CloudQuery 的数据安全技术运用

2021-06-22 10:45:58 +08:00
 huangxiaohei

随着电力行业信息化的不断发展,其内部信息系统越来越复杂,数据库作为信息系统的核心和基础,承载着越来越多的关键业务信息。同时,国家对信息安全方面的重视程度也逐步加深:2014 年 7 月 2 日,国家能源局发布《电力行业网络与信息安全管理办法》; 2018 年,9 月 13 日,国家能源局发布《关于加强电力行业网络安全工作的指导意见》,内容全面覆盖《网络安全法》、《电力监管条例》及相关法律法规要求,对加强关键信息基础设施安全保护、加强电力企业数据安全保护等方面提出了更高、更严的要求。

H 电力公司经过多年发展,依靠现代化经营管理能力,不断加强了信息化、自动化、系统化的特点,而基于政策指导和信息数据化进程不断加快,H 电力公司更需要对数据进行强制性、可控性保护。

一方面,H 电力公司需要通过不断挖掘数据价值以支撑自身服务质量、工作效率和发展需要;另一方面,又要保证数据在复杂场景、系统之间被安全、合理的访问和使用。

传统安全防护手段无法跨越的鸿沟

根据国家能源局对数据安全的意见及 H 电力公司对数据安全的要求,H 电力公司进行了自查,发现了如下不足:

敏感数据管理不足

随着 H 电力公司信息化建设的持续推进,营销、人资、财务、资产、协同、综合等核心系统中存储着大量的业务往来、用户隐私等重要敏感数据。

H 电力公司内部电力数据传输与共享场景普遍,当前虽然有一些数据脱敏手段,但是主要采用脚本或人工脱敏的方式,脱敏规则不统一,从而导致脱敏效率低下,以及脱敏后数据质量差、数据间关联关系被破坏等一系列问题,需要通过对敏感数据进行专业的脱敏实现,“用、护”结合。

风险行为监控不足

H 电力公司信息化规模庞大、系统繁杂、人员众多,日常工作中发生越权访问、下载或篡改数据等违规操作行为难以及时发现和定位,往往对内部数据安全事件的预防和调查造成困扰。

数据库运维管控不足

H 电力公司的网络复杂、业务特殊、数据库众多,在运维专区中,使用堡垒机来对运维人员进行管理,但这种管理方式在数据安全防护上存在一定问题:运维人员不按操作规范或既定方案进行数据库运维操作、非法导出敏感数据、数据库操作行为没有细粒度的审计记录等。

H 电力公司根据目前数据安全痛点和对现状的深入分析,提出如下需求:

1.实现与现有运维管理流程深度融合,实时监控运维人员数据库操作; 2.实现与现有 SPV 集成,运维人员无需单独申请对数据库访问,保持操作习惯不变; 3.实现细粒度运维管控,控制对象可以是库,可以是表,并可以精准到列;除了传统的增删改查操作外,还可以根据访问的影响行判断是否存在数据窃取、批量删除等高危行为;管控的对象还包括用户、登录 IP 、时间、客户端工具等多种条件; 4.提供用户行为审计,方便及时发现风险隐患; 5.支持动态数据遮蔽防止敏感数据泄漏,查询数据自动显示签名,防止拍照外传。

###没有授权进不去 未经许可拿不走 数据泄漏赖不掉

针对以上 H 电力公司面临的问题,CloudQuery 提出本次项目目标应做到“没有授权进不去,未经许可拿不走,数据泄漏赖不掉”。

根据 H 电力公司对信息安全工作的指示,加强对数据中心数据安全的防护要求,经过深入研究,整理出如下建设思路:

数据脱敏

由于 H 电力公司数据错综复杂,各业务数据流转通道各不相同,按照数据的分级分类标准,在对数据进行共享时,应针对重要数据进行脱敏降级,确保数据接收方不会对数据内容进行二次扩散。

数据库安全管控

通过引入 CloudQuery,对数据库的访问及其他操作行为进行细粒度防御、审计分析,从而全程监控、记录包括非法访问、数据库违规操作、数据批量导出或篡改在内等一系列风险行为,实现对所有数据访问行为进行审计记录,然后通过数据分析技术结合数据操作审计典型策略要求,对风险行为进行挖掘和预警,并可在安全事件发生后,做到准确、高效的溯源定责。

数据库运维与管理

在确保不影响正常开展运维工作的前提下,建立数据库运维操作的审批机制和技术措施。通过 CloudQuery 对所有涉及敏感数据的操作进行限制,强化对数据库运维操作的监管力度,及时阻断越权操作行为的发生,令运维工作实际操作与计划操作保持一致。

对数据运维操作的关键动作进行划分,将那些敏感操作梳理出来并默认禁止。当有变更需求时,通过发起运维审批流程,根据审批小组的审批意见,有序、安全的执行运维操作。

四大核心模块 解决电力行业棘手问题

针对 H 电力公司的系统现状、其数据库安全管控需求及目标,CloudQuery 制定了符合 H 电力公司数据库安全管控目标的解决方案,全面发挥数据库安全管控平台在企业中的价值。

CloudQuery 作为一体化企业数据安全管控平台,是企业数据操作的入口,将组织(包含应用)、数据、安全整合到一个平台,提供一系列数据应用工具辅助应用和 IT 人员完成相关的数据处理和操作,并逐渐培养组织的数据化流程、协作机制,完善组织的数据意识。

CloudQuery 采用以服务组件为单位,面向云的分布式架构,支持高可用模式保持用户使用的连续性,针对 H 电力公司,我们主要将平台划分为四大核心模块:数据处理中心、用户管控中心、监控中心、审计中心。

数据处理中心:广泛的数据库支持,集中管控数据

CloudQuery 支持绝大多数国内外主流数据库以及中间件,目前支持 Oracle 、SQLServer 、MySQL 、PostgreSQL 、Redis 、Hbase 、达梦、RDS for MySQL 等,未来将支持更多种类的数据库及中间件数据源。覆盖 H 电力公司目前使用的主要数据库数据源。同时,CloudQuery 完美支持各数据库特性,契合操作人员日常数据操作习惯。

用一个平台对所有数据操作进行管控,包含登录登出、权限、脱敏、审计、监控、过滤、回退等。内置一系列流程库,可通过 OpenAPI 接口与现有运维管理系统进行对接,实现数据操作 /授权在数据中心内部流转。

对于 H 电力公司的数据脱敏要求,CloudQuery 采用被动脱敏方式,即不改变数据库内容,但查询得到的结果为脱敏后的数据。脱敏按照规则来处理数据,规则分为内置和动态,内置规则只要用户查询的数据中符合系统内部定义的敏感资源,就会被处理;动态规则指系统管理员或者拥有者根据业务自定义,比如订单里的门牌号等。系统支持 5 种脱敏模式设定:替换、掩码、加密、截断后加密和无效化。

脱敏还会应用在以下场景:

用户管控中心:细粒度权限管控,越权访问需审批

针对可能存在的用户越权访问、非法导出等违规行为,CloudQuery 从不同需求和不同维度进行细粒度权限控制:

审计中心:记录用户行为,风险操作可追踪

CloudQuery 审计系统可跟踪用户在平台上的所有操作,覆盖数据库、流程、权限等方面的查询和变更。审计明细包含用户、连接、库、操作对象、动作、摘要、时间、结果、IP 来源等,可按条件过滤,并支持 Excel 导出。

除了审计明细,系统还支持面向业务的审计分析,可进行多维度的分析,如 UV 、PV 、数据库类型、语句执行时长、慢查询、高危操作。

而通过应用探针或 Cloud Query 提供的审计驱动可对应用的数据操作进行审计分析。相对于面向人的操作审计,应用数据审计主要是站在数据库管理员和安全的视角,对应用的数据访问进行分析,找出违反审计规则的语句,每一个应用包含一个审计视图。主要包含:

同时应用审计会基于 SQL 模式进行数据分析,支持以下维度的分析:

数据库监控中心:

CloudQuery 可以提供一个集中监控平台,连接管理员可以看到自己管纳连接的数据库负载情况,针对每一种数据源会有不同的监控指标,方便更直观的排查与定位问题。

CloudQuery 的应用价值

没有授权进不去

基于细粒度的权限管控体系,CloudQuery 通过「用户-角色-权限」,在快速授权的同时精准控制每个用户的访问及操作权限,规避了 H 电力公司原先可能面临的越权访问、下载或篡改数据等违规操作行为。

未经许可拿不走

CloudQuery 以独创的「查导分离」作为数据防泄漏的最后一道防线,将导出动作单独形成一种权限类型,与查询动作分离开来。即使 H 电力公司内部人员恶意获取数据也无法将数据落地至 PC 电脑,更别提在企业内部甚至外部进行流通。

数据泄露赖不掉

CloudQuery 作为企业内部的第四道安全防护门。对平台内部众多操作进行埋点,保证 H 电力公司的用户每一个动作都可追踪、可溯源。一旦有用户执行恶意语句或误操作可以及时定位到问题用户及用户 PC IP 。同时,CloudQuery 辅助以告警模块,从不同风控视角来监测当前平台内用户的操作风险性,可以让 H 电力公司在发生数据泄漏时间后快速、精准定位到责任人,及时还原丢失数据。

从 H 电力公司的应用可见,CloudQuery 站在企业角度,根据内部数据流向提供全链路的干涉跟踪保护机制,贯穿数据登录、使用、登出整个生命周期。1:1 针对各数据源的终端,可实时对操作的 SQL 执行拦截、分析、审计、告警等操作,精确到人和应用。避免延后追溯,避免安装堡垒机客户端,也避免审计记录和录像的对比,极大的提高了审计效率和用户体验,让企业内部数据运转更加流畅、安全。

官网地址:http://cloudquery.club/

659 次点击
所在节点    数据库
0 条回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/785005

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX