又是一年高考季，高校承載著考生的夢想，同樣肩負(fù)著筑牢學(xué)校教育系統(tǒng)數(shù)據(jù)安全防線的責(zé)任。

本文將聚焦“雙一流”高校西南大學(xué)某核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全建設(shè)實(shí)踐，解析高校數(shù)據(jù)安全防護(hù)的典型路徑。

西南大學(xué)是教育部直屬，教育部、農(nóng)業(yè)農(nóng)村部、重慶市共建的重點(diǎn)綜合大學(xué)，國家“雙一流“建設(shè)高校，“211工程”和“985工程優(yōu)勢學(xué)科創(chuàng)新平臺”建設(shè)高校。學(xué)校現(xiàn)有在校學(xué)生5.8萬余人，專任教師3300余人，擁有雄厚的教學(xué)科研實(shí)力。

伴隨 《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的實(shí)施，以及《教育部關(guān)于加強(qiáng)新時(shí)代教育管理信息化工作的通知》《教育部等七部門關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》等文件要求，各高校亟需構(gòu)建數(shù)據(jù)安全體系，加強(qiáng)核心數(shù)據(jù)和重要數(shù)據(jù)管理，采取技術(shù)手段保障數(shù)據(jù)全生命周期安全。

• 傳統(tǒng)安全邊界弱化：互聯(lián)網(wǎng)、云計(jì)算等技術(shù)普及弱化了傳統(tǒng)安全邊界，數(shù)據(jù)資產(chǎn)成為核心保護(hù)目標(biāo)，需重新審視防護(hù)手段。

• 制度體系不完善：缺乏體系化管理制度，數(shù)據(jù)安全權(quán)責(zé)劃分不清晰；管理混亂，易出現(xiàn)安全事故。

• 明文存儲風(fēng)險(xiǎn)：學(xué)校信息化深入發(fā)展，各系統(tǒng)存儲大量敏感數(shù)據(jù)，但當(dāng)前數(shù)據(jù)多以明文存儲。一旦發(fā)生泄密、破壞等安全問題，后果嚴(yán)重。

• 數(shù)據(jù)共享流動風(fēng)險(xiǎn)：數(shù)據(jù)在共享交換、流動利用過程中，面臨泄密、篡改、破壞等安全威脅。

因此，對核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)實(shí)施有效保護(hù)，采取必要的數(shù)據(jù)安全管理和防護(hù)措施，防止數(shù)據(jù)安全事件發(fā)生，成為西南大學(xué)迫切的建設(shè)需求。

西南大學(xué)攜手美創(chuàng)科技，以校內(nèi)某核心業(yè)務(wù)平臺數(shù)據(jù)庫作為本次數(shù)據(jù)安全建設(shè)試點(diǎn)。管理上，搭建數(shù)據(jù)安全制度體系；技術(shù)上，以美創(chuàng)數(shù)據(jù)安全一體化平臺為基座，數(shù)據(jù)庫防火墻、數(shù)據(jù)庫透明加密為安全能力端，實(shí)現(xiàn)對數(shù)據(jù)存儲域與流動域的風(fēng)險(xiǎn)防護(hù)。

方案部署圖

識別風(fēng)險(xiǎn)現(xiàn)狀，完善管理制度

結(jié)合法律法規(guī)及教育行業(yè)的相關(guān)規(guī)定，美創(chuàng)數(shù)據(jù)安全咨詢服務(wù)團(tuán)隊(duì)對西南大學(xué)指定核心業(yè)務(wù)平臺數(shù)據(jù)安全現(xiàn)狀進(jìn)行綜合摸底，開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估和分析，包括合規(guī)安全、組織建設(shè)、制度建設(shè)、技術(shù)工具等模塊，修訂、完善了相關(guān)制度文件，包括《數(shù)據(jù)安全管理辦法》《數(shù)據(jù)安全應(yīng)急響應(yīng)管理制度》等。

厘清數(shù)據(jù)底賬，實(shí)施分類分級

結(jié)合大學(xué)人員情況，建立分類分級工作組，制定內(nèi)部工作匯報(bào)流程。通過對該核心平臺數(shù)據(jù)進(jìn)行盤點(diǎn)，劃定本次分類分級工作范圍和工期計(jì)劃。重點(diǎn)參考《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認(rèn)定工作指南（試行）》《教育數(shù)據(jù)分類分級指南（征求意見稿）》等，規(guī)劃設(shè)計(jì)《分類分級目錄大綱》，輸出《分類分級標(biāo)準(zhǔn)》，明確學(xué)校、學(xué)生、教職工、教學(xué)、科研、公共服務(wù)、其他等敏感數(shù)據(jù)識別策略，多層次分類分級要求等。

實(shí)施過程，由美創(chuàng)智能數(shù)據(jù)安全分類分級平臺支撐，實(shí)現(xiàn)數(shù)據(jù)自動發(fā)現(xiàn)識別，并根據(jù)分類分級策略智能化處理分類分級標(biāo)簽，可視化呈現(xiàn)分類分級結(jié)果。

根據(jù)分類分級成果內(nèi)容制定《分類分級分級管控要求》，明確圍繞數(shù)據(jù)全生命周期，各級數(shù)據(jù)安全管控要求，用于指導(dǎo)本次及后續(xù)數(shù)據(jù)安全防護(hù)建設(shè)，實(shí)現(xiàn)分級管控、分級加密建設(shè)目標(biāo)。

在安全技術(shù)建設(shè)方面，為強(qiáng)化核心業(yè)務(wù)平臺數(shù)據(jù)庫防護(hù)能力，通過部署美創(chuàng)數(shù)據(jù)庫防火墻，基于資產(chǎn)識別、SQL注入、漏洞防護(hù)等安全防護(hù)策略，阻斷疑似的數(shù)據(jù)攻擊行為，防止數(shù)據(jù)批量泄密。具體包括：

精準(zhǔn)SQL注入防御：基于語法分析構(gòu)建SQL注入特征庫，對非白名單SQL語句進(jìn)行特征匹配，依據(jù)風(fēng)險(xiǎn)等級進(jìn)行阻斷。

虛擬補(bǔ)丁：通過在數(shù)據(jù)庫防火墻安裝虛擬補(bǔ)丁，有效檢測并阻斷針對數(shù)據(jù)庫漏洞的攻擊嘗試，數(shù)據(jù)庫無需修改實(shí)際代碼、停機(jī)安裝補(bǔ)丁。

漏洞攻擊防護(hù)：建立用戶信息白名單，限制異常請求頻率與次數(shù)，有效防御撞庫、DDoS、拖庫等外部攻擊行為，保障數(shù)據(jù)庫安全。

為杜絕數(shù)據(jù)明文存儲及數(shù)據(jù)流動環(huán)節(jié)帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)，通過部署數(shù)據(jù)庫透明加密，并啟用閃電加密模式，在保障業(yè)務(wù)正常使用的情況下，實(shí)施符合國家標(biāo)準(zhǔn)的SM4算法數(shù)據(jù)加密存儲。對違規(guī)訪問行為、未授權(quán)身份進(jìn)行阻斷，防止數(shù)據(jù)全量違規(guī)拷貝、拖庫泄密風(fēng)險(xiǎn)。具體包括：

數(shù)據(jù)存儲加密：敏感數(shù)據(jù)在存儲層加密，即使數(shù)據(jù)庫文件或備份文件失竊，數(shù)據(jù)也無法被解密利用。

權(quán)限管控：有效阻斷運(yùn)維人員無意識訪問、越權(quán)訪問；即使攻擊者獲取DBA或Schema等高權(quán)限賬戶，也無法接觸和感知敏感數(shù)據(jù)。

透明無感知：業(yè)務(wù)程序無需任何修改（業(yè)務(wù)邏輯、代碼），透明訪問加密數(shù)據(jù)。

性能無損：索引是業(yè)務(wù)程序性能的關(guān)鍵措施，數(shù)據(jù)庫透明加密無需改變索引策略，確保業(yè)務(wù)程序性能不損傷。

權(quán)限管控：加解密過程透明無感知，對于具備密文訪問權(quán)限的用戶自動進(jìn)行加解密，對于缺乏密文訪問權(quán)限的應(yīng)用拒絕訪問。

1

合規(guī)遵循：有效滿足《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》及教育部相關(guān)文件對抵御內(nèi)外攻擊、敏感數(shù)據(jù)加密的核心要求，助力高校輕松合規(guī)。

2

制度體系搭建：從組織、制度、人員等管理維度，開展調(diào)研工作，并結(jié)合現(xiàn)有制度體系和安全管理需要，修訂、完善了數(shù)據(jù)安全相關(guān)制度、流程和規(guī)范文件，以滿足學(xué)校安全管理要求及實(shí)質(zhì)合規(guī)要求。

3

存儲機(jī)密性保障：敏感數(shù)據(jù)加密存儲，即使遭遇系統(tǒng)失陷、數(shù)據(jù)文件竊取等事件，加密機(jī)制也能確保數(shù)據(jù)無法被還原利用，真正做到“攻擊者看不懂”。

4

業(yè)務(wù)連續(xù)性保障：加密解密過程對授權(quán)用戶和業(yè)務(wù)系統(tǒng)完全透明，業(yè)務(wù)邏輯無需調(diào)整，訪問結(jié)果保持明文，確保業(yè)務(wù)流暢運(yùn)行零影響。

5

強(qiáng)化數(shù)據(jù)庫安全防護(hù)：智能分析評估，阻斷高危操作、SQL注入、漏洞攻擊、撞庫等行為，有效保護(hù)數(shù)據(jù)庫免受來自外部的入侵攻擊。

更多案例實(shí)踐（點(diǎn)擊下方標(biāo)題，即可了解案例詳情）：

??寧波大學(xué)全面數(shù)據(jù)安全體系建設(shè)

??許昌職業(yè)技術(shù)學(xué)院數(shù)據(jù)安全體系建設(shè)

??浙江大學(xué)數(shù)字教學(xué)平臺集中備份建設(shè)

??上海財(cái)經(jīng)大學(xué)開發(fā)測試、科研分析場景下的數(shù)據(jù)脫敏應(yīng)用

??長安大學(xué)數(shù)據(jù)庫運(yùn)行安全管理平臺建設(shè)

??西安電子科技大學(xué)數(shù)據(jù)運(yùn)維安全管控建設(shè)

??“雙一流”高校數(shù)據(jù)安全治理實(shí)踐

??浙江中醫(yī)藥大學(xué)數(shù)據(jù)安全體系化升級建設(shè)