電力行業(yè)按電監(jiān)會二次系統(tǒng)安全防護(hù)總體方案實(shí)現(xiàn)了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”，有效地保證了確保電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，防止了由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故，及二次系統(tǒng)的崩潰或癱瘓。通過內(nèi)外網(wǎng)隔離方案，特別是數(shù)據(jù)庫正反向隔離裝置有效地保障了電力系統(tǒng)避免受到Internet的攻擊。

但在整體的安全方案中，對于電力系統(tǒng)敏感信息的防泄露，電力業(yè)務(wù)數(shù)據(jù)的防篡改工作始終沒有作為工作重點(diǎn);在管理信息管理信息大區(qū)在數(shù)據(jù)庫集中存儲各應(yīng)用的大量敏感信息和與電力用戶利益密切相關(guān)的經(jīng)營數(shù)據(jù)，在管理大區(qū)中存在著大量的維護(hù)人員和外包工作人員，這樣對電力經(jīng)營數(shù)據(jù)的泄露和篡改造成極大風(fēng)險(xiǎn)，間接對電力生產(chǎn)系統(tǒng)的安全運(yùn)轉(zhuǎn)造成威脅。

等級保護(hù)對數(shù)據(jù)庫安全建設(shè)的總體目標(biāo)，一是要保證核心數(shù)據(jù)庫自身的安全性，確保數(shù)據(jù)庫不會受到攻擊造成業(yè)務(wù)系統(tǒng)的癱瘓;二是在數(shù)據(jù)庫使用過程中及時(shí)發(fā)現(xiàn)安全問題，防患于未然，按修復(fù)建議進(jìn)行安全加固;三是要求保證數(shù)據(jù)的保密性和完整性，對核心數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行有效的安全防護(hù)，確保關(guān)鍵數(shù)據(jù)不泄密，不被違規(guī)篡改。

本方案通過對電力行業(yè)敏感信息泄露安全威脅的分析，對數(shù)據(jù)庫安全進(jìn)行整體設(shè)計(jì)與規(guī)劃，通過全系列數(shù)據(jù)庫安全產(chǎn)品相互之間分工協(xié)作，共同形成整體的防護(hù)體系，覆蓋了數(shù)據(jù)庫安全防護(hù)的事前診斷、事中控制和事后分析。

一. 現(xiàn)有的電力安全體系架構(gòu)

現(xiàn)有的電力安全防護(hù)體系主要包括三個(gè)方面：

A、 分區(qū)隔離、網(wǎng)絡(luò)專用

根據(jù)對電網(wǎng)運(yùn)轉(zhuǎn)正常性的要求，將電網(wǎng)劃分為不同級別的系統(tǒng)，分成四個(gè)大區(qū)，四個(gè)大區(qū)之間實(shí)現(xiàn)隔離。采用這種機(jī)制的主要目的是保障系統(tǒng)的可靠性和穩(wěn)定性，防止低級別的，對系統(tǒng)有攻擊性、危害性的代碼和程序流入更高安全級別的系統(tǒng)。B、內(nèi)外網(wǎng)隔離

管理信息大區(qū)與互聯(lián)網(wǎng)采用單向隔離裝置和數(shù)據(jù)庫隔離裝置實(shí)現(xiàn)內(nèi)外網(wǎng)隔離;將所有的數(shù)據(jù)庫布置在內(nèi)網(wǎng)中，所有需要提供互聯(lián)網(wǎng)訪問的Web應(yīng)用系統(tǒng)放在外網(wǎng)，通過數(shù)據(jù)庫隔離裝置保障只有數(shù)據(jù)庫通訊協(xié)議能夠通過隔離裝置訪問到內(nèi)網(wǎng)的數(shù)據(jù)庫;隔離裝置通過對數(shù)據(jù)庫協(xié)議的解析和控制，實(shí)現(xiàn)外部系統(tǒng)對數(shù)據(jù)庫的攻擊行為的防護(hù)。

C、實(shí)現(xiàn)等級保護(hù)安全改造

電力系統(tǒng)的核心生產(chǎn)系統(tǒng)和控制系統(tǒng)基本屬于等保2級系統(tǒng)，EMS系統(tǒng)和SCADA系統(tǒng)達(dá)到4級，部分經(jīng)營管理系統(tǒng)達(dá)到3級，其余系統(tǒng)均在2級以上。

二. 現(xiàn)有系統(tǒng)存在嚴(yán)重的敏感信息泄漏和篡改風(fēng)險(xiǎn)

現(xiàn)有的電力系統(tǒng)二次安全防護(hù)方案很好地隔離了外網(wǎng)、管理信息大區(qū)、生產(chǎn)控制大區(qū)之間的非法訪問。但在管理信息大區(qū)中，積累了大量的電力敏感數(shù)據(jù)，例如財(cái)務(wù)數(shù)據(jù)、營銷數(shù)據(jù)、人資數(shù)據(jù)、市場信息、生產(chǎn)管理信息等，這些來自于不同的應(yīng)用系統(tǒng)的數(shù)據(jù)集中存儲在數(shù)據(jù)庫中。內(nèi)部人員、第三方運(yùn)維人員、Oracle數(shù)據(jù)庫系統(tǒng)的DBA、新模塊的程序開發(fā)人員對數(shù)據(jù)庫中的數(shù)據(jù)都需要頻繁地訪問，諸多的人群和過高的權(quán)限造成電力敏感數(shù)據(jù)集中泄露的風(fēng)險(xiǎn)，經(jīng)營方面的數(shù)據(jù)也有被異常篡改的風(fēng)險(xiǎn)。

三. 符合等保要求的數(shù)據(jù)庫安全防護(hù)思路

電力中的敏感數(shù)據(jù)主要存儲在數(shù)據(jù)庫中，對于數(shù)據(jù)庫的安全防護(hù)措施屬于當(dāng)前安全體系的薄弱環(huán)節(jié)，對應(yīng)等保安全要求的數(shù)據(jù)庫防護(hù)思路如下表：

四. 數(shù)據(jù)庫安全整體規(guī)劃

本方案通過對電力行業(yè)敏感信息泄露安全威脅的分析，對數(shù)據(jù)庫安全進(jìn)行整體設(shè)計(jì)與規(guī)劃，通過全系列數(shù)據(jù)庫安全產(chǎn)品相互之間分工協(xié)作，共同形成整體的防護(hù)體系，覆蓋了數(shù)據(jù)庫安全防護(hù)的事前診斷、事中控制和事后分析。

數(shù)據(jù)庫安全防護(hù)

事前診斷：通過數(shù)據(jù)庫漏掃產(chǎn)品，有效檢測數(shù)據(jù)庫已知漏洞，并有效修復(fù)。

電力行業(yè)主要的數(shù)據(jù)庫類型是Oracle，在重要的應(yīng)用系統(tǒng)也采用了國產(chǎn)數(shù)據(jù)庫達(dá)夢和金倉。在某些網(wǎng)省公司存在大量軟件開發(fā)和運(yùn)維人員留下的數(shù)據(jù)庫賬戶，由于數(shù)據(jù)庫內(nèi)的口令是加密存儲，這些賬戶是否存在弱口也令無從得知，尤其是國產(chǎn)數(shù)據(jù)庫弱口令掃描目前僅有安華金和的數(shù)據(jù)庫漏掃能支持。本方案規(guī)劃使用能支持國產(chǎn)數(shù)據(jù)庫安全檢測的數(shù)據(jù)庫漏洞掃描系統(tǒng)，對當(dāng)前系統(tǒng)中重要數(shù)據(jù)庫進(jìn)行全面的安全漏洞檢測，有效暴露當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題，同時(shí)提出漏洞修復(fù)的建議，從而提升數(shù)據(jù)庫系統(tǒng)整體的安全性。

通過數(shù)據(jù)庫漏掃定期進(jìn)行數(shù)據(jù)庫安全檢查，防患于未然，對數(shù)據(jù)庫安全風(fēng)險(xiǎn)進(jìn)行綜合評估，對管理域中數(shù)據(jù)庫的安全現(xiàn)狀進(jìn)行全面檢測。安全漏洞項(xiàng)包括：弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補(bǔ)丁升級等，評估是否存在安全漏洞并提供修復(fù)建議，為系統(tǒng)的安全配置提升提供有效的參考。

事中控制：通過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫加密解決。

目前電力行業(yè)已有一些系統(tǒng)如ERP是要通過互聯(lián)網(wǎng)為公眾開放的，數(shù)據(jù)庫如果放在內(nèi)網(wǎng)，會影響數(shù)據(jù)庫的正常訪問。但是放在外網(wǎng)，就有黑客以應(yīng)用服務(wù)器為跳板，進(jìn)行對數(shù)據(jù)庫服務(wù)器攻擊的風(fēng)險(xiǎn)。電力行業(yè)用于互聯(lián)網(wǎng)安全防護(hù)的邏輯強(qiáng)隔離裝置和數(shù)據(jù)庫隔離裝置在Oracle數(shù)據(jù)庫的OCI連接訪問語句識別方面有欠缺，雖然電力行業(yè)有要求各應(yīng)用系統(tǒng)的數(shù)據(jù)庫訪問轉(zhuǎn)為E語言后再通過隔離裝置，但是復(fù)雜的應(yīng)用系統(tǒng)很難實(shí)現(xiàn)把數(shù)據(jù)庫訪問實(shí)現(xiàn)E語言的轉(zhuǎn)換，同時(shí)關(guān)系型數(shù)據(jù)庫的事務(wù)機(jī)制(ACID)是無法通過E語言實(shí)現(xiàn)的。

數(shù)據(jù)庫防火墻-從訪問源頭來保護(hù)數(shù)據(jù)，監(jiān)測數(shù)據(jù)庫的訪問，防止未授權(quán)的訪問、SQL Injection、權(quán)限或角色的非法提升以及對敏感數(shù)據(jù)的非法訪問。高度精準(zhǔn)的基于SQL語法的分析，避免誤判;基于黑、白名單的靈活的SQL級策略設(shè)置;支持Bypass和Proxy及混合部署模式，支持高可用，最大限度的適應(yīng)企業(yè)需求;虛擬補(bǔ)丁技術(shù)避免數(shù)據(jù)庫因?yàn)椴荒苓M(jìn)行補(bǔ)丁升級而造成的惡意訪問。

等保三級以上的核心系統(tǒng)可以通過在數(shù)據(jù)庫中加密存儲敏感信息防止被解析為明文，通過獨(dú)立于數(shù)據(jù)庫的權(quán)控體系和引入安全管理員、審計(jì)管理員實(shí)現(xiàn)三權(quán)分立的安全管理手段，防止DBA、第三方外包人員和程序開發(fā)人員越權(quán)訪問敏感信息，結(jié)合動態(tài)口令卡和SQL級API與應(yīng)用系統(tǒng)進(jìn)行綁定解決繞過應(yīng)用程序非法訪問數(shù)據(jù)庫的問題。

事后分析：通過數(shù)據(jù)庫審計(jì)技術(shù)解決。

電力行業(yè)很多和業(yè)務(wù)相關(guān)的操作如營銷和計(jì)量數(shù)據(jù)的修改、批量客戶信息和人資及生產(chǎn)數(shù)據(jù)的查詢，這些操作都需要關(guān)聯(lián)到具體業(yè)務(wù)人員進(jìn)行數(shù)據(jù)庫操作審計(jì)，以便在出現(xiàn)安全事件的時(shí)候可以有效的追責(zé)定責(zé)。

數(shù)據(jù)庫審計(jì)通過在核心路由設(shè)備上設(shè)置端口鏡像或采用分流監(jiān)聽，使安全審計(jì)能夠監(jiān)聽到所有用戶通過路由設(shè)備與數(shù)據(jù)庫進(jìn)行通訊的操作，并把數(shù)據(jù)庫操作進(jìn)行協(xié)議還原和分析，細(xì)致的數(shù)據(jù)庫操作審計(jì)和用戶審計(jì)，并有豐富的查詢檢索和報(bào)表功能，維護(hù)簡單、具備專業(yè)審計(jì)功能，節(jié)約人力，減少維護(hù)費(fèi)用。

五. 總結(jié)

電力行業(yè)目前按照電監(jiān)會的《電力二次系統(tǒng)安全防護(hù)總體方案》落實(shí)了對生產(chǎn)控制大區(qū)和管理信息大區(qū)的邊界防護(hù)，通過隔離裝置，很好地實(shí)現(xiàn)了電力諸多應(yīng)用系統(tǒng)的安全分區(qū)，控制大區(qū)、管理大區(qū)、互聯(lián)網(wǎng)之間的安全隔離。但是，管理信息大區(qū)里集中存儲著各應(yīng)用的大量數(shù)據(jù)庫信息，同時(shí)電力系統(tǒng)處于邊建設(shè)且邊使用的階段，第三方程序開發(fā)人員、運(yùn)維人員、擁有DBA權(quán)限的用戶具有對這些數(shù)據(jù)的全部訪問權(quán)限，而安全管理員并不清楚他們對數(shù)據(jù)庫的訪問操作，這樣就對數(shù)據(jù)庫中敏感數(shù)據(jù)泄露和篡改帶來風(fēng)險(xiǎn)。本方案基于安華金和的數(shù)據(jù)庫安全系列產(chǎn)品提出了數(shù)據(jù)庫全方位防護(hù)、主動防御的安全加固方案，本方案中采用的數(shù)據(jù)庫安全技術(shù)將突破傳統(tǒng)安全產(chǎn)品的缺陷，實(shí)現(xiàn)數(shù)據(jù)的全面安全防護(hù)，從根源上徹底解決了敏感信息的防控問題。