电网数据安全案例

一、背景概述

1、需求分析

电网目前的系统现状如下：

（1）主要分生产环境和测试环境（地市）两个机房，两个机房物理隔离，但目前存在某些跳板机制，从测试环境机房，可以拿到存在堡垒机的一些信息，达到获取数据的目的，是一个不可忽视的安全隐患。

（2）数据库目前将近300多套，以Oracle（其中大部分版本为11.0.2.0.4，小部分为12C）为主，有少量SQL Server，DB2，MySQL，还有4套达梦数据库（其中两套用于生产环境）。

（3）服务器大约有200台，其中以Linux、X86居多，重要的应用服务器AIX（小型机）为主，约50-60台，主要跑企业级的应用，如生产、营销、人力资源、资产等6+1全省集中的业务系统。

二、总体设计

针对电网的安全需求，为了保证电网信息系统的数据安全，中安威士构建数据安全防护平台，通过可视、可控、存储安全的方式达到数据的安全防护。

1、数据可视化：无论是生产环境、测试环境，还是通过堡垒机访问数据库，都可以实时记录数据库的访问情况及风险状况，及时发现数据的异常活动状况和风险，并进行告警；还能针对各种异常活动提供事后追查的机制。

2、数据可控化：对敏感数据进行脱敏处理，确保运维及开发、测试人员只能看到模糊化后的数据，防止真实数据的外泄及损坏。

3、数据存储安全：针对存储大量重要数据的数据库，需要有选择地将敏感内容进行加密存储