【安華金和】煙草行業數據安全治理解決方案

您當前的位置 : 首頁 > 技術博客 > 數據安全

內容中心

按關鍵字查找

一、概述

近年來，在煙草行業運營與生產管理活動中，信息化工具發揮著日益重要的作用，煙草企業逐步搭建起較為完善的網絡架構與內部信息系統環境，并成為提升自身核心競爭力的基礎。與此同時，各類信息安全問題不斷突顯，對煙草行業數據的價值挖掘、利用及其安全防護至關重要。

二、治理需求

伴隨國家煙草專賣局（中國煙草總公司）先后發布《煙草行業等級保護基本要求》、《煙草行業移動應用安全規范》、《煙草行業網絡安全基線管理技術規范》、《煙草行業網絡與信息安全檢查自查指南》、《煙草工業企業生產網與管理網網絡互聯安全規范》、《煙草行業工業控制系統網絡安全基線技術規范》等一系列行業指南、規范和要求，為煙草企業有序開展信息安全建設工作提供指引。此外，通過對各地方局一年一度的全面信息安全檢查和專項信息安全檢查，將“以查促建、以查促管、以查促改、以查促防” 落到實處，持續提升煙草行業整體信息化建設水平與數據安全防護能力。

在此背景下，A市煙草專賣局根據國家要求制定《A市煙草專賣局（公司）數據管理辦法》，其中第十條規定：除數據庫管理員外，其他任何人不得接觸數據庫；不得擅自向其他單位或個人提供任何數據，不得擅自復制數據；需要對能接觸到數據庫的管理及運維人員進行操作記錄及管控。然而，從A市煙草專賣局現有的網絡環境及配置來看，難以滿足《辦法》中提出的相關要求。

三、痛點分析

1、運維人員管理混亂

A市煙草專賣局各業務系統由第三方公司負責日常運維服務，駐場人員與市局信息中心簽訂保密協議后，可獲得對各自負責系統“增刪改查”等操作的數據庫最高權限。運維側堡壘機僅能實現身份校驗和審計錄像功能，無法對運維人員的違規或高危操作進行及時攔截，且存在多個運維人員共用一個堡壘機賬號等問題。

2、管理規定落實困難

A市煙草專賣局自身數據管理規定要求“運維人員每次對數據庫中數據進行修改都要獲得并留存業務主管部門審批的紙質單據”，但因運維人員擁有其數據庫的最高權限，僅憑規定流程難以有效約束相關人員的實際行為。如此一來，業務人員有可能違反數據管理規定，在未經申報審批的情況下私自聯系系統運維人員，直接在數據庫中對業務系統數據進行修改。

3、數據資產信息不全

A市煙草專賣局各業務系統多由第三方公司承建并負責后續運維服務，數據庫也由對應提供商分別運維，且在開發測試及日常運維過程還存在其他中間庫、測試庫。與此同時，市局信息中心僅掌握各生產庫的相關信息，無法確定是否存在其他測試庫或未知的僵尸庫，從而對日常數據安全管理工作造成困難。

4、敏感數據分布不明

A市煙草專賣局各業務系統多由第三方公司承建并負責后續運維服務，市局信息中心難以準確掌握各類數據的具體存儲字段位置，而各外包運維公司又不明確其中哪些屬于敏感數據，從而直接導致前者無法針對敏感數據進行有效梳理、管控及安全防護。

5、敏感數據分類困難

煙草企業各業務系統中存在大量敏感信息，包括：職工個人信息、薪資信息、賬戶賬號信息、卷煙庫存及采銷信息、零售戶信息、往來單位信息等。國家煙草專賣局要求各省、地市、縣煙草專賣局推進數據分類分級工作，但相關的執行標準和實施參考尚不全面。A市煙草專賣局十分關注數據資產梳理、敏感數據保護、數據流向監控、風險操作識別等工作，但主要依托管理員自身經驗進行分析和判斷，導致數據分類分級工作難以精準、高效開展。

四、建設思路

方案設計側重解決A市煙草專賣局的數據資產梳理、敏感數據分類分級和運維區安全管控相關需求，安華金和結合市局現有信息系統部署的實際情況，在運維區與數據庫服務器之間通過代理方式部署數據庫運維安全系統（DOSS）；同時，在旁路部署數據庫安全評估（DSAS）系統，建設思路如下：

1、加強運維人員管理，落實數據管理規定

依照《A市煙草專賣局（公司）數據管理辦法》相關要求制定運維人員行為準則及數據修改審批流程。運維人員通過安華金和數據庫運維安全系統（DOSS）訪問、操作數據庫，涉及越權操作必須經過指定負責人審批后方可執行，從而有效避免出現高危操作或未經審批的越權操作行為。

2、全面梳理數據資產，準確發現敏感數據

動靜結合——通過“端口掃描+數據掃描”探測、定位數據資產；通過“動態流量+訪問協議解析”發現、識別數據庫及敏感數據；通過“資產標識+數據標簽”對數據資產進行有效管理；通過對數據庫、敏感對象、訪問源、訪問行為等進行分析，對數據流向抽象繪圖；通過動態流量信息，驗證訪問情況是否與靜態標識信息相符。

3、建立數據分級標準，輔助數據分類分級

根據自身業務特點，對產生、采集、加工、使用的數據進行分類管理；同時，以數據分類為基礎，采用規范、明確的方法，區分數據的重要性和敏感度差異，以實現分對數據的級管理。

4、解決方案

1、數據庫運維安全系統（DOSS）

在交換機上部署DOSS，配置為代理模式；配合用戶將運維區登錄方式修改為代理模式；過渡期后，阻斷運維區直連數據庫的網絡路徑，確保以代理方式進行訪問的唯一性。

（1）規則策略

提供語句操作規則，通過配置訪問來源、操作對象、執行結果、條件限制、時間等元素，生成針對數據庫的操作規則，從而定義合法操作和非法操作。

（2）操作審批

運維人員對數據庫的高危操作、重要操作和涉敏操作須經審批后才可執行，并在執行過程中持續管控其實際行為與審批操作的一致性。

（3）行為審計

審計所有通過DOSS操作數據庫的行為，同時對運維操作的申請及審批信息進行準確審計。

2、數據庫安全評估系統（DSAS）

在交換機上旁路部署安華金和DSAS（含動態梳理）；通過“靜態端口掃描+動態流量分析”對數據庫資產及敏感數據進行發現和定位；同時，協助客戶建立行之有效的數據分類分級標準。

（1）數據庫自動嗅探

系統可指定IP段和端口范圍進行搜索，或自動搜索網內數據庫；同時，系統支持動態發現數據庫的能力——通過自動抓取訪問數據庫的流量包，并對流量包信息進行解析?？勺詣影l現數據庫的基本信息包括：端口號、數據庫類型、數據庫實例名、數據庫服務器IP地址等。

（2）自動識別敏感數據

按照用戶指定的一部分敏感數據或預定義的敏感數據特征，在執行任務過程中對抽取的數據進行自動識別，發現敏感數據，并根據規則導出敏感數據清單；通過解析旁路鏈路的動態流量包獲取訪問對象信息，根據用戶指定的一部分敏感數據或預定義的敏感數據特征對訪問對象自動識別，從而實現對敏感數據分布的動態發現；通過自動識別敏感數據，可避免按照字段定義敏感數據元的繁瑣工作，并持續發現新的敏感數據。

（3）資產使用分析

對訪問數據庫及敏感數據的數據庫用戶、應用信息、主機信息、客戶端IP地址等訪問源進行統計分析，并根據分析結果繪制數據庫的日常訪問拓撲圖；對數據庫及敏感數據使用情況進行持續監控，協助用戶動態梳理自身敏感數據被哪些人、哪些業務系統，通過何種途徑、在什么時間所訪問，匯總動態梳理結果并形成敏感數據流向圖；對訪問數據庫、訪問敏感數據的操作類型，如：SELECT、DML、DCL、DDL等進行統計分析；對訪問數據庫、訪問敏感數據的日常訪問流量和頻次進行統計分析并繪制熱度分析統計圖；針對各業務系統中被訪問頻次低或無任何訪問的數據庫、對象（表、視圖、存儲過程、函數）等資產按周期進行統計。

（4）數據分類分級

自動發現系統資產中的各類型數據，自動厘清各數據之間的關系；依據煙草行業業務特點對產生、采集、加工、使用的數據進行分類管理；以數據分類為基礎，采用規范、明確的方法區分數據的重要性和敏感度差異進行分級管理；幫助用戶制定數據分類分級辦法，為煙草行業提供數據分類分級防護安全指導思路，并在全行業進行復制、推廣。