基于安全分区技术的数据安全防护策略及实现

朱 兵，王旭东，叶水勇，陈清萍，蔡 翔，王 萍，胡 聪

（1.国网黄山供电公司，安徽 黄山 24500；2.国网安徽信通公司，安徽 合肥 230061；3.国网安徽省电力有限公司，安徽 合肥 230022）

0 引言

大数据已经成为国家战略，工信部印发《信息化和工业化融合发展规划（2016-2020）》明确大数据对于国民经济的重要性，指明了大数据的发展方向。国网公司信息化建设方兴未艾，同时伴随灾备数据中心、云计算、大数据、移动办公和智能设备等数字化智能化建设的持续升温，信息安全正面临新的挑战［1］。一方面电力信息系统被攻击面在不断扩大，边界亦越来越模糊； 另一方面威胁和攻击也在不断向持续化、复杂化、组织化甚至政治化方向发展。信息安全也并不是一个纯粹的技术问题，客观的说防御者总是落后于攻击者变化莫测的手段，面对此种形式，唯有保持谨慎和尽职才不至于成为最大的受害者。

1 日常运维过程中数据安全风险分析

1.1 日常巡检过程中风险

目前运维人员在执行数据巡检或运维时，通过本地终端访问运维审计系统，根据运维审计系统中的资源访问权限去访问相应资源，进行相关数据的运维操作［2-3］。对于一些特殊设备，存在通过客户端工具直接访问的现象，在该过程中，由于运维人员可对数据库中的数据进行查询及导出操作，并能对数据进行查看、甚至导出到本地终端，相应数据没有采用安全措施进行保护，存在数据被导出后进行非法利用的风险。

1.2 系统检修升级过程中的风险

数据管理人员拥有的是DBA 管理员账号，但业务系统的数据是属于业务单位而不是运维部门。从职责分离的原则上，只允许运维人员访问业务生产数据库，但不能让其看到真实的数据。以员工的工资表为例，当数据库的维护人员使用高权限账号查询这类敏感表时，敏感信息一览无余，甚至存在被拖库的风险［4］。

1.3 系统实施与上线和测试过程中的风险

即使实施人员在根据工作票，通过运维审计系统进行数据操作，并做了全程记录，但只能解决事后的追查问题。而运维人员在运维操作过程中是否执行了与本次工作票中无关的行为，目前没有主动管控技术去制止这种风险操作的发生。

同时测试数据最终是需要在测试中使用，能真实体现原始数据特征，能更好地满足测试工作的需求［5］。为了保障系统上线的正常运行，在测试阶段，经常直接从生产系统中导出真实数据使用，加大了数据被泄漏的风险。

1.4 系统日常业务使用（数据维护）中的风险

目前操作人员的日常操作均被运维审计系统进行了记录，但是面临对于数据库运维操作并没有达到精确审计的目标，且留下的审计记录是以视频的方式呈现，进行事件查阅及检索时相对耗时耗力，无法便捷、精确定位，分析风险操作行为［6］。

业务人员在进行数据维护时，通常是以正常账号对系统内部数据进行访问操作，如人员的增删改查、运营数据的更新，如果更新的数据本身是错误的、或者由于业务人员自身的误操作，系统自身是无法识别的，大部分系统为了保障性能，日志记录功能也没有打开，在日后的追查中将无据可查。

2 数据安全防护应对措施

2.1 规范运维审批流程

在运维审计系统深化完善的基础上，提升数据运维管控能力，强化数据运维审批程序，完善数据导入导出规范，细化人员角色权限，提高运维审计系统的健壮性和高扩展性，为防止失泄密事件，用户敏感数据保护措施建设，监测预警奠定基础。

2.2 规范数据导入导出通道

在高保密性的环境中，通过运维审计系统中关闭数据传输功能，运维人员无法将数据直接拷入客户端本地，同时也无法将数据拷出到本地终端［7］。与此同时，在运维审计中开放数据上传功能，运维人员可通过运维审计系统将运维所需工具、脚本上传到数据库运维终端。并且，完成运维数据导出后，数据只能存储到指定的服务器存储空间。这样既保证了业务部门的数据交付，也杜绝了运维人员接触到导出数据的可能性。

2.3 规范运维操作

通过建立数据库运维管控平台，规范所有数据库运维操作行为。当涉及到重要数据的敏感操作时，将引入申请审批机制，必须经过审批处理后才可进行运维操作。并且在执行运维操作时将严格遵循工作票内容，当出现与工作票内容不一致的运维操作时，将对此运维操作行为进行阻止。

2.4 敏感数据遮盖屏蔽

在运维人员访问数据库进行查询操作时，通过脱敏技术确保其查询出的数据为经过脱敏后的数据，利用身份识别技术，对每一次运维人员访问数据库中敏感字段时进行脱敏处理，确保其查询展现的数据为非真实数据。但是，在其执行数据导出操作时，数据为原始真实数据［8］。

2.5 数据运维操作精确审计

通过数据库审计技术，对于数据库操作行为进行精确解析，利用机器分析技术，智能发现运维过程中的高危操作（如批量的数据查询行为、非授信终端的数据库访问行为、数据非法删除行为等）。在发生高危操作的同时，利用告警技术及时将风险行为通知到相关人员，从而扼制风险操作的发生以及定位事件。

3 运维专区建设思路及防护措施

3.1 建设思路

规范数据导入导出通道，保证业务部门的数据交付，采取“安全隔离”的技术路线，不改变原有的业务流程和操作习惯，追求安全性和便利性的最佳平衡点，易落地、易推广，同时杜绝运维人员接触到导出数据的可能性［9］。

规范运维操作，引入申请审批机制，规范所有数据库运维操作行为。通过建立标准化数据运维流程，精准化控制运维过程操作行为，将线下审批流程整合到线上审批，使得运维操作审批更便捷，运维操作更易被监管。从管理上解决申请操作与实际操作不一致性，技术上解决运维过程中的安全隐患。

细化对数据访问权限的控制，使得运维人员在可开展正常数据运维的同时，无法接触到真实的数据结果，让主动泄密风险化解到最低。同时加强对数据库操作行为的审计分析，时刻洞悉运维人员的各项操作，让管理者可实时了解运维人员的违规操作行为。为满足需求，给出几点建设思路。

3.1.1 数据库客户端不能运行在可控的远端

将数据库客户端运行在运维审计系统管控的虚拟化服务器上［10］。数据库客户端不能运行在运维人员操作机上，因为运维人员可以在数据库客户端上直接进行数据保存到本地的操作，如图1 所示。而且在这种模式下，不能在数据通道上对传输的数据进行加密、脱敏的处理，否则正常的数据库运维工作都无法开展。

图1 数据库客户端限制

3.1.2 运维操作机和应用虚拟化服务器之间不能传输文件和拷贝数据

为了保证数据不被运维人员拷走，应切断运维操作机和应用虚拟化服务器之间的文件传输、数据拷贝通道［11］。不然运维人员可以将数据库文件导出到虚拟化服务器上后再传到运维操作机上，具体如图2 所示。

3.1.3 关闭特定服务器的文件传输通道

为了避免运维人员在特定服务器 （如数据库服务器）上导出文件，通过文件传输功能将文件从服务器上拷到运维操作机，需要对特定服务器关闭文件传输功能。需要时再打开，具体如图3 所示。

图2 切断运维操作及和虚拟化服务器文件传输

图3 关闭特定服务器的文件传输

3.1.4 服务器之间网络访问策略精细化管理

目前服务器之间（如管理信息大区里的服务器之间）的网络访问策略设置较为粗犷，没有做到精细化的按需开放。为了避免运维人员在服务器之间做跳板访问、传输文件，再通过跳板服务器取走数据，需要对服务器之间的网络访问策略做精细化的管理，具体如图4 所示。

3.1.5 拥有对应数据获取权限的业务人员便于取得需要的数据

数据是供业务人员使用的，如果过度防御导致业务人员不方便获取，将阻碍或降低业务系统的使用效率，所以必须保证业务人员的正常使用［12］。在运维人员访问数据库进行查询操作时，通过脱敏技术确保其查询出的数据为经过脱敏后的数据，利用身份识别技术，对每一次运维人员访问数据库中敏感字段时进行脱敏处理，确保其查询展现的数据为非真实数据。但是，在其执行数据导出操作时，数据为原始真实数据，通过建立专属通道，保存到只有业务人员可以访问的服务器上。

图4 精细化管理服务期间网络访问策略

3.2 防护措施

3.2.1 安全摄像头监控

在运维专区安装安全摄像头对运维人员进行实时监控，集成机房监控系统，并做好监控设备的维护工作，不仅有效杜绝了运维人员用客户端直连数据库操作的行为，同时对机房操作也进行了有效的监控，以保障监控系统的长期、可靠、有效地运行。

3.2.2 采用人脸识别技术认证

在运维用户登录运维审计系统时，通过终端的摄像头进行人脸识别验证，有效杜绝了盗用他人身份进行运维的现象，保证了运维数据安全，运维工作正常开展。

3.2.3 加强管理登记

通过运维安全审计系统，对各个登记的运维任务开单独的工作票并赋予相应的权限，禁止没有登记的非法用户进行运维操作［13］。

3.2.4 操作终端严格控制USB 接口

由于任何移动介质的拷贝都有可能在局域网内造成病毒传播，因此需严格控制操作终端的USB 接口，禁止运维人员利用U 盘、移动硬盘等移动存储介质，在局域网内电脑终端上拷入非工作文件或拷出公司机密文件，这样才能防止信息泄密，同时保证网络与各应用系统的正常运行。

3.3 特殊情况下运维审计使用建议

特殊情况下运维审计系统应具备应急预案。

首先，做好监控与预防工作，部署一台热备机和一台冷备机，作为特殊情况下应急使用。运维人员每月对运维审计系统服务器的硬件设备巡检一次，并对服务器上的数据库数据和重要的运维记录数据做备份，及时发现服务器设备的硬件故障问题，以便采取相应的措施。

其次，做好应急预警工作。在发生机房安全事故或地质灾害时，就有可能对服务器产生影响，导致运维审计系统故障，这就需要及时启动应急预警备用服务器，做好应急运维工作。

通过对运维审计系统突发事件进行应急处理，能够正确、高效、快速处理运维审计系统当中所产生的一些事故和障碍。

3.4 场景案例

3.4.1 运维审计系统正常之日常运维办法

在此场景下，运维审计系统各项应用功能均正常，以运维审计系统为基础，结合I6000 系统和人脸识别模块，对运维入口形成有效把控，用户可以正常通过运维审计系统访问各项目组应用系统，并进行现相关运维操作。利用虚拟化技术实现对数据库运维工具的支撑，并集成了机房监控系统，不仅有效杜绝了运维人员用客户端直连数据库操作的行为，同时对机房操作也进行了有效的监控。通过采用图像识别技术，对视频文件进行精准的行为定位，实现了“事前审批、事中监控、事后审计”3 个阶段整体运维防护［14］。

目前需要对运维审计系统软件进行功能升级，实现对不同分区内设备实行不同等级的安全防护标准。通过“应用代理”技术，负责中转运维操作用户的操作，拒绝未授权机器接入操作，授权允许数据拷贝等操作。审核通过后的文件拷出等命令或操作放行。拷贝审计系统数据管理人员审核事件，辅助短信等手段进行通知或授权行为。通过新版运维审计系统进行运维，运维过程全程记录。

在新版运维审计系统的架构上增加一台运维数据文件服务器，用于存放运维导出文件，对运维数据文件进行集中管理，防止通过其他途径拷贝，具体如图5 所示。

使用运维审计系统的数据库客户端，禁止调用本地数据库客户端工具，切断运维终端和虚拟化服务器之间的传输数据通道，关闭特定服务器的文件传输通道，服务器之间网络访问策略做精细化管理，对拥有数据获取权限的业务人员开辟数据获取通道。

图5 日常运维办法

按照国家电网日常常规运维办法，明确运行维护职责，保障系统安全稳定运行和业务高效运转。

3.4.2 运维审计系统正常之节假日运维办法

在此场景下，运维审计系统各项应用功能均正常，用户可以正常访问运维审计系统［15］。针对项目组运维人员临时突发的紧急情况，例如账号密码忘记、服务器运维权限过期、临时故障处理等情况。

采用紧急运维账号办法，紧急账号被授权可以在特定节假日期间访问全审计系统已登记的服务器、网络设备、安全设备等。紧急账号共10 个，由调度中心进行密封保存。登录的紧急运维账号必须在运维审计系统审计人员的实时监控下进行操作，若有违规操作可及时进行阻断，紧急账号对运维数据文件进行拷贝操作时会向管理员进行短信提醒。

运维人员需先向调度中心报备，登记并核实相关信息后，由调度中心发放紧急运维账号。运维工作结束后，应及时告知调度，并由管理员更换紧急账号密码。

3.4.3 运维审计系统异常之紧急运维办法

在此场景下，运维审计系统故障，审计系统页面无法正常访问，运维人员无法通过审计系统访问目标服务器、网络设备、安全设备等［16］。启用紧急运维办法，在紧急运维专区进行运维操作，紧急运维专区办公机被授权可访问省公司所有服务器、应用系统、网络、安全设备等。

在运维人员进行紧急运维操作时，做好相关的监控工作，重点监控对数据进行操作的运维工作。在尽可能的情况下禁止进行一些可能破坏数据的操作，等运维审计系统恢复正常之后再进行操作。运维审计系统异常时，技术人员应马上到达现场进行相关故障状态及原因的分析工作，并进行应急处理，包括暂时使用备用机器进行运维工作，对故障机器进行维修、系统修复以及数据恢复等操作，尽快解决运维审计系统的异常问题，保证数据安全。

运维人员需先到调度中心报备，登记个人身份信息，并核实检修操作的工作票信息等。确认无误后，由调度中心值班人员将运维人员引导至紧急运维专区。运维操作结束后，应在调度中心签退，并对申请进行的相关操作进行事后核实。

4 结束语

随着国家电网得飞速发展，电力信息化需要处理更大规模的大数据，面临更加复杂的攻击与威胁，在系统运维的过程中，安全问题越来越重要。本文通过分析日常运维过程中所面临的风险，采取安全分区的防护措施，引入申请审批机制，规范数据库运维操作行为，细化对数据访问权限的控制，限制数据传输通道。通过事前审批，事中监管，事后审计，构建了一个能够满足大数据背景下电力数据安全分区控制的系统。且该系统具有普遍适用性，能够满足日常运维的安全性与便利性的需求。