全链路管控 多手段防数据泄漏 | H电力公司的数据保护创新之路 二维码
发表时间:2021-06-21 10:04 传统安全防护手段无法跨越的鸿沟 敏感数据管理不足 随着H电力公司信息化建设的持续推进,营销、人资、财务、资产、协同、综合等核心系统中存储着大量的业务往来、用户隐私等重要敏感数据。 风险行为监控不足 H电力公司信息化规模庞大、系统繁杂、人员众多,日常工作中发生越权访问、下载或篡改数据等违规操作行为难以及时发现和定位,往往对内部数据安全事件的预防和调查造成困扰。 数据库运维管控不足 H电力公司的网络复杂、业务特殊、数据库众多,在运维专区中,使用堡垒机来对运维人员进行管理,但这种管理方式在数据安全防护上存在一定问题:运维人员不按操作规范或既定方案进行数据库运维操作、非法导出敏感数据、数据库操作行为没有细粒度的审计记录等。 没有授权进不去 未经许可拿不走 数据泄漏赖不掉 数据脱敏 由于H电力公司数据错综复杂,各业务数据流转通道各不相同,按照数据的分级分类标准,在对数据进行共享时,应针对重要数据进行脱敏降级,确保数据接收方不会对数据内容进行二次扩散。 数据库安全管控 通过引入CloudQuery,对数据库的访问及其他操作行为进行细粒度防御、审计分析,从而全程监控、记录包括非法访问、数据库违规操作、数据批量导出或篡改在内等一系列风险行为,实现对所有数据访问行为进行审计记录,然后通过数据分析技术结合数据操作审计典型策略要求,对风险行为进行挖掘和预警,并可在安全事件发生后,做到准确、高效的溯源定责。 数据库运维与管理 在确保不影响正常开展运维工作的前提下,建立数据库运维操作的审批机制和技术措施。通过CloudQuery对所有涉及敏感数据的操作进行限制,强化对数据库运维操作的监管力度,及时阻断越权操作行为的发生,令运维工作实际操作与计划操作保持一致。 四大核心模块 解决电力行业棘手问题 数据处理中心:广泛的数据库支持,集中管控数据 CloudQuery支持绝大多数国内外主流数据库以及中间件,目前支持Oracle、SQLServer、MySQL、PostgreSQL、Redis、Hbase、达梦、RDS for MySQL等,未来将支持更多种类的数据库及中间件数据源。覆盖H电力公司目前使用的主要数据库数据源。同时,CloudQuery完美支持各数据库特性,契合操作人员日常数据操作习惯。 脱敏还会应用在以下场景:
用户管控中心:细粒度权限管控,越权访问需审批 针对可能存在的用户越权访问、非法导出等违规行为,CloudQuery从不同需求和不同维度进行细粒度权限控制:
审计中心:记录用户行为,风险操作可追踪 CloudQuery审计系统可跟踪用户在平台上的所有操作,覆盖数据库、流程、权限等方面的查询和变更。审计明细包含用户、连接、库、操作对象、动作、摘要、时间、结果、IP来源等,可按条件过滤,并支持Excel导出。 而通过应用探针或Cloud Query提供的审计驱动可对应用的数据操作进行审计分析。相对于面向人的操作审计,应用数据审计主要是站在数据库管理员和安全的视角,对应用的数据访问进行分析,找出违反审计规则的语句,每一个应用包含一个审计视图。主要包含:
同时应用审计会基于SQL模式进行数据分析,支持以下维度的分析
数据库监控中心: CloudQuery可以提供一个集中监控平台,连接管理员可以看到自己管纳连接的数据库负载情况,针对每一种数据源会有不同的监控指标,方便更直观的排查与定位问题。 CloudQuery的应用价值 没有授权进不去 基于细粒度的权限管控体系,CloudQuery通过「用户-角色-权限」,在快速授权的同时精准控制每个用户的访问及操作权限,规避了H电力公司原先可能面临的越权访问、下载或篡改数据等违规操作行为。 未经许可拿不走 CloudQuery以独创的「查导分离」作为数据防泄漏的最后一道防线,将导出动作单独形成一种权限类型,与查询动作分离开来。即使H电力公司内部人员恶意获取数据也无法将数据落地至PC电脑,更别提在企业内部甚至外部进行流通。 数据泄露赖不掉 CloudQuery作为企业内部的第四道安全防护门。对平台内部众多操作进行埋点,保证H电力公司的用户每一个动作都可追踪、可溯源。一旦有用户执行恶意语句或误操作可以及时定位到问题用户及用户PC IP。同时,CloudQuery辅助以告警模块,从不同风控视角来监测当前平台内用户的操作风险性,可以让H电力公司在发生数据泄漏时间后快速、精准定位到责任人,及时还原丢失数据。 |