建設(shè)思路如下:
1����、加強運維人員管理����,落實數(shù)據(jù)管理規(guī)定
依照《A市煙草專賣局(公司)數(shù)據(jù)管理辦法》相關(guān)要求制定運維人員行為準則及數(shù)據(jù)修改審批流程。運維人員通過安華金和數(shù)據(jù)庫運維安全系統(tǒng)(DOSS)訪問��、操作數(shù)據(jù)庫,涉及越權(quán)操作必須經(jīng)過指定負責人審批后方可執(zhí)行���,從而有效避免出現(xiàn)高危操作或未經(jīng)審批的越權(quán)操作行為�����。
2����、全面梳理數(shù)據(jù)資產(chǎn)����,準確發(fā)現(xiàn)敏感數(shù)據(jù)
動靜結(jié)合——通過“端口掃描+數(shù)據(jù)掃描”探測����、定位數(shù)據(jù)資產(chǎn);通過“動態(tài)流量+訪問協(xié)議解析”發(fā)現(xiàn)��、識別數(shù)據(jù)庫及敏感數(shù)據(jù)�����;通過“資產(chǎn)標識+數(shù)據(jù)標簽”對數(shù)據(jù)資產(chǎn)進行有效管理��;通過對數(shù)據(jù)庫、敏感對象��、訪問源�、訪問行為等進行分析,對數(shù)據(jù)流向抽象繪圖���;通過動態(tài)流量信息����,驗證訪問情況是否與靜態(tài)標識信息相符��。
3���、建立數(shù)據(jù)分級標準�����,輔助數(shù)據(jù)分類分級
根據(jù)自身業(yè)務(wù)特點�����,對產(chǎn)生�、采集�、加工���、使用的數(shù)據(jù)進行分類管理;同時�,以數(shù)據(jù)分類為基礎(chǔ),采用規(guī)范���、明確的方法�,區(qū)分數(shù)據(jù)的重要性和敏感度差異���,以實現(xiàn)分對數(shù)據(jù)的級管理�����。
4����、解決方案
1�����、數(shù)據(jù)庫運維安全系統(tǒng)(DOSS)
在交換機上部署DOSS�����,配置為代理模式����;配合用戶將運維區(qū)登錄方式修改為代理模式;過渡期后����,阻斷運維區(qū)直連數(shù)據(jù)庫的網(wǎng)絡(luò)路徑,確保以代理方式進行訪問的唯一性���。
(1)規(guī)則策略
提供語句操作規(guī)則�����,通過配置訪問來源���、操作對象、執(zhí)行結(jié)果����、條件限制、時間等元素�,生成針對數(shù)據(jù)庫的操作規(guī)則,從而定義合法操作和非法操作�。
(2)操作審批
運維人員對數(shù)據(jù)庫的高危操作���、重要操作和涉敏操作須經(jīng)審批后才可執(zhí)行,并在執(zhí)行過程中持續(xù)管控其實際行為與審批操作的一致性�。
(3)行為審計
審計所有通過DOSS操作數(shù)據(jù)庫的行為,同時對運維操作的申請及審批信息進行準確審計�。
2、數(shù)據(jù)庫安全評估系統(tǒng)(DSAS)
在交換機上旁路部署安華金和DSAS(含動態(tài)梳理)��;通過“靜態(tài)端口掃描+動態(tài)流量分析”對數(shù)據(jù)庫資產(chǎn)及敏感數(shù)據(jù)進行發(fā)現(xiàn)和定位���;同時��,協(xié)助客戶建立行之有效的數(shù)據(jù)分類分級標準��。
(1)數(shù)據(jù)庫自動嗅探
系統(tǒng)可指定IP段和端口范圍進行搜索����,或自動搜索網(wǎng)內(nèi)數(shù)據(jù)庫��;同時���,系統(tǒng)支持動態(tài)發(fā)現(xiàn)數(shù)據(jù)庫的能力——通過自動抓取訪問數(shù)據(jù)庫的流量包,并對流量包信息進行解析�?�?勺詣影l(fā)現(xiàn)數(shù)據(jù)庫的基本信息包括:端口號�、數(shù)據(jù)庫類型�、數(shù)據(jù)庫實例名、數(shù)據(jù)庫服務(wù)器IP地址等�。
(2)自動識別敏感數(shù)據(jù)
按照用戶指定的一部分敏感數(shù)據(jù)或預定義的敏感數(shù)據(jù)特征,在執(zhí)行任務(wù)過程中對抽取的數(shù)據(jù)進行自動識別����,發(fā)現(xiàn)敏感數(shù)據(jù),并根據(jù)規(guī)則導出敏感數(shù)據(jù)清單����;通過解析旁路鏈路的動態(tài)流量包獲取訪問對象信息,根據(jù)用戶指定的一部分敏感數(shù)據(jù)或預定義的敏感數(shù)據(jù)特征對訪問對象自動識別�����,從而實現(xiàn)對敏感數(shù)據(jù)分布的動態(tài)發(fā)現(xiàn)��;通過自動識別敏感數(shù)據(jù)����,可避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作,并持續(xù)發(fā)現(xiàn)新的敏感數(shù)據(jù)�����。
(3)資產(chǎn)使用分析
對訪問數(shù)據(jù)庫及敏感數(shù)據(jù)的數(shù)據(jù)庫用戶、應(yīng)用信息����、主機信息、客戶端IP地址等訪問源進行統(tǒng)計分析�����,并根據(jù)分析結(jié)果繪制數(shù)據(jù)庫的日常訪問拓撲圖�;對數(shù)據(jù)庫及敏感數(shù)據(jù)使用情況進行持續(xù)監(jiān)控,協(xié)助用戶動態(tài)梳理自身敏感數(shù)據(jù)被哪些人��、哪些業(yè)務(wù)系統(tǒng)�,通過何種途徑、在什么時間所訪問����,匯總動態(tài)梳理結(jié)果并形成敏感數(shù)據(jù)流向圖;對訪問數(shù)據(jù)庫�����、訪問敏感數(shù)據(jù)的操作類型,如:SELECT�、DML���、DCL���、DDL等進行統(tǒng)計分析;對訪問數(shù)據(jù)庫����、訪問敏感數(shù)據(jù)的日常訪問流量和頻次進行統(tǒng)計分析并繪制熱度分析統(tǒng)計圖;針對各業(yè)務(wù)系統(tǒng)中被訪問頻次低或無任何訪問的數(shù)據(jù)庫����、對象(表、視圖�、存儲過程、函數(shù))等資產(chǎn)按周期進行統(tǒng)計����。
(4)數(shù)據(jù)分類分級
自動發(fā)現(xiàn)系統(tǒng)資產(chǎn)中的各類型數(shù)據(jù),自動厘清各數(shù)據(jù)之間的關(guān)系�����;依據(jù)煙草行業(yè)業(yè)務(wù)特點對產(chǎn)生��、采集、加工�、使用的數(shù)據(jù)進行分類管理;以數(shù)據(jù)分類為基礎(chǔ)��,采用規(guī)范�����、明確的方法區(qū)分數(shù)據(jù)的重要性和敏感度差異進行分級管理����;幫助用戶制定數(shù)據(jù)分類分級辦法,為煙草行業(yè)提供數(shù)據(jù)分類分級防護安全指導思路����,并在全行業(yè)進行復制、推廣��。
應(yīng)用效果
通過上述方案的實施����,顯著加強了A市煙草專賣局的運維安全管理能力,實現(xiàn)了其對自身數(shù)據(jù)資產(chǎn)的準確發(fā)現(xiàn)和記錄�����,進一步明確了敏感數(shù)據(jù)的位置分布與分類分級,具體應(yīng)用效果如下:
1���、滿足了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及等保2.0中對數(shù)據(jù)安全的相關(guān)要求;
2�、規(guī)范了運維人員的操作流程,確保每一次運維操作都有記錄留存�,確保每一次越權(quán)操作都有對應(yīng)的審批記錄留存;3�����、動靜結(jié)合�����,幫助客戶對自身全部數(shù)據(jù)資產(chǎn)進行準確定位并登記造冊����;4、幫助客戶從多個復雜的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中準確定位敏感數(shù)據(jù)的存儲情況與位置分布��;5����、協(xié)助客戶完成煙草行業(yè)數(shù)據(jù)分類分級標準����,并制定了對應(yīng)的分類分級規(guī)則��。通過分類分級����,可有針對性地采取適當、合理的管理與安全防護措施�����,形成一套科學�����、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護機制���。
產(chǎn)品咨詢:4000 258 365 
