电力行业数据库审计系统解决方案

电力行业数据库审计系统解决方案一、安全概述作为与国家经济命脉和人民生活紧密相关的国家基础性行业，电力行业一直以来就

是中国信息化建设的先行者，而电力二次系统作为电网公司的重要生产系统，更加需要完善、成熟的安全防护能力。电力监管委员会《电力二次系统安全防护规定》（5号令）、《电力二次系统安全防护总体方案》这两个文件从政策法规的层面和技术方案的层面，明确了信息安全建设的

具体措施。根据电监会要求，把电力网络划分为一区、二区、三区和四区，其中一区为生产实时控制大区，二区为生产非实时控制大区，三区则为生产管理区，四区主要为管理信息系统和企业ERP系统等；把一区、二区称为生产控制大区，把三区和四区称为管理信息大区。电力二次系统安全防护总体方案遵循十六字方针“安全分区、网络专用、

横向隔离、纵向认证”。在总体网络安全结构不断完善，自身技术水平不断提高，制度管理规范不断落实的同时，数据库安全也成为电力系统对于总体安全防范整改的重要关键点，对于如何有效保护、监控、审计、分析数据库信息等问题成为电力行业信息安全重要思考的问题。

二、需求分析随着电力系统信息化的飞速发展，生产及业务系统不断丰富，越来越复杂。生产控制大区系统，如：电能量管理系统、电能量计量系统、调度安全校核系统、广域向量测

量系统等；管理控制大区，如：电力交易系统、ERP系统、生产系统、财务管控系统、电力营销系统等。很多业务系统都存在着跨区数据交换，这就对数据库的数据安全提出了非常高的要求。随着信息安全等级保护测评以及风险评估工作的全面展开，对数据库安全也提出了相关的要求。

?完整记录数据库的所有操作，发现违规操作和异常访问能及时告警；?审计所有用户对数据库的操作，及时发现超级用户、管理员用户或临时用户的越权使用或者数据泄密行为；?提供审计报表，满足合规性要求；

?为贯彻落实国家有关要求，全面推进电力二次系统安全等级保护工作，满足《电力二次系统安全等级保护要求》；三、帕拉迪DbXpert解决方案

1、“细粒度”数据库审计完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视

图、索引、过程、函数、SQLDML操作影响行数、SQL语句执行时间、原始数据库记录包等。

2、全协议解析DbXpert在流技术基础上，实现了全协议解析。支持各主流商用数据库，包括：Oracle8/910/1等、Sybase所有版本、SQLServer20/205、Informix所有版本、DB2所有版本，能够实现变量绑定、超长SQL命令和字段级的审计；针对运维操作审计，

支持包括，Telnet、FTP、Rlogin等协议，能够实现命令级和过程级的内容审计；

3、高精细度告警策略提供完善的违规实时告警，包括异常告警、策略告警等；告警信息可根据数据库地址、数据库名称、访问源IP地址、高危SQL命令、客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统名称、SELCT返回值以及数据库表组

（关键表名、组名）等信息进行组合配置；4、超长SQL语句审计能完整的、细粒度的解析超长SQL语句。通过对超长SQL语句的完全

审计，监控了恶意攻击者妄想通过逃避审计对数据库造成非法操作的途径，为安全事件的追溯提供了强有力的证据；同时也为实际业务中SQL语句的全面审计提供了保障。

5、绑定变量解析技术可以精确定位到操作客体，真正审计到数据发生了什么事情。通过变量绑定以及SQL语句的全记录，可以完整的重溯整个业务流程，追溯信息的来龙去脉，成为全球第一家通过变量绑定技术真正解决中间件审计问题

的数据库审计厂商，为数据的完整性、有用性和准确性提供了强有力的技术保证和原始证据。6、SELCT返回值解析

DbXpert基于流会话跟踪审计，实现SELCT返回值解析。通过记录访问的回应信息，可以有效的防止数据泄密和窃取，监视和控制被存取的数据。7、原始流数据包记录（PCAP）

DbXpert不仅完整记录SQL语句，还能完整审计原始数据包，实现超级嗅探器功能。只有原始数据才能还原真实的数据现场，提供无可抵赖的强有力证据。8、全文检索功能

记录数据库会话详细细节，当发生数据库安全事件时，用户可根据数据库地址、源客户端地址、事件时间、SQL语句关键词、数据库账号、数据库地址等，快速检索定位操作会话。9、异常告警、实时监控

提供完善的违规实时告警，包括异常告警、违反策略告警等。及时发现数据库非法接入、SQL注入、数据泄密等安全事件。多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过WEB告警、邮件告警等方式通知数据库管理员。

实时监控来自各个层面的所有数据库活动，包括网络流量、数据包、突发连接、并发连接、SQL语句的实时数量，并且提供实时的视图窗口查看数据库的运行状态。10、业务跟踪审计

拥有业务跟踪审计的能力，对于整个业务流程的操作以及业务数据的删除、添加或修改进行完全审计。通过审计信息，可以重溯整个业务流程。1、灵活的统一报表可灵活定制报表格式和规范，可根据要求生成用户环境（如：数据库

地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等）自定义报表。

四、部署实例