数据库安全防护
事前诊断:通过数据库漏扫产品,有效检测数据库已知漏洞,并有效修复。
电力行业主要的数据库类型是Oracle,在重要的应用系统也采用了国产数据库达梦和金仓。在某些网省公司存在大量软件开发和运维人员留下的数据库账户,由于数据库内的口令是加密存储,这些账户是否存在弱口也令无从得知,尤其是国产数据库弱口令扫描目前仅有安华金和的数据库漏扫能支持。本方案规划使用能支持国产数据库安全检测的数据库漏洞扫描系统,对当前系统中重要数据库进行全面的安全漏洞检测,有效暴露当前数据库系统的安全问题,同时提出漏洞修复的建议,从而提升数据库系统整体的安全性。
通过数据库漏扫定期进行数据库安全检查,防患于未然,对数据库安全风险进行综合评估,对管理域中数据库的安全现状进行全面检测。安全漏洞项包括:弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等,评估是否存在安全漏洞并提供修复建议,为系统的安全配置提升提供有效的参考。
事中控制:通过数据库防火墙和数据库加密解决。
目前电力行业已有一些系统如ERP是要通过互联网为公众开放的,数据库如果放在内网,会影响数据库的正常访问。但是放在外网,就有黑客以应用服务器为跳板,进行对数据库服务器攻击的风险。电力行业用于互联网安全防护的逻辑强隔离装置和数据库隔离装置在Oracle数据库的OCI连接访问语句识别方面有欠缺,虽然电力行业有要求各应用系统的数据库访问转为E语言后再通过隔离装置,但是复杂的应用系统很难实现把数据库访问实现E语言的转换,同时关系型数据库的事务机制(ACID)是无法通过E语言实现的。
数据库防火墙-从访问源头来保护数据,监测数据库的访问,防止未授权的访问、SQLInjection、权限或角色的非法提升以及对敏感数据的非法访问。高度精准的基于SQL语法的分析,避免误判;基于黑、白名单的灵活的SQL级策略设置;支持Bypass和Proxy及混合部署模式,支持高可用,最大限度的适应企业需求;虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问。
等保三级以上的核心系统可以通过在数据库中加密存储敏感信息防止被解析为明文,通过独立于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段,防止DBA、第三方外包人员和程序开发人员越权访问敏感信息,结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题。
事后分析:通过数据库审计技术解决。
电力行业很多和业务相关的操作如营销和计量数据的修改、批量客户信息和人资及生产数据的查询,这些操作都需要关联到具体业务人员进行数据库操作审计,以便在出现安全事件的时候可以有效的追责定责。
数据库审计通过在核心路由设备上设置端口镜像或采用分流监听,使安全审计能够监听到所有用户通过路由设备与数据库进行通讯的操作,并把数据库操作进行协议还原和分析,细致的数据库操作审计和用户审计,并有丰富的查询检索和报表功能,维护简单、具备专业审计功能,节约人力,减少维护费用。
五.总结
电力行业目前按照电监会的《电力二次系统安全防护总体方案》落实了对生产控制大区和管理信息大区的边界防护,通过隔离装置,很好地实现了电力诸多应用系统的安全分区,控制大区、管理大区、互联网之间的安全隔离。但是,管理信息大区里集中存储着各应用的大量数据库信息,同时电力系统处于边建设且边使用的阶段,第三方程序开发人员、运维人员、拥有DBA权限的用户具有对这些数据的全部访问权限,而安全管理员并不清楚他们对数据库的访问操作,这样就对数据库中敏感数据泄露和篡改带来风险。本方案基于安华金和的数据库安全系列产品提出了数据库全方位防护、主动防御的安全加固方案,本方案中采用的数据库安全技术将突破传统安全产品的缺陷,实现数据的全面安全防护,从根源上彻底解决了敏感信息的防控问题。
