劉冬蘭，史方芳，劉 新，趙 勇，呂國(guó)棟

（1.國(guó)網(wǎng)山東省電力公司電力科學(xué)研究院，山東 濟(jì)南 250003；2.山東中實(shí)易通集團(tuán)有限公司，山東 濟(jì)南 250003）

大數(shù)據(jù)環(huán)境下云數(shù)據(jù)庫(kù)安全防護(hù)方法研究

劉冬蘭1，史方芳1，劉 新1，趙 勇2，呂國(guó)棟2

（1.國(guó)網(wǎng)山東省電力公司電力科學(xué)研究院，山東 濟(jì)南 250003；2.山東中實(shí)易通集團(tuán)有限公司，山東 濟(jì)南 250003）

知識(shí)經(jīng)濟(jì)的時(shí)代，大數(shù)據(jù)獨(dú)有的潛在價(jià)值正被逐漸發(fā)掘。然而，對(duì)數(shù)據(jù)安全的管控卻面臨著諸多挑戰(zhàn)。依據(jù)現(xiàn)階段云環(huán)境下數(shù)據(jù)庫(kù)使用的發(fā)展?fàn)顩r和特點(diǎn)，探討國(guó)網(wǎng)公司構(gòu)建公共服務(wù)云、企業(yè)管理云和生產(chǎn)控制云（下稱(chēng)“三朵云”）所面臨的數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)。依照成熟的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)，對(duì)云環(huán)境下的數(shù)據(jù)庫(kù)安全防護(hù)需求進(jìn)行深入研究，提出云數(shù)據(jù)庫(kù)安全的防護(hù)方法以及實(shí)施云數(shù)據(jù)庫(kù)安全防護(hù)步驟，對(duì)推動(dòng)云數(shù)據(jù)庫(kù)安全起重要作用。

信息安全保障；云數(shù)據(jù)庫(kù)安全；安全防護(hù)；大數(shù)據(jù)

0 引言

隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，需要收集、處理和管理的數(shù)據(jù)規(guī)模迅猛發(fā)展，數(shù)據(jù)信息以爆炸式快速增長(zhǎng)。這樣的態(tài)勢(shì)，象征著大數(shù)據(jù)時(shí)代的來(lái)臨。為了處理海量數(shù)據(jù)，云計(jì)算所包含的分布式存儲(chǔ)運(yùn)算和服務(wù)器集群技術(shù)都具有卓越的價(jià)值［1］。云計(jì)算作為一種新的服務(wù)模式，利用網(wǎng)絡(luò)突破地理空間的限制，隨時(shí)獲取各類(lèi)計(jì)算資源，實(shí)現(xiàn)計(jì)算服務(wù)應(yīng)用模式的根本性變革。在這一服務(wù)模式下，云環(huán)境由服務(wù)供應(yīng)商創(chuàng)造各類(lèi)計(jì)算資源，云租戶(hù)以按量付費(fèi)的方式獲取資源，云計(jì)算的運(yùn)營(yíng)與維護(hù)完全由云服務(wù)商提供，可以滿(mǎn)足快速增長(zhǎng)的業(yè)務(wù)量，實(shí)現(xiàn)資源的快速伸縮和充分利用［2］。在傳統(tǒng)IT架構(gòu)下，企業(yè)需要為硬件、操作系統(tǒng)、軟件的運(yùn)維花費(fèi)巨大精力，而在云計(jì)算環(huán)境下，這些基礎(chǔ)運(yùn)維問(wèn)題都可以交給更專(zhuān)業(yè)的云計(jì)算服務(wù)商來(lái)完成。因此，越來(lái)越多的企業(yè)不再考慮部署自己的機(jī)房和購(gòu)買(mǎi)服務(wù)器，更傾向于選擇性?xún)r(jià)比更高、可快速擴(kuò)縮的云計(jì)算環(huán)境，將自己的應(yīng)用系統(tǒng)遷移到云上已變成大勢(shì)所趨，這些企業(yè)的關(guān)注點(diǎn)從原先的硬件、操作系統(tǒng)、軟件運(yùn)維轉(zhuǎn)向云環(huán)境下數(shù)據(jù)的安全性。由于大量敏感信息存儲(chǔ)在云數(shù)據(jù)庫(kù)中，云數(shù)據(jù)庫(kù)安全成為信息安全建設(shè)的關(guān)鍵所在。

電力行業(yè)作為國(guó)家基礎(chǔ)性能源設(shè)施，為國(guó)民經(jīng)濟(jì)發(fā)展提供動(dòng)力支撐，與社會(huì)發(fā)展和人民生活息息相關(guān)，是國(guó)民經(jīng)濟(jì)健康穩(wěn)定持續(xù)快速發(fā)展的重要條件。而隨著智能電網(wǎng)的發(fā)展，電力系統(tǒng)中數(shù)據(jù)和信息將變得更加復(fù)雜，數(shù)據(jù)和信息量將呈幾何級(jí)數(shù)增長(zhǎng)，各類(lèi)信息間的關(guān)聯(lián)度也將更加緊密。同時(shí)電力系統(tǒng)在線(xiàn)動(dòng)態(tài)分析和控制所要求的計(jì)算能力也將大幅提高，當(dāng)前電力系統(tǒng)的計(jì)算能力已難以適應(yīng)新應(yīng)用的需求。而將云計(jì)算引入電力系統(tǒng)中，構(gòu)建面向智能電網(wǎng)的云計(jì)算體系，形成電力系統(tǒng)私有的智能電網(wǎng)云，可以滿(mǎn)足日益增長(zhǎng)的數(shù)據(jù)處理能力及電網(wǎng)實(shí)時(shí)控制和高級(jí)分析應(yīng)用的計(jì)算需求［3］。2013年，國(guó)家電網(wǎng)公司首次將云計(jì)算技術(shù)應(yīng)用到用電信息采集業(yè)務(wù)中，解決了原有用電信息采集系統(tǒng)在大規(guī)模數(shù)據(jù)分析方面的不足，系統(tǒng)整體平均性能提升達(dá)8倍，為智能電網(wǎng)在電力大數(shù)據(jù)、云數(shù)據(jù)庫(kù)安全防護(hù)應(yīng)用方面奠定了堅(jiān)實(shí)的技術(shù)儲(chǔ)備和實(shí)踐基礎(chǔ)［4］。

2015年12月，國(guó)家電網(wǎng)公司提出構(gòu)建公共服務(wù)云、企業(yè)管理云和生產(chǎn)控制云，“三朵云”共同構(gòu)成的電力云，全面支撐公司對(duì)外公共服務(wù)業(yè)務(wù)、企業(yè)經(jīng)營(yíng)管理和電網(wǎng)生產(chǎn)控制，“三朵云”正好映射了3種不同的云服務(wù)模式，因此需要防護(hù)的業(yè)務(wù)系統(tǒng)和敏感數(shù)據(jù)不同，面臨的云數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)也不同。公共服務(wù)云要更好地為電網(wǎng)用戶(hù)服務(wù)，數(shù)據(jù)庫(kù)中存儲(chǔ)大量電網(wǎng)用戶(hù)的個(gè)人隱私信息，要著重防止個(gè)人隱私信息批量泄露。企業(yè)管理云中，管理信息系統(tǒng)（MIS）、辦公自動(dòng)化（OA）、客戶(hù)服務(wù)（95598）、客戶(hù)賬戶(hù)查詢(xún)管理等系統(tǒng)積累了大量電力敏感數(shù)據(jù)，例如財(cái)務(wù)、營(yíng)銷(xiāo)、人資、市場(chǎng)、生產(chǎn)管理等數(shù)據(jù)，這些來(lái)自不同應(yīng)用系統(tǒng)的數(shù)據(jù)集中存儲(chǔ)在企業(yè)管理云數(shù)據(jù)庫(kù)中，要著重考慮這些數(shù)據(jù)的防泄密和防篡改。生產(chǎn)控制云中，調(diào)度生產(chǎn)管理、報(bào)價(jià)處理、配電網(wǎng)發(fā)展規(guī)劃等系統(tǒng)存儲(chǔ)了電力調(diào)度、合同、報(bào)價(jià)、發(fā)展規(guī)劃等信息，這些敏感數(shù)據(jù)也需要重點(diǎn)保護(hù)，防止被泄密。

電力行業(yè)傳統(tǒng)IT架構(gòu)的安全防護(hù)按照電監(jiān)會(huì)二次系統(tǒng)安全防護(hù)總體方案［5］，遵循“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的原則，保證了確保電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，實(shí)現(xiàn)了電網(wǎng)信息安全三道縱深防線(xiàn)［6］。隨著智能電網(wǎng)互動(dòng)化業(yè)務(wù)的發(fā)展，電力云必然面臨業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)漏洞無(wú)法完全被屏蔽，細(xì)粒度權(quán)限控制、入侵防范等還存在不足之處的困境，“三朵云”之間要部署隔離裝置，既要進(jìn)行數(shù)據(jù)共享，又要實(shí)現(xiàn)有效隔離，尤其在數(shù)據(jù)庫(kù)運(yùn)維側(cè)需要提供嚴(yán)格有效的防護(hù)管控手段。深入研究云環(huán)境下的數(shù)據(jù)庫(kù)安全防護(hù)需求，提出云數(shù)據(jù)庫(kù)安全防護(hù)關(guān)鍵技術(shù)和實(shí)施步驟，進(jìn)一步完善國(guó)網(wǎng)云數(shù)據(jù)庫(kù)安全保障體系。

1 云數(shù)據(jù)庫(kù)安全防護(hù)需求

1.1 國(guó)家管理要求

信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。云計(jì)算作為一種新的服務(wù)模式，同樣也需要遵循國(guó)家信息安全等級(jí)保護(hù)相關(guān)要求。在國(guó)家標(biāo)準(zhǔn)GB／T 22239—

2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，數(shù)據(jù)庫(kù)安全是主機(jī)安全的一個(gè)重要部分［7］，提出具體要求：1）應(yīng)對(duì)登錄數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；2）應(yīng)啟用訪(fǎng)問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪(fǎng)問(wèn)；3）應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記，并依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作；4）應(yīng)對(duì)重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等進(jìn)行安全審計(jì)；5）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；6）應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)保密性。

1.2 安全防護(hù)需求

傳統(tǒng)數(shù)據(jù)庫(kù)的安全防護(hù)方法已不能完全適應(yīng)云計(jì)算架構(gòu)，云數(shù)據(jù)庫(kù)中的彈性、多租戶(hù)以及新的物理／邏輯架構(gòu)和抽象控制都需要新的安全策略。

云數(shù)據(jù)庫(kù)漏洞防護(hù)需求。在多租戶(hù)環(huán)境下，通過(guò)數(shù)據(jù)訪(fǎng)問(wèn)組件可以實(shí)現(xiàn)租戶(hù)之間的訪(fǎng)問(wèn)隔離和存儲(chǔ)隔離，然而云數(shù)據(jù)庫(kù)自身存在的數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）漏洞有被外部攻擊者非法利用的風(fēng)險(xiǎn)，導(dǎo)致租戶(hù)之間的隔離措施失效。對(duì)于云數(shù)據(jù)庫(kù)DBMS自身安全漏洞來(lái)說(shuō)，首先要防護(hù)已經(jīng)公布在CVE、CNNVD上，對(duì)數(shù)據(jù)庫(kù)影響大、危害等級(jí)高的數(shù)據(jù)庫(kù)漏洞，如導(dǎo)致數(shù)據(jù)庫(kù)宕機(jī)、繞過(guò)身份驗(yàn)證、泄露敏感文件、利用難度低等。

來(lái)自外部SQL注入防護(hù)需求。云數(shù)據(jù)庫(kù)面向租戶(hù)或應(yīng)用提供數(shù)據(jù)的讀寫(xiě)服務(wù)，同樣要面對(duì)來(lái)自應(yīng)用側(cè)的SQL注入或攻擊。外部攻擊者以Web應(yīng)用服務(wù)器為跳板，利用Web應(yīng)用漏洞進(jìn)行SQL注入，對(duì)普通用戶(hù)進(jìn)行提權(quán)，進(jìn)行數(shù)據(jù)竊取或非法登錄。

云數(shù)據(jù)庫(kù)中敏感信息管控需求。對(duì)于涉及敏感數(shù)據(jù)的云數(shù)據(jù)庫(kù)運(yùn)維來(lái)說(shuō)，系統(tǒng)維護(hù)人員、外包人員、開(kāi)發(fā)人員可能擁有直接訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，他們故意或無(wú)意地高危操作可能會(huì)對(duì)數(shù)據(jù)造成破壞，比如大范圍的刪除、修改以及高權(quán)限人員違規(guī)對(duì)敏感數(shù)據(jù)的批量導(dǎo)出行為。

云數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)操作全面審計(jì)需求。通過(guò)監(jiān)控模塊對(duì)云數(shù)據(jù)庫(kù)的性能分析可知，云數(shù)據(jù)庫(kù)開(kāi)啟自身的審計(jì)和監(jiān)控非常占用服務(wù)器資源，另外，如果僅利用數(shù)據(jù)庫(kù)自帶的審計(jì)功能，數(shù)據(jù)庫(kù)管理員可隨時(shí)關(guān)閉，導(dǎo)致無(wú)審計(jì)記錄，事后追蹤將缺乏依據(jù)。因此，需要采用獨(dú)立的云數(shù)據(jù)庫(kù)審計(jì)軟件實(shí)現(xiàn)全面審計(jì)。

云數(shù)據(jù)庫(kù)中生產(chǎn)數(shù)據(jù)脫敏需求。云數(shù)據(jù)庫(kù)中存儲(chǔ)大量真實(shí)的生產(chǎn)數(shù)據(jù)，經(jīng)常會(huì)被企業(yè)用來(lái)測(cè)試、分析和科學(xué)研究，如果都采用生產(chǎn)區(qū)的真實(shí)數(shù)據(jù)，一旦發(fā)生敏感數(shù)據(jù)泄露事件，程序開(kāi)發(fā)、測(cè)試和分析人員都將承擔(dān)一定責(zé)任；另一方面如果采用完全混淆的模擬數(shù)據(jù)，正常的開(kāi)發(fā)、測(cè)試和分析工作將無(wú)法正常進(jìn)行，數(shù)據(jù)利用陷入兩難境地。

敏感數(shù)據(jù)存儲(chǔ)、備份和導(dǎo)出的加密需求。公有云上的關(guān)系型數(shù)據(jù)庫(kù)服務(wù)（RDS）運(yùn)行在一個(gè)多租戶(hù)、分布式的環(huán)境，每個(gè)租戶(hù)可建立自己數(shù)據(jù)庫(kù)權(quán)限體系，若數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)以明文存儲(chǔ)，高權(quán)限用戶(hù)可直接操縱數(shù)據(jù)庫(kù)，竊取所有敏感信息；同時(shí)無(wú)法從權(quán)限上將數(shù)據(jù)庫(kù)管理員的正常維護(hù)工作和敏感信息訪(fǎng)問(wèn)操作分開(kāi)，敏感數(shù)據(jù)存儲(chǔ)、備份和導(dǎo)出缺乏保護(hù)，這也是數(shù)據(jù)安全的一個(gè)薄弱環(huán)節(jié)。

2 云數(shù)據(jù)庫(kù)安全防護(hù)關(guān)鍵技術(shù)

2.1 數(shù)據(jù)庫(kù)防火墻技術(shù)

業(yè)界比較權(quán)威的Imperva公司應(yīng)用程序防御中心（ADC）針對(duì)數(shù)據(jù)庫(kù)界定了十大安全威脅，因此數(shù)據(jù)庫(kù)安全需要綜合性的解決方案。根據(jù)研究表明，通過(guò)網(wǎng)絡(luò)層數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)協(xié)議解析與控制技術(shù)，就能解決70%以上的數(shù)據(jù)庫(kù)安全問(wèn)題，其中就包括數(shù)據(jù)庫(kù)防火墻技術(shù)。

數(shù)據(jù)庫(kù)防火墻技術(shù)基于主動(dòng)防御機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)行為控制、危險(xiǎn)操作阻斷，主要通過(guò)三方面來(lái)應(yīng)對(duì)數(shù)據(jù)庫(kù)的安全威脅：1）防止數(shù)據(jù)庫(kù)漏洞攻擊，通過(guò)虛擬補(bǔ)丁技術(shù)在數(shù)據(jù)庫(kù)自身未打補(bǔ)丁的情況下，有效防止漏洞攻擊；2）防止數(shù)據(jù)庫(kù)的SQL注入，通過(guò)學(xué)習(xí)期、學(xué)習(xí)完善期、保護(hù)期的自適應(yīng)過(guò)程，構(gòu)建合法應(yīng)用程序的行為模型，通過(guò)SQL注入特征庫(kù)實(shí)現(xiàn)有效防護(hù)；3）對(duì)數(shù)據(jù)庫(kù)的運(yùn)維管控，可使用黑名單機(jī)制防止對(duì)數(shù)據(jù)庫(kù)惡意操作和誤操作。

數(shù)據(jù)庫(kù)防火墻技術(shù)的部署模式通常是串聯(lián)在數(shù)據(jù)庫(kù)前面，會(huì)造成一定的延遲和性能下降，因此，對(duì)性能要求比較高的數(shù)據(jù)庫(kù)，例如部署在國(guó)網(wǎng)公司生產(chǎn)控制云上的各樞紐變電站、發(fā)電廠(chǎng)、各級(jí)電力調(diào)度通信中心等系統(tǒng)建議采用旁路鏡像流量的方式部署，雖然這種模式對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)性能影響為零，但無(wú)法實(shí)現(xiàn)對(duì)惡意訪(fǎng)問(wèn)操作的阻斷和攔截，必須通過(guò)與其他技術(shù)協(xié)同保障云數(shù)據(jù)庫(kù)的安全。

2.2 敏感數(shù)據(jù)加密技術(shù)

相比私有云和傳統(tǒng)企業(yè)IT環(huán)境，公有云環(huán)境中的數(shù)據(jù)面臨著前所未有的安全挑戰(zhàn)。為提高云數(shù)據(jù)庫(kù)的安全防護(hù)水平，需要抓住主要矛盾，圍繞核心敏感數(shù)據(jù)進(jìn)行徹底有效的加密保護(hù)。實(shí)現(xiàn)敏感數(shù)據(jù)加密的關(guān)鍵在于密鑰管理，密鑰管理包括密鑰的創(chuàng)建、存儲(chǔ)、生命期管理和保護(hù)。

密鑰的安全性直接決定了加密數(shù)據(jù)的安全性。因此在國(guó)網(wǎng)公司“三朵云”上采用密鑰獨(dú)立存儲(chǔ)，并采用根密鑰保護(hù)，根密鑰通過(guò)受硬件加密卡保護(hù)，提高了加密數(shù)據(jù)的安全性。另外，對(duì)于敏感數(shù)據(jù)加解密算法，除了必要的強(qiáng)加密算法（如AES256）和相關(guān)機(jī)構(gòu)認(rèn)證的硬件加密算法外，通常根據(jù)具體的應(yīng)用系統(tǒng)需求提供專(zhuān)門(mén)的加密算法，包括調(diào)度生產(chǎn)管理、電網(wǎng)地理信息等系統(tǒng)。

2.3 生產(chǎn)數(shù)據(jù)脫敏技術(shù)

隨著云計(jì)算服務(wù)的廣泛應(yīng)用，針對(duì)新的服務(wù)模式下的系統(tǒng)研發(fā)和測(cè)試，出現(xiàn)了兩種部署手段：一是系統(tǒng)研發(fā)和測(cè)試在本地環(huán)境完成，然后部署在云端；二是系統(tǒng)研發(fā)和測(cè)試均在云端進(jìn)行，充分利用云端的彈性計(jì)算資源和云化部署能力。

無(wú)論采用哪種方式，都面臨將生產(chǎn)數(shù)據(jù)全部或部分轉(zhuǎn)移到測(cè)試和研發(fā)環(huán)境中，出于合規(guī)性和安全性需求，轉(zhuǎn)移的數(shù)據(jù)必須進(jìn)行“脫敏”處理。在國(guó)網(wǎng)公司“三朵云”上采用的數(shù)據(jù)脫敏技術(shù)，均能夠?qū)y(cè)試庫(kù)中的數(shù)據(jù)、遷移過(guò)程中的數(shù)據(jù)、導(dǎo)出成文件的數(shù)據(jù)進(jìn)行“脫敏”處理，通過(guò)一定的規(guī)則保證數(shù)據(jù)關(guān)系一致性，例如在電力企業(yè)客戶(hù)服務(wù)系統(tǒng)中分散在不同表中的相同身份證號(hào)數(shù)據(jù)脫敏后仍然是相同的，從而在確保測(cè)試、研發(fā)工作順利進(jìn)行的同時(shí)，保護(hù)用戶(hù)的隱私，防止因測(cè)試和研發(fā)導(dǎo)致數(shù)據(jù)泄漏事件的發(fā)生。

2.4 數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)

基于業(yè)務(wù)操作的數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)，是業(yè)務(wù)環(huán)境下針對(duì)數(shù)據(jù)庫(kù)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理技術(shù)，是實(shí)現(xiàn)主動(dòng)智能安全防護(hù)的重要手段。它通過(guò)對(duì)業(yè)務(wù)人員訪(fǎng)問(wèn)系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報(bào)，達(dá)到事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)正常運(yùn)營(yíng)的目標(biāo)。

電力公司結(jié)合自身實(shí)際情況，實(shí)現(xiàn)橫向和縱向兩個(gè)方向的數(shù)據(jù)庫(kù)安全審計(jì)。橫向?qū)徲?jì)，例如調(diào)度系統(tǒng)需要在各樞紐變電站、發(fā)電廠(chǎng)、各級(jí)電力調(diào)度通信中心內(nèi)部署安全審計(jì)設(shè)備；縱向?qū)徲?jì)，例如營(yíng)銷(xiāo)系統(tǒng)需要對(duì)后臺(tái)數(shù)據(jù)庫(kù)中各數(shù)據(jù)表的操作進(jìn)行全過(guò)程審計(jì)，對(duì)維護(hù)單位的數(shù)據(jù)庫(kù)維護(hù)操作進(jìn)行審核管理，特別是對(duì)內(nèi)部關(guān)鍵業(yè)務(wù)系統(tǒng)的關(guān)鍵數(shù)據(jù)庫(kù)進(jìn)行審計(jì)工作。

3 云數(shù)據(jù)庫(kù)安全防護(hù)實(shí)施

3.1 分析并確定需要保護(hù)的關(guān)鍵數(shù)據(jù)

企業(yè)需要評(píng)估和劃分需要放置在云端的數(shù)據(jù)，同時(shí)確定哪些數(shù)據(jù)是關(guān)鍵且必須保護(hù)的數(shù)據(jù)，如用戶(hù)身份證號(hào)碼、銀行卡或信用卡號(hào)碼、社保號(hào)碼等。

3.2 選擇適合的技術(shù)方案和加密算法

如圖1所示，部署越復(fù)雜，相應(yīng)的安全性越高。然而在實(shí)際應(yīng)用場(chǎng)景中，并非部署越復(fù)雜越適合企業(yè)需求，企業(yè)需要在關(guān)鍵數(shù)據(jù)的安全性、保持云應(yīng)用系統(tǒng)的功能可用性和系統(tǒng)可維護(hù)性等方面綜合考慮，最終確定適合企業(yè)需要的數(shù)據(jù)加密保護(hù)技術(shù)方案。

圖1 安全性與部署復(fù)雜性對(duì)比分析

3.3 保護(hù)數(shù)據(jù)加密的密鑰安全

常見(jiàn)的加密模型有3種，如圖2所示。

圖2 加密模式模型

模型A：加密方法、密鑰存儲(chǔ)和密鑰管理全部由用戶(hù)控制，典型的是整個(gè)密鑰管理系統(tǒng)部署在用戶(hù)的數(shù)據(jù)中心。

模型B：與模型A中的加密方法是一樣的，區(qū)別在于密鑰的存儲(chǔ)是在云端的密鑰管理系統(tǒng)而不是在用戶(hù)端的數(shù)據(jù)中心。

模型C：本模型提供了完整的服務(wù)器端加密，加密方法和密鑰的管理對(duì)于用戶(hù)是透明的。

比較上述3種模型，為保護(hù)密文數(shù)據(jù)不被非法竊取，避免云服務(wù)廠(chǎng)商和第三方維護(hù)人員解密為明文數(shù)據(jù)，比較穩(wěn)妥的方案是加密數(shù)據(jù)的密鑰控制在云用戶(hù)自己手中，通常采用模型B方案，既保證加密數(shù)據(jù)的密鑰控制在云用戶(hù)自己手中，提升加密的安全性，又避免了整個(gè)密鑰管理系統(tǒng)全部部署在用戶(hù)的數(shù)據(jù)中心，浪費(fèi)用戶(hù)資源。

3.4 其他必要的數(shù)據(jù)防泄漏措施

數(shù)據(jù)透明加密是數(shù)據(jù)防泄漏的核心措施，但并不能徹底解決來(lái)自應(yīng)用系統(tǒng)環(huán)境和云運(yùn)維環(huán)境的安全威脅，比如來(lái)自應(yīng)用系統(tǒng)側(cè)的SQL注入攻擊、后門(mén)程序、利用數(shù)據(jù)庫(kù)漏洞的攻擊行為、第三方運(yùn)維人員的誤操作等。因此需要采用類(lèi)似防火墻的數(shù)據(jù)庫(kù)邊界防護(hù)技術(shù)，利用其細(xì)粒度的訪(fǎng)問(wèn)控制特性，實(shí)現(xiàn)更完善的防數(shù)據(jù)泄漏保護(hù)。

3.5 監(jiān)控并審計(jì)數(shù)據(jù)的訪(fǎng)問(wèn)行為

之所以需要監(jiān)控并審計(jì)數(shù)據(jù)訪(fǎng)問(wèn)行為，一方面，數(shù)據(jù)維護(hù)和管理行為會(huì)對(duì)重要數(shù)據(jù)產(chǎn)生影響，另一方面，黑客攻擊行為不斷發(fā)展，上述數(shù)據(jù)防護(hù)措施很可能形同虛設(shè)。因此需要對(duì)重要數(shù)據(jù)的訪(fǎng)問(wèn)行為采取持續(xù)、及時(shí)的監(jiān)控和審計(jì)，形成有效的風(fēng)險(xiǎn)報(bào)告提供給用戶(hù)，以便能夠及時(shí)發(fā)現(xiàn)新的風(fēng)險(xiǎn)，更好的保護(hù)數(shù)據(jù)。

3.6 利用自動(dòng)脫敏防止測(cè)試環(huán)境數(shù)據(jù)泄漏

除了云環(huán)境下的數(shù)據(jù)防護(hù)，企業(yè)內(nèi)部的測(cè)試環(huán)境也是一個(gè)重要的信息泄漏源，特別是需要“抽取”云端的生產(chǎn)數(shù)據(jù)用于測(cè)試系統(tǒng)時(shí)。利用數(shù)據(jù)自動(dòng)脫敏技術(shù)可以有效地保護(hù)生產(chǎn)數(shù)據(jù)的安全。脫敏技術(shù)通過(guò)內(nèi)置策略和算法，包括屏蔽、變形、替換、隨機(jī)、格式保留機(jī)密（FPE）和強(qiáng)加密算法（AES）等，保證脫敏數(shù)據(jù)有效性 （保持原有數(shù)據(jù)類(lèi)型和業(yè)務(wù)格式）、關(guān)系性（保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系），為測(cè)試環(huán)境提供可用的符合用戶(hù)預(yù)期的測(cè)試數(shù)據(jù)。

4 結(jié)語(yǔ)

從云計(jì)算發(fā)展現(xiàn)狀和電力云數(shù)據(jù)庫(kù)安全防護(hù)要求入手，針對(duì)等級(jí)保護(hù)在數(shù)據(jù)庫(kù)安全方面的基本要求，提出可實(shí)施的云數(shù)據(jù)庫(kù)的安全防護(hù)方法，有助于等級(jí)保護(hù)在云數(shù)據(jù)庫(kù)安全方面的技術(shù)普及，對(duì)國(guó)網(wǎng)公司電力云數(shù)據(jù)庫(kù)安全建設(shè)起推進(jìn)作用。

［1］李戰(zhàn)克，丁夢(mèng)娟.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究［J］.信息安全與技術(shù)，2015，2（2）：7-9.

［2］唐慧.云計(jì)算大數(shù)據(jù)運(yùn)行控制技術(shù)對(duì)智能配電網(wǎng)影響的評(píng)價(jià)研究［J］.電力科學(xué)與工程，2016，32（4）：32-35.

［3］吳凱峰，劉萬(wàn)濤，李彥虎，等.基于云計(jì)算的電力大數(shù)據(jù)分析技術(shù)與應(yīng)用［J］.中國(guó)電力，2015，48（2）：111-116，127.

［4］陳樹(shù)勇，宋書(shū)芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述［J］.電網(wǎng)技術(shù)，2009，33（8）：1-7.

［5］楊方，王文迪，葛旭波，等.我國(guó)智能電網(wǎng)發(fā)展格局及綜合評(píng)價(jià)［J］.中國(guó)電力，2012，45（12）：81-85.

［6］曹陽(yáng)，高志遠(yuǎn)，楊勝春，等.云計(jì)算模式在電力調(diào)度系統(tǒng)中的應(yīng)用［J］.中國(guó)電力，2012，45（6）：14-17.

［7］全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求：GB／T 22239—2008［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社.

Research on Protection for the Database Security Based on the Cloud in Big Data Environment

LIU Donglan1，SHIFangfang1，LIU Xin1，ZHAO Yong2，LV Guodong2
（1.State Grid Shandong Electric Power Research Institute，Jinan 250003，China；2.Shandong Zhongshi Yitong Group Co.，Ltd.，Jinan 250003，China）

In the era of knowledge economy，the potential value of big data is becomingmore andmore important.However，the data security is facing many challenges.Based on the development and characteristics of database within the cloud environment，this paper preliminary studies the challenges of the database security that the State Grid Corporation of China confronted with during establishing the cloud of public service，enterprise managing and manufacoring controlling（Three Clouds）.Based onmature standard for information protection，this paper deeply studies the requirements for database protection under the cloud environment.A six-step method for cloud database protection is presented，which plays an important role in promoting the developmentof the security of the cloud database.

information security assurance；cloud database security；safety protection；big data

TP309.2

A

1007－9904（2017）06－0041－04

2017-01-18

劉冬蘭（1987），女，工程師，從事電力系統(tǒng)信息安全技術(shù)督查工作。