一、概述
近年来,在烟草行业运营与生产管理活动中,信息化工具发挥着日益重要的作用,烟草企业逐步搭建起较为完善的网络架构与内部信息系统环境,并成为提升自身核心竞争力的基础。与此同时,各类信息安全问题不断突显,对烟草行业数据的价值挖掘、利用及其安全防护至关重要。
二、治理需求
伴随国家烟草专卖局(中国烟草总公司)先后发布《烟草行业等级保护基本要求》、《烟草行业移动应用安全规范》、《烟草行业网络安全基线管理技术规范》、《烟草行业网络与信息安全检查自查指南》、《烟草工业企业生产网与管理网网络互联安全规范》、《烟草行业工业控制系统网络安全基线技术规范》等一系列行业指南、规范和要求,为烟草企业有序开展信息安全建设工作提供指引。此外,通过对各地方局一年一度的全面信息安全检查和专项信息安全检查,将“以查促建、以查促管、以查促改、以查促防” 落到实处,持续提升烟草行业整体信息化建设水平与数据安全防护能力。
在此背景下,A市烟草专卖局根据国家要求制定《A市烟草专卖局(公司)数据管理办法》,其中第十条规定:除数据库管理员外,其他任何人不得接触数据库;不得擅自向其他单位或个人提供任何数据,不得擅自复制数据;需要对能接触到数据库的管理及运维人员进行操作记录及管控。然而,从A市烟草专卖局现有的网络环境及配置来看,难以满足《办法》中提出的相关要求。
三、痛点分析
1、运维人员管理混乱
A市烟草专卖局各业务系统由第三方公司负责日常运维服务,驻场人员与市局信息中心签订保密协议后,可获得对各自负责系统“增删改查”等操作的数据库最高权限。运维侧堡垒机仅能实现身份校验和审计录像功能,无法对运维人员的违规或高危操作进行及时拦截,且存在多个运维人员共用一个堡垒机账号等问题。
2、管理规定落实困难
A市烟草专卖局自身数据管理规定要求“运维人员每次对数据库中数据进行修改都要获得并留存业务主管部门审批的纸质单据”,但因运维人员拥有其数据库的最高权限,仅凭规定流程难以有效约束相关人员的实际行为。如此一来,业务人员有可能违反数据管理规定,在未经申报审批的情况下私自联系系统运维人员,直接在数据库中对业务系统数据进行修改。
3、数据资产信息不全
A市烟草专卖局各业务系统多由第三方公司承建并负责后续运维服务,数据库也由对应提供商分别运维,且在开发测试及日常运维过程还存在其他中间库、测试库。与此同时,市局信息中心仅掌握各生产库的相关信息,无法确定是否存在其他测试库或未知的僵尸库,从而对日常数据安全管理工作造成困难。
4、敏感数据分布不明
A市烟草专卖局各业务系统多由第三方公司承建并负责后续运维服务,市局信息中心难以准确掌握各类数据的具体存储字段位置,而各外包运维公司又不明确其中哪些属于敏感数据,从而直接导致前者无法针对敏感数据进行有效梳理、管控及安全防护。
5、敏感数据分类困难
烟草企业各业务系统中存在大量敏感信息,包括:职工个人信息、薪资信息、账户账号信息、卷烟库存及采销信息、零售户信息、往来单位信息等。国家烟草专卖局要求各省、地市、县烟草专卖局推进数据分类分级工作,但相关的执行标准和实施参考尚不全面。A市烟草专卖局十分关注数据资产梳理、敏感数据保护、数据流向监控、风险操作识别等工作,但主要依托管理员自身经验进行分析和判断,导致数据分类分级工作难以精准、高效开展。
四、建设思路
方案设计侧重解决A市烟草专卖局的数据资产梳理、敏感数据分类分级和运维区安全管控相关需求,安华金和结合市局现有信息系统部署的实际情况,在运维区与数据库服务器之间通过代理方式部署数据库运维安全系统(DOSS);同时,在旁路部署数据库安全评估(DSAS)系统,建设思路如下:
1、加强运维人员管理,落实数据管理规定
依照《A市烟草专卖局(公司)数据管理办法》相关要求制定运维人员行为准则及数据修改审批流程。运维人员通过安华金和数据库运维安全系统(DOSS)访问、操作数据库,涉及越权操作必须经过指定负责人审批后方可执行,从而有效避免出现高危操作或未经审批的越权操作行为。
2、全面梳理数据资产,准确发现敏感数据
动静结合——通过“端口扫描+数据扫描”探测、定位数据资产;通过“动态流量+访问协议解析”发现、识别数据库及敏感数据;通过“资产标识+数据标签”对数据资产进行有效管理;通过对数据库、敏感对象、访问源、访问行为等进行分析,对数据流向抽象绘图;通过动态流量信息,验证访问情况是否与静态标识信息相符。
3、建立数据分级标准,辅助数据分类分级
根据自身业务特点,对产生、采集、加工、使用的数据进行分类管理;同时,以数据分类为基础,采用规范、明确的方法,区分数据的重要性和敏感度差异,以实现分对数据的级管理。
4、解决方案
1、数据库运维安全系统(DOSS)
在交换机上部署DOSS,配置为代理模式;配合用户将运维区登录方式修改为代理模式;过渡期后,阻断运维区直连数据库的网络路径,确保以代理方式进行访问的唯一性。
(1)规则策略
提供语句操作规则,通过配置访问来源、操作对象、执行结果、条件限制、时间等元素,生成针对数据库的操作规则,从而定义合法操作和非法操作。
(2)操作审批
运维人员对数据库的高危操作、重要操作和涉敏操作须经审批后才可执行,并在执行过程中持续管控其实际行为与审批操作的一致性。
(3)行为审计
审计所有通过DOSS操作数据库的行为,同时对运维操作的申请及审批信息进行准确审计。
2、数据库安全评估系统(DSAS)
在交换机上旁路部署安华金和DSAS(含动态梳理);通过“静态端口扫描+动态流量分析”对数据库资产及敏感数据进行发现和定位;同时,协助客户建立行之有效的数据分类分级标准。
(1)数据库自动嗅探
系统可指定IP段和端口范围进行搜索,或自动搜索网内数据库;同时,系统支持动态发现数据库的能力——通过自动抓取访问数据库的流量包,并对流量包信息进行解析。可自动发现数据库的基本信息包括:端口号、数据库类型、数据库实例名、数据库服务器IP地址等。
(2)自动识别敏感数据
按照用户指定的一部分敏感数据或预定义的敏感数据特征,在执行任务过程中对抽取的数据进行自动识别,发现敏感数据,并根据规则导出敏感数据清单;通过解析旁路链路的动态流量包获取访问对象信息,根据用户指定的一部分敏感数据或预定义的敏感数据特征对访问对象自动识别,从而实现对敏感数据分布的动态发现;通过自动识别敏感数据,可避免按照字段定义敏感数据元的繁琐工作,并持续发现新的敏感数据。
(3)资产使用分析
对访问数据库及敏感数据的数据库用户、应用信息、主机信息、客户端IP地址等访问源进行统计分析,并根据分析结果绘制数据库的日常访问拓扑图;对数据库及敏感数据使用情况进行持续监控,协助用户动态梳理自身敏感数据被哪些人、哪些业务系统,通过何种途径、在什么时间所访问,汇总动态梳理结果并形成敏感数据流向图;对访问数据库、访问敏感数据的操作类型,如:SELECT、DML、DCL、DDL等进行统计分析;对访问数据库、访问敏感数据的日常访问流量和频次进行统计分析并绘制热度分析统计图;针对各业务系统中被访问频次低或无任何访问的数据库、对象(表、视图、存储过程、函数)等资产按周期进行统计。
(4)数据分类分级
自动发现系统资产中的各类型数据,自动厘清各数据之间的关系;依据烟草行业业务特点对产生、采集、加工、使用的数据进行分类管理;以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异进行分级管理;帮助用户制定数据分类分级办法,为烟草行业提供数据分类分级防护安全指导思路,并在全行业进行复制、推广。
应用效果
通过上述方案的实施,显著加强了A市烟草专卖局的运维安全管理能力,实现了其对自身数据资产的准确发现和记录,进一步明确了敏感数据的位置分布与分类分级,具体应用效果如下:
1、满足了《网络安全法》《数据安全法》及等保2.0中对数据安全的相关要求;
2、规范了运维人员的操作流程,确保每一次运维操作都有记录留存,确保每一次越权操作都有对应的审批记录留存;
3、动静结合,帮助客户对自身全部数据资产进行准确定位并登记造册;
4、帮助客户从多个复杂的业务系统数据库中准确定位敏感数据的存储情况与位置分布;
5、协助客户完成烟草行业数据分类分级标准,并制定了对应的分类分级规则。通过分类分级,可有针对性地采取适当、合理的管理与安全防护措施,形成一套科学、规范的数据资产管理与保护机制。