背景信息
根据交通运输部发布的《取消高速公路省界收费站工程建设方案》,以及《联网收费系统省域系统并网接入网络安全基本技术要求》等相关要求,完成省域联网收费系统安全建设,保障省域收费系统安全稳定运行。
省联网中心整体按照等级保护第三级进行定级、备案、建设、测评、保护,运用云计算、大数据等技术时参照等级保护第三级扩展要求开展相关工作。要求联网收费系统整体,应确保收费专网属性,严格控制外部网络接入,明确联网收费系统与银行、公安等外部单位的边界保护规则,在统一安全策略下由全国中心或省中心统一提供出口,并在内部建立独立的接入区域,设置严格的逻辑隔离及安全审计措施。
其中安全审计措施更是在满足等级保护第三级的同时也兼顾实现了数据安全的行为审计分析。
业务挑战
数据资源主要涉及省区内高速公路沿线区域中心和收费站两级收费系统的基础数据,并为决策分析、数据共享以及其他扩展应用提供支持。数据资源部署在数据区,主要包括生产数据、业务数据、及其他数据,当前数据区的数据资源在网络中被不断的采集、存储、共享、调用、流转、删除,缺少对数据的监控,一旦发生数据风险,无法及时预警与处置,更加无法追溯风险事件的源头。
数据风险高效分析
建立具备高效分析的数据风险监测系统,即在审计到的海量日志中能够快速检索,挖掘数据风险,快速定位事件,帮助管理员快速检索、聚焦到关键的访问日志上。
数据操作准确定位
建立具备准确定的数据操作审计系统,即能够准确识别具体的操作对象、能够准确地进行参数关联、能够准确地把后端数据库的SQL操作与前端Web应用的用户进行关联,便于管理员对所有的数据库访问进行精准定位、责任到人。
数据行为全面审计
建立专业全面的数据行为审计系统,即数据访问审计日志的要素要尽量全面而详细、兼容各种数据访问协议,支持业务数据访问、用户数据访问的行为审计,方便管理员全面掌握数据访问情况。
解决方案
省内共九个路段中心,在省区内高速公路沿线区域中心和收费站每个节点均部署数据安全监测系统,对全省高速公路沿线区域中心和收费站进行数据安全监测,经过通信协议解析和语法分析,获取数据会话和操作行为相关信息形成记录,保存信息日志。系统详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
操作行为的统计分析
多维度统计与分析提供多维度和多时间粒度的审计记录统计功能,分别从风险、语句、会话和访问来源多个层面进行统计与分析,帮助用户高效地掌握数据操作的安全态势并快速锁定风险目标。可视化展现与钻取整体层面对数据审计系统监控范围内的所有数据行为态势进行整体展示,内容包括:审计总时长、操作总量、风险总量、风险类型分布、行为数量趋势、风险数量变化趋势、SQL语句类型分布、事件实时告警状态等。实现数据统计指标下钻分
数据操作行为检索
运维管理员在检索数据历史操作日志记录时,通过多条件相结合的方式进行日志查询,根据日志的类型、发生时间、不同字段内容等进行精细匹配,如:日志源IP、日志发生时间、操作信息字段内容等,从而实现日志的快速准确定位。检索类型包括风险检索、操作详情检索、会话内容检索、告警信息检索。
数据操作行为审计
对数据操作行为进行全面的审计,包含数据操作风险审计和数据会话事件审计。在此基础上实现多维的访问分析、语句分析和会话分析进行问题追踪。通过对数据审计策略的制定,建立数据操作的风险特征与审计行为的映射规则,审计引擎根据制定的审计规则对捕获的SQL语句进行专业的SQL语法分析,并根据SQL行为特征和关键特征,实现高效而精准的审计分析。
客户价值
01提高监管和响应速度
可准确展示、汇报区域/路段中心系统、收费站数据的访问情况、安全风险,方便掌握核心业务数据的操作情况,提高数据安全监管能力。并对进行实时记录、分析和统计核心业务数据进行的访问行为和安全风险的告警信息,加快了数据安全事件的响应速度。
02满足合规要求
满足区域/路段中心系统、收费站对等级保护第三级下关于核心业务数据的安全审计要求,符合《联网收费系统省域系统并网接入网络安全基本技术要求》等相关安全技术要求。为实现全网运行监测系统建设和安全稳定运转的大目标,提供有力的、落地的安全防御保障。