【客戶案例】天津電(diàn)網

天津電(diàn)網

美創數據庫防水壩合規審計模塊防篡改模塊數據庫解析模塊

天津市電(diàn)力公(gōng)司（以下簡稱“天津電(diàn)網”）隸屬國(guó)家電(diàn)網公(gōng)司，負責全市電(diàn)網規劃、建設和運營，承擔着保障天津能(néng)源安(ān)全，為(wèi)天津經濟社會發展提供安(ān)全、可(kě)靠、優質(zhì)電(diàn)力供應的任務(wù)。公(gōng)司供電(diàn)面積1.18萬平方公(gōng)裏，供電(diàn)營業戶數超過470萬戶，供電(diàn)服務(wù)人口超過1200萬人。截至2011年底，公(gōng)司資産(chǎn)總額達到583億元，年銷售電(diàn)量589.52億千瓦時，員工(gōng)12761人。

需求分(fēn)析

天津電(diàn)網職工(gōng)數量龐雜，人員的職責、流程有(yǒu)待完善，内部員工(gōng)的日常操作(zuò)不甚規範。數據庫管理(lǐ)員、業務(wù)操作(zuò)人員、第三方運維人員等都可(kě)直接訪問敏感數據，缺乏有(yǒu)效的訪問控制。

現有(yǒu)的數據庫内部操作(zuò)不明，無法通過外部的任何安(ān)全工(gōng)具(jù)來阻止内部用(yòng)戶的惡意操作(zuò)、濫用(yòng)資源和洩露企業機密信息等行為(wèi)；可(kě)用(yòng)的依賴于數據庫日志(zhì)文(wén)件的審計方法，存在諸多(duō)的弊端，比如：數據庫審計功能(néng)的開啓會影響數據庫本身的性能(néng)、數據庫日志(zhì)文(wén)件本身存在被篡改的風險，難于體(tǐ)現審計信息的真實性等等。

解決方案

針對天津電(diàn)網存在的安(ān)全隐患，美創數據庫防水壩可(kě)以有(yǒu)效解決。

在當前複雜的運維環境，數據庫防水壩從源頭上對運維人員和業務(wù)人員進行分(fēn)離管控，采用(yòng)多(duō)維度的安(ān)全認證方式，保證運維來源的可(kě)信、可(kě)控。對不同級别的DBA數據庫權限進行分(fēn)類，Schema級别的敏感數據分(fēn)類，權限粒度細化到表格級别，對數據庫的敏感信息進行分(fēn)類從而保障用(yòng)戶數據資産(chǎn)的安(ān)全。

美創數據庫防水壩系統具(jù)有(yǒu)幾大核心模塊：

訪問控制模塊

采用(yòng)多(duō)維度、多(duō)因素的認證方式，從業務(wù)角度對數據庫運維人員和業務(wù)人員進行身份識别和訪問控制，采用(yòng)白名(míng)單方式對不同類型的運維人員進行身份識别。

數據脫敏模塊

開發、測試環境下敏感數據信息的動态數據脫敏，針對用(yòng)戶業務(wù)系統的數據庫數據類型不同、字段不同、用(yòng)途不同進行自動的數據脫敏處理(lǐ)，從而保障用(yòng)戶生産(chǎn)網中(zhōng)的敏感數據信息不洩露。

數據庫解析模塊

支持業界主流Oracle、Mysql、DB2等數據庫類型，針對不同類型的數據庫協議，運維人員和開發人員可(kě)以自由選擇适配。

防篡改模塊

防止惡意的SQL語句修改行為(wèi)，對數據庫用(yòng)戶權限業務(wù)用(yòng)戶和SYS類型用(yòng)戶權限進行分(fēn)離，權限粒度細化到DML、DDL、DCL操作(zuò)類型，防止非法用(yòng)戶提權危險操作(zuò)行為(wèi)發生。防止非法終端注冊、黑客模拟攻擊等可(kě)疑的攻擊訪問行為(wèi)，自動攔截，并産(chǎn)生自動的攔截告警。

合規審計模塊

識别等保三級法案，隐私數據法案的控制，對HIPAA法案、PCI-DSS法案、SOX法案、GLBA法案等法案的符合度進行适配和審計。