下载文档原格式
中石化XX公司信息安全整体解决方案作为全球最大的石油和化工企业之一,中石化XX公司拥有庞大的信息系统和大量的敏感数据。
信息安全对于公司的运营和生产至关重要,必须采取一系列整体解决方案来确保信息的保密性、完整性和可用性。
本文将介绍中石化XX公司信息安全整体解决方案,分析其核心内容和实施步骤。
一、信息安全整体解决方案的概述1.网络安全:建立安全的网络架构,包括网络防火墙、入侵检测系统、反病毒系统等,保护公司内外网的数据通信安全。
2.数据安全:加密敏感数据、备份重要数据、建立灾备中心等措施,确保数据的保密性、完整性和可用性。
3.应用安全:对公司的各类应用系统进行安全加固,包括身份认证、访问控制、日志监控等,防止恶意攻击和数据泄露。
4.终端安全:管理和加固员工终端设备,包括电脑、手机等,防止病毒、木马等恶意软件攻击。
5.管理安全:建立信息安全管理制度和机制,包括安全培训、安全意识教育、安全漏洞管理等,提高员工信息安全意识和能力。
二、信息安全整体解决方案的核心内容1.网络安全作为公司信息系统的关键组成部分,网络安全是信息安全整体解决方案的核心内容。
中石化XX公司通过建立网络安全架构,包括边界防火墙、内部网络隔离、入侵检测系统等,确保内外网之间的数据通信安全。
此外,公司还定期对网络进行安全检测和漏洞修补,及时处理发现的安全隐患,加强网络安全防护能力。
2.数据安全作为公司最重要的资产之一,数据安全是信息安全整体解决方案的另一个核心内容。
中石化XX公司通过加密敏感数据、备份重要数据、建立数据灾备中心等措施,确保公司数据的保密性、完整性和可用性。
同时,公司还对数据进行访问权限控制和审计,防止未经授权的人员访问数据,确保数据的安全传输和存储。
3.应用安全面向公司内部员工和外部客户的各类应用系统也是信息安全整体解决方案的重要组成部分。
中石化XX公司通过对应用系统的安全加固,包括身份认证、访问控制、日志监控等措施,防止黑客攻击和数据泄露。
加油卡管理办法加强加油卡信息管理,防止信息泄露引言加油卡是现代社会中常见的付款工具之一,用于购买汽车燃油。
加油卡的管理涉及到用户个人隐私和财产安全。
为了保护用户信息的安全,加强加油卡信息管理变得至关重要。
本文将讨论如何加强加油卡信息管理,以防止信息泄露。
1. 确立严格的权限控制机制为了防止加油卡信息泄露,建立一个严格的权限控制机制是必不可少的。
每个员工应被授予特定的权限,只能访问其工作所需的信息。
具有更高权限的员工应受到更严格的控制和审查。
管理员应定期审查和更新权限设置,确保只有经过授权的人员能够访问敏感信息。
2.加强员工培训和意识教育员工是信息泄露的主要风险来源之一。
因此,加强员工培训和意识教育非常重要。
培训应包括如何妥善处理加油卡信息、防止社会工程攻击和骗局、识别并避免恶意软件等方面的内容。
员工还应被教育如何使用强密码,定期更换密码,并注意保密操作。
3. 加密和安全传输加油卡信息应在传输过程中进行加密,以防止信息被截获和窃取。
采用安全的传输协议,如SSLTLS,确保数据传输的安全性。
加强对数据传输过程的监控和审计,以确保传输的完整性和安全性。
4. 合理存储和访问控制加油卡信息的存储也需要特别关注。
应采取合理的存储方式,如数据库,确保数据的安全性和完整性。
对于敏感的个人身份信息,如姓名、联系号码等,应采取额外的加密措施。
存储设备应定期备份,以防数据丢失。
5. 加强网络安全防御网络安全是防止信息泄露的重要措施。
建立防火墙、入侵检测系统和入侵防护系统,及时发现和阻止未经授权的访问和攻击。
系统应定期进行安全漏洞扫描和风险评估,确保系统及时更新补丁和升级。
6. 加强信息审计和监控信息审计和监控是提高信息安全的有效手段。
建立日志记录和监控系统,及时发现异常活动并采取应对措施。
对关键操作和访问进行审计和监控,确保敏感信息的安全。
建立报警机制,及时响应和处置安全事件。
7. 备案信息安全事件处理预案面对潜在的信息泄露事件,及时响应和处置至关重要。
加油系统实施方案一、背景介绍。
随着社会的发展,汽车已经成为人们生活中不可或缺的交通工具,而加油系统作为汽车运行的重要组成部分,对汽车的性能和使用寿命起着至关重要的作用。
因此,为了保障汽车的正常运行,我们需要对加油系统进行合理的实施方案规划。
二、实施目标。
1. 提高加油系统的效率,减少加油时间,提升用户体验;2. 提高加油系统的安全性,避免因加油操作不当而引发的安全事故;3. 减少加油系统的故障率,延长加油设备的使用寿命;4. 减少加油过程中的环境污染,推动绿色加油理念的普及。
三、实施方案。
1. 引入智能加油系统。
通过引入智能加油系统,可以实现加油过程的自动化和智能化。
用户只需在加油枪上刷卡或使用手机支付,系统将自动识别车辆类型和油箱容量,自动停止加油,避免了因加油过量而造成的浪费和安全隐患。
同时,智能加油系统还可以记录用户的加油习惯和消费记录,为用户提供个性化的加油服务。
2. 加强加油设备维护。
定期对加油设备进行维护和检修,确保设备的正常运行。
加强对加油枪、油箱和输油管道的清洁和检查,及时更换老化和损坏的零部件,避免因设备故障而影响用户的正常加油需求。
3. 推广绿色加油技术。
引导用户使用绿色加油技术,如加油站提供的油气分离器、环保加油枪等设备,减少加油过程中的油气挥发和环境污染。
同时,加油站还可以推广使用生物柴油、乙醇汽油等替代燃料,减少对传统石油资源的依赖,推动绿色能源的发展。
四、实施效果。
1. 用户体验提升,智能加油系统的引入,大大提高了用户加油的便利性和效率,用户不再需要排队等候,加油时间大大缩短,提升了用户体验。
2. 安全隐患减少,智能加油系统的自动化操作,避免了因人为操作不当而引发的安全事故,保障了用户的加油安全。
3. 设备寿命延长,加强加油设备的维护和检修,可以有效降低设备的故障率,延长设备的使用寿命,减少了维修成本和停机损失。
4. 环境保护效果显著,推广绿色加油技术,减少了加油过程中的油气挥发和环境污染,推动了绿色能源的发展,对环境保护产生了积极的影响。
数据安全在炼油行业信息化中的保障措施在炼油行业的信息化发展中,数据安全问题一直备受关注。
随着信息化程度的提高,炼油企业必须采取一系列的措施来保障数据的安全,以防止数据泄露、被篡改或遭受其他恶意攻击。
本文将从数据加密、网络安全、权限管理和备份恢复等多个方面探讨数据安全在炼油行业信息化中的保障措施。
一、数据加密数据加密是保障数据安全的重要手段之一。
通过使用加密算法,将敏感数据进行加密处理,在传输和存储过程中提高数据的安全性。
在炼油行业信息化中,企业常常涉及到大量的敏感数据,如生产工艺、原料配方、产品质量等,这些数据一旦泄露或被篡改,将给企业带来严重的损失。
因此,炼油企业应该选择安全可靠的加密算法,对敏感数据进行加密存储和传输。
同时,加密算法的密钥管理也是至关重要的一环,炼油企业需要建立完善的密钥管理机制,确保密钥的安全和合理的周期性更换。
二、网络安全炼油企业的信息化建设离不开计算机网络的支持,而网络安全是数据安全的重要组成部分。
炼油企业应该加强网络设备的安全保护,包括使用防火墙、入侵检测系统、反病毒软件等安全防护设备,监控和阻止恶意攻击的发生。
此外,加强网络访问控制,限制用户的访问权限,确保只有授权人员才能访问敏感数据和系统,从而防止内部人员的非法操作和信息泄露。
同时,对网络传输的数据也要进行加密处理,确保数据的安全传输。
三、权限管理权限管理是炼油企业信息安全的基础,通过合理的权限划分和管理,可以控制用户的访问权限,防止未经授权的人员获取敏感数据。
炼油企业应该建立完善的权限管理制度,明确各岗位的权限范围和权限等级,并对每个用户进行身份验证和权限授权。
同时,定期对权限进行审计和管理,及时剥夺离职人员的权限,保证只有合法人员才能访问关键数据和系统。
此外,敏感数据的操作也应该实行审批制度,确保数据的安全性和合规性。
四、备份恢复备份恢复是数据安全的重要手段之一,对于炼油企业而言尤为重要。
炼油行业的数据量庞大,一旦发生灾害、故障或其他意外情况,可能导致数据丢失或无法访问,给企业造成严重损失。
石油公司信息系统安全与防护随着科技的不断发展和信息技术的广泛应用,各行各业的企业都离不开信息系统的支持。
而对于石油公司这样的关键行业来说,信息系统的安全与防护更是至关重要的。
本文将就石油公司信息系统安全与防护的重要性、相关风险以及相应的对策进行论述。
一、信息系统安全与防护的重要性信息系统是企业重要的管理工具之一,石油公司作为一个信息密集型企业,信息系统的安全与防护显得尤为重要。
首先,石油公司的信息系统涵盖了企业的各个方面,包括供应链管理、财务管理、人力资源管理等,一旦信息系统遭受到攻击或泄露,将对公司的正常运营产生严重的影响。
其次,石油公司的信息系统中存储了大量的商业机密和技术秘密,一旦泄露,将给公司造成巨大的经济损失以及不可估量的声誉损害。
因此,保障石油公司的信息系统安全与防护是维护企业利益和市场竞争力的重要手段。
二、信息系统安全与防护存在的风险石油公司的信息系统安全与防护面临着各种潜在风险和威胁。
首先,黑客攻击威胁着信息系统的安全,黑客可以通过入侵系统、网络钓鱼、病毒攻击等手段获取系统中的敏感信息。
其次,内部人员的非法操作也是一个潜在的威胁,一旦内部人员滥用权限或者将敏感信息泄露给竞争对手,将会对公司造成巨大的危害。
此外,信息系统硬件设备的故障、自然灾害以及恶意软件的入侵也是信息系统安全与防护的风险源。
三、信息系统安全与防护的对策为了保障石油公司信息系统的安全与防护,需要采取一系列的对策与措施。
首先,在技术层面上,可以加强对信息系统的访问控制。
通过设置复杂的密码、多层次的身份认证以及指纹识别等手段,提高系统的安全性。
其次,及时更新和升级防火墙和安全软件,以防止恶意攻击和病毒的入侵。
此外,及时备份重要的数据和信息,可以在系统故障或者数据丢失时快速恢复。
在人员层面上,需要对公司员工进行安全培训和教育,提高员工的信息安全意识和防范能力。
此外,加强内部人员权限管理,对具有敏感信息操作权限的人员进行监控和审核,防止内部人员滥用权限。
Sybase数据库在中国五矿集团财务管理中的应用【背景】为了加强财务管理、降低运作成本,从而提升自己的核心竞争能力,五矿集团决定自行开发一套集团财务管理集中结算系统,其宗旨在于:将结算作为一种企业资源进行分配运用;将结算环节作为风险管理的一种重要环节进行监控管理;将结算业务作为一种金融产品和服务手段向公司推广。
然而实施这样一个方案需要有一个有效的操作方式:即各二级公司将结算业务集中到服务中心和操作中心;作为服务中心和操作中心的财务公司,集中将业务提交各商业银行;作为集团监控部门的中央管理部(总公司财务部)负责签定与各商业银行的银企合作协议。
该系统结合五矿集团的特点,项目充分引进了企业现代化经营管理的理念,对公司内部的管理,经营进行了全面整合,及时准确地为企业提供所需的第一手材料,并对各分公司,各部门在业务执行过程中的各个环节进行有效的监控。
变被动管理为主动管理。
具体而言,该系统涵盖了“进口结算、出口结算、人民币、票据、信贷、额度、业务管理和人民币账务管理、资金计划、统计查询”等功能模块,可以较好地实现全集团(至二级公司)资金集中结算。
在集团银企协议(由作为监控部门的中央管理部--集团财务部与银行签署管理)、内部汇集结算并提交各商业银行(由作为金融服务中心和操作中心的集团财务公司进行)、成员单位在财务公司开户委托财务公司处理交易的集团三级集中结算体系框架下,这一电子化集中结算系统的开发实施,使用方便,简化了集团内部的重复劳动,规范了支付结算环节的操作流程,总公司和二级公司的资金信息充分、实时、准确,第一次实现随时了解集团资金状况的全貌(在任一时点上,集团有多少存款、贷款、额度,贸易项下有多少应付外汇款项和票据款项);不仅集中了集团内部各项业务和非业务资金结算,实现各集团各公司及各银行账户的统一管理,而且通过规范的支付清算程序,更好地实现了资金计划管理和集中资金的目的。
【需求】中国五矿集团财务管理集中结算系统是实现一个企业内部的业务管理与财务管理为一体的管理软件。
Sybase数据仓库技术在中国联通经营分析系统中的应用-电脑资料应用背景中国联通拥有全国范围内相当规模的公用电信网,经营多种基础电信业务和增值电信业务,形成移动(GSM、CDMA)、193 长途、VoIP、165(互联网与电子商务)、寻呼、市话、增值业务等多种业务并存和共同发展的格局,。
如何发挥联通的综合优势,实现灵活多变的市场营销策略,为客户提供更具有针对性的满意服务; 同时最大限度使自己的资源得到合理配置和优化,降低运营成本,以增强联通的核心竞争力,成为当前迫切需要解决的问题。
在此过程中,市场策略的应对速度是保持竞争力的重要手段,而市场应对策略的制定需要丰富、真实、及时的经营信息提供支持。
海南联通,在中国联通总部的统一规划下,采用Sybase 公司的数据仓库产品,建设完成了统一经营信息服务子系统。
海南统一经营信息服务子系统以查询/ 统计型经营数据为核心,其数据源于服务支撑系统中各生产子系统中数据(包括电子与手工数据),通过信息展现(包括提供数据接口访问方式)为企业的其它系统提供客户和业务分析层面的经营信息服务,包括统计及分析、决策支持等,如为 ERP 系统中用于企业管理的经营统计信息提供数据来源。
应用需求众所周知,电信行业的数据堪称为海量数据,对数据库、数据仓库管理软件的要求极高,主要体现在对海量数据的存储能力和处理的速度要求。
本系统数据仓库领域的应用,需要保存,处理大量的历史数据,其中以 CDR 详单的数据量为最大。
为了适应此需求,立为通信软件有限公司建议海南联通选用了专业的数据仓库管理软件SybaseIQ12.5 来构建企业经营信息的数据仓库系统。
系统方案统一经营信息服务系统由数据采集模块、数据仓库生成模块、数据仓库接口模块、总部数据文件生成模块、报表生成模块、元数据管理模块、系统管理模块及系统的信息模型组成。
其中,系统的信息模型指导着整个产品的构建和运行过程。
中国联通统一经营信息服务系统的总体结构如下图所示:图表: 统一经营信息系统系统结构图下面分别对系统各功能模块和系统信息模型说明如下:系统信息模型: 本产品信息模型包括四部分,分别是:(1) 数据仓库维表、事实表等数据仓库(DW)信息模型;(2) 系统管理信息模型,例如: 系统用户表、用户权限表等;(3) 操作数据存储(ODS)信息模型;(4) 元数据信息模型。
中石油客户终端安全与行为审计解决方案汇报人:2023-12-06•引言•终端安全解决方案•行为审计解决方案•解决方案优势与特点•实施效果与案例分析•总结与展望01引言客户终端承载着企业的核心业务,一旦发生安全问题,不仅会影响业务运行,还可能泄露企业机密。
在此背景下,中石油决定开展客户终端安全与行为审计解决方案的研究。
随着中石油业务的快速发展,信息系统的安全问题日益突出,尤其是客户终端的安全问题。
背景介绍通过该解决方案的实施,可以有效地预防和应对客户终端的安全威胁,保护企业机密,提高客户满意度,进一步提升中石油的市场竞争力。
目的和意义意义目的解决方案概述02终端安全解决方案防火墙与入侵检测数据加密与传输安全防病毒与恶意软件终端安全防护安全事件监控与告警实时监控终端安全事件,及时发出告警,以便快速响应和处理。
安全审计与日志分析收集和分析终端系统的审计日志,发现潜在的安全问题。
安全漏洞扫描与修复定期进行安全漏洞扫描,及时发现并修复已知漏洞。
终端安全检测与响应1 2 3系统配置加固安全补丁管理与更新访问控制与权限管理终端安全加固与优化03行为审计解决方案行为审计定义行为审计范围行为审计重要性数据收集数据处理行为识别报告和警报确定审计目标选择合适的工具培训员工持续监控和改进04解决方案优势与特点实时监测该方案能够全面覆盖各种客户终端,包括桌面电脑、笔记本电脑、平板电脑和手机等,确保所有设备的安全性。
全面覆盖高效防护高效防护,全面检测准确处置该方案具备准确的处置机制,能够根据不同的情况采取不同的处理措施,确保客户终端的安全性和可用性。
快速响应一旦发现异常行为或安全事件,中石油客户终端安全与行为审计解决方案能够迅速启动应急响应机制,及时处理并解决问题。
持续优化中石油客户终端安全与行为审计解决方案会不断优化升级,提高应急响应和处置的效率和准确性。
准确响应,及时处置终端强化管理优化安全策略落实强化终端,优化管理05实施效果与案例分析通过终端安全与行为审计解决方案,中石油提高了客户终端的安全性,减少了安全风险和漏洞。
SYS SECURITY 系统安全安全管理也是当前企业生产和发展的重要主题,在当前经济全球化的社会背景下,科学化、系统化生产管理也将成为企业提升核心竞争力的重要手段。
借助信息管理工作中的高效性和直观性等优势,将更好的帮助企业实现管理水平的稳定提升。
为此,本文就将对管理信息系统在加油站安全管理应用问题进行研究,希望对加油站安全水平提升奠定良好基础。
一、加油站安全生产和管理的重要性加油站的安全管理主要关系到人、机、法、环多个环节。
一个独立的加油站,员工数量虽然比较有限,占地面积与石油化工装置存在较大距离,但是由于加油站地理位置比较特殊,产品存在易燃易爆特点,所以可能引发的火灾或是爆炸事故都将对社会产生较为直接的负面影响[1]。
按照我国相关条例对危险化学品的分类,应该认识到加油站经营的汽油属于甲A类危险品,而柴油、润滑油等也属于典型的可燃液体。
这些加油站中的物料都具备典型的易燃易爆特征。
此外,按照《重大危险源辨识》中的标准要求,加油站的储备设施也属于重大危险源,需要在满足国家规定下对其进行安全与科学管理。
二、加油站安全管理信息系统的设计(一)系统需求。
通过对现场实际情况的调查,要对加油站安全管理信息系统业务流程图进行规划,从而针对用户需求对工作方案进行调整或是优化,获得更完善的系统数据流程图。
通过对数据流程图的分析,还需要和广大用户进行必要沟通,通过这种方式更好的明确系统基本需求。
一般情况下,基本需求应该包含以下几个环节:1.可以对数据进行远程上报,并对上报的数据进行对存储或是校验。
2.能进行有效的手工输入,上级管理部门在工作中也要对各个加油站中的数据进行引进、运算或是汇总[2]。
3.可以自动进行数据运算和汇总,通过这种方式进行数据查询,从而实现对结果的保存和打印。
4.可以针对不同时间段和加油站名称开展报表数据计算与分析。
(二)系统结构。
由于业务量主要集中在各个市级石油公司,所以,这一系统中也需要将市级石油公司作为基本设计单位。
SYS SECURITY 系统安全由于信息技术的发展进步,目前,各大油田企业公司都开始重视信息化和数字化的油气田建设工程。
为了满足时代的发展要求,智慧油气田应运而生。
而为了应对油田数据的迅猛增长和油田企业业务需求的变化,就诞生了智慧云数据中心。
一、智慧油田的精细化管理(一)建立安全的管理制度体系。
想要保证智慧油气田的安全,需要对油气田的生产过程按照管理工作的流程进行控制和考核,规范员工的工作行为,严格按照操作标准进行施工作业,这是油田企业进行安全生产和管理的重要保障。
(二)实施安全生产现场的标准管理。
油气田企业的生产过程中极易发生安全事故,因此,要对生产现场的设备、环境等一系列环节进行安全风险评估,预防发生重大的危险事故。
比如:对工艺的危险指数进行分析、对开采油田的破坏范围进行分析、对风险隐患进行排除。
这就需要相关管理人员对生产现场进行监控和管理,第一时间消除安全隐患,保证工作人员的安全[1]。
(三)细化安全防御体系。
智慧油气田是基于现代的信息技术手段而形成的,因此,在油气田的生产作业当中,可以事先利用科学技术对油田开采工作进行安全分析和评价,利用远程监控设施对生产过程进行全面的监督管理,保证实时将井场、生产现场和办公基底的生产数据进行传递,确保油气井和生产设备处于正常的工作状态,利用远程控制技术,及时对潜在危险进行快速截断。
二、智慧数据安全管理油田企业对于智慧数据的管理在于对于系统软件的制定以及安全管理政策的实施。
旨在防止数据系统被不法分子入侵,造成数据的损毁和丢失。
目前,油田企业的智慧数据安全管理存在着许多不安全的因素,包括:登录系统的密码强度不够、登录系统容易遭到攻击、系统的审核配置不够完整等,容易产生安全漏洞。
这就要求相关的油田工作人员对数据中心的安全进行全面的管理。
(一)强化用户安全意识和防范能力。
油田企业需要对相关的工作人员进行培训管理,普及数据安全管理的知识,提高员工的保密意识,提高员工的安全素质,比如,开展一些培训课程教会员工如何进行杀毒软件的更新,培养员工定期给计算机杀毒的习惯。
中国石化销售企业中国石化销售企业信息专业信息专业比武比武比武论文论文论文应用SYBASE 安全审核机制安全审核机制提升加油卡系统安全性提升加油卡系统安全性广西石油分公司梁颂广西石油分公司梁颂(二○○七年十月(二○○七年十月十六十六十六日)日)摘要摘要:随着石化加油IC 卡发行量的迅猛增长,保证系统安全和稳定运行已成为IC 卡系统建设迫切需要解决的课题。
本文针对当前对IC 卡系统核心数据库直接进行人工纠错存在的问题和风险,应用SYBASE 安全审核机制,建立了相应的IC 卡系统SYBASE 审核体系,既能有效防范人工纠错的操作风险,提升系统安全性,又有利于降低对集成商的依赖,提高自主管理的能力和水平。
关键词关键词::SYBASE、加油卡系统、安全一、前言一、前言2001年以来,在总部的统一规划下,销售企业在没有任何成熟经验可以借鉴,项目涉及内容广泛的情况下,建立了国内规模最大、集电子交易和综合管理为一体的加油站IC 卡系统。
有效地将中国石化分布在城市、高速公路、国省道等市场的1.4万多座加油站连为一体,组成了一个强大、有序的销售网络,实现了“一卡在手,各地加油”,彰显了石化网络的优势。
近年来,又着手对系统进行升级改造,以提高系统容量,保障安稳运行。
总体上看,随着业务的扩大, IC 卡系统处于不断完善和不断提升的阶段,有大量的工作需要做。
二、二、加油卡系统运维现状及安全风险加油卡系统运维现状及安全风险加油卡系统运维现状及安全风险中国石化加油卡系统核心数据运维现状具体流程如下:从IC 卡的运行机制和实际情况看,随着建设规模不断扩大,加油卡付油交易量的日益增多,随之而来的是不断出现的一些系统级核心数据故障,维护人员必须进入SYBASE 核心数据库进行操作、数据调整,也就是需要对加油卡数据库系统进行人工纠错,比如SYBASE 数据库备份、性能监控、日志清除、数据库扩充、业务数据调整(执行数据库运行脚本)等。
一旦系统出现问题后,一般在石油公司数据库安全员监控下,由集成商以数据库管理员身份登陆SYBASE 核心数据库(以下简称核心数据库),执行总部运维中心下发的故障处理SQL 脚本,修改相关的数据表,对交易记录的数据与状态进行更新调整。
虽然这种“直接对数据库操作”的运维方式故障解决效率较高,处理环节简单,但是存在着系统上的安全风险。
同时,受多方面因素限制,大多数石油公司无法监控每个故障解决执行过程,往往由集成商独立操作,出现了系统安全漏洞,如:集成商操作员什么时候进入数据库、执行什么操作,对什么数据表进行增加、删除和更新什么数据等操作处理,集成商进行日常的管理工作,也无法进行监控。
整个加油卡系统运行中没有任何“痕迹跟踪”日志管理手段,无法对人工干预的合法性,以及非合法用户操作进行监控,成为系统安全管理上的一个“盲区”,危及了加油卡系统的安全。
同时,这种运维体系缺陷,增加了系统核心数据的风险,降低了系统安全性,一旦业务数据受到攻击破坏,整个系统就会陷入危机。
这样,势必增加以下数据库安全风险,具体表现在:运维执行部门风险、运维执行方式风险、各种接口系统风险、数据库管理风险。
加油卡系统核心数据库采用的是当前主流数据库系统ASE SYABSE 12.5,而SYBASE自有的security审核功能提供了严密的主动安全防范策略的审核功能机制。
通过SYBASE数据库的审核机制,构建加油卡系统数据库操作监控机制,既能记录所有用户对核心数据库中重要数据操作的内容、执行时间等,又便于数据库安全员的跟踪和检查,是解决上述人工纠错存在的问题和安全风险的有效方式。
基本原理及构成系统审核体系基本原理及构成三、SYBASESYBASE系统3.2 SYBASE审核机制基本原理根据加油卡存在的安全风险、审核机制基础构成和SYBASE审核级别划分要求,Sybase审核机制提供了审核服务的方法,能够全面或者自定义审核跟踪服务器上一切活动的工具,其工作原理是:加油卡系统数据库审核系统启动服务后,一旦需要审核事件发生,审核系统会根据预先设置审核策略,自动记录一组用户在数据库操作的日志记录,也就是与核心数据库安全性相关的操作均可被记录下来。
数据库安全管理员只要检测审核记录,便可掌握核心数据库被使用状况。
这样可以跟踪、监测任何用户的具体操作,可以检查库中实体的存取模式,这也使审核系统具有一种威慑力。
在某些情况下,虽然难以阻止非法操作的发生,但至少可以监视非法操作,并采取跟踪措施。
可以将数据库审核类型进行分类:语句审核(STATEMENT AUDITING);权限审核(PRIVILEGE AUDITING);对象审核(OBJECT AUDITING)。
具体审核流程为:①建立审核数据库sybsecurity ② 启动安全审核服务 ③建立审核安全策略 ④查看审核记录表 ⑤分析数据 ⑥进行相关审核安全处理。
一旦核心数据库的审核体系建立完毕后,系统管理员可以从数据安全的角度和系统运维的需要,制订好数据审核的规则与策略。
3.3 SYBASE审核体系的基本构成S YBASE审核系统由系统数据库、配置参数和系统存储过程组成,SSO角色是唯一管理审核的用户。
审核记录了与与安全相关系统活动,用于统计、跟踪权限或资源使用情况,可以对指定的登陆名进行跟踪。
符合C2级安全等级。
构成中石化加油卡系统SYBASE审核体系的主要包括:(1)中石化加油卡系统Sybsecurity是审核主数据库(2)系统数据表包括sysaudits(用于存储审核记录表,审核信息均被记载在这个表)、Sysauditoptions (审核选择设置记录)(3)Sybsystempocs中一组系统存储过程、审核功能的静态或者动态的环境变量的设置、审核队列的设置和审核处理程序。
根据加油卡系统管理需求,管理员可以使用这些存储过程,灵活地设置审核内容及定义审核功能。
(4)审核队列的设置,定义了核心数据库业务审核队列先后次序。
当定义的审核事件发生时,审核记录首先被放在内存审核队列,然后由审核处理程序依次进行审核处理。
3.4划分SYBASE审核级别根据中石化加油卡的业务需求特点、范围内容和运维安全风险的分析,可以将系统安全审核划分四个安全审核等级:SQL系统级、数据库级、对象级和用户级。
这样,通过审核等级的划分,数据安全员能够方便地规划系统审核机制,审核管理更趋于合理、管理更加明确。
(1)SQL系统级:应用于影响整个服务器的命令,例如启动服务器、磁盘操作和允许用户定义即席审核记录的命令,包括如下操作login ,logout ,reboot ,remote, fatal error。
(2)数据库级:应用于数据库,即OIL数据库的操作,例如更改数据库、批量复制数据、授予或撤销对数据库中对的访问权以及在数据库中创建对象。
包括操作grant, truncate table,drop,use。
(3)对象级:包括卡帐交易流水表、卡基础表等、包括选择、插入、更新或删除特定表或视图的以及执行触发器或过程。
table/view access ,procedure,trigger执行。
(4)用户级:限定应用于特定用户或系统角色, 包括Table/View access,Command Text。
我们根据运维要求,在SYBASE数据库中建立总部运维中心运维用户OILUSERLEVEL_ZB、地方集成商OILUSERLEVEL_DF用户、根据业务工作和内控要求分配合理的数据库权限。
降低加油卡SYBASE数据库访问风险。
3.5、SYBASE审核系统的建立加油卡核心数据库审核系统体系建立流程为:(1)创建数据库sybsecurity;(2)在sybsecurity中建立多个sysaudits审核表;(3)设置用于切换审核表的审核阈值;(4)建立数据库用户,例如:总部运维中心运维专用用户OILUSERLEVEL_ZB、地方集成商OILUSERLEVEL_DF后台管理用户,分配相应的操作权限和数据库角色;(5)设置审核系统的环境变量;3.6、SYBASE审核策略的优化加强审核安全与提高系统效能是矛盾和统一的关系,通过SYBASE审核系统可以检测异常或可疑用户的操作,以及未授权的访问。
由于加油卡系统交易笔数较大,需要控制的关键数据表较多、审核控制点较多,过分注重SYBASE审核机制、提高安全问题反而会增大系统开销,增加了服务器CPU的额外负担,从而降低了系统性能,所产生的大量的数据库审核记录可读性差,利用率低下。
所以加油卡系统在审核机制的制定规划时,必须科学合理。
所以, 加油卡SYBASE数据库系统审核策略制订原则:根据运维业务需要和内控要求,对重要的业务数据表,访问人员的数据库操作服从“全盘考虑、策略有序、重点审核、效率优先”严格规范的审核流程和审核控制。
可以通过建立加油卡系统审核控制表,合理设置审计控制点。
这在提高加油卡数据库系统运维安全、抵御风险中,是十分必要的。
例如: 加油卡系统审核控制表审核级别 审核内容 审核角色 审核操作SQL系统级 运维人员登录、注销、插入、删除、执行存储过程OILUSERLEVEL_ZBOILUSERLEVEL_DFsp_audit “login”,“OILUSERLEVEL_DF”,”OIL”,”on”数据库级设置审核所有用户对数据库OIL进行备份转储操作。
OILUSERLEVEL_ZB、sp_audit “dump”,“OILUSERLEVEL_DF”,”OIL”,”on”对象级增加、删除和更新卡帐户表cardaccount OILUSERLEVEL_ZBsp_audit 'update', 'OILUSERLEVEL_DF','cardaccount', 'on'…………对加油卡系统中重要数据库和数据表只须通过一系列审核内容的设置,就能达到理想的安全要求。
查询审核跟踪记录的方法,中石化加油卡系统审核表sysaudits是所有审核记录数据日志,在SYABSE启动审核机制启动后,审核系统依据审核规则对操作用户进行监听和操作行为进行跟踪,形成一组数据记录存储于审核数据库中。
通过数据表记录的分析,系统管理员不难分析用户的操作内容、过程,达到监控管理的目的。
表结构包括的主要内容:eventtime,审核事件发生的日期和时间;loginname:与suid相应的登录名;loginname:与suid相应的登录名;dbname:与dbid 相应的数据库名;extminfo:有关被审核的SQL执行内容其它信息。
当然,对审计表进行多种条件组合的规则设定,可以方便地查询审计记录。
在此基础上可以开发加油卡审核监控系统,可以提供包括记录、报警和中断处理。
