發(fā)布地址: 北京
又是一年高考季,高校承載著考生的夢想,同樣肩負(fù)著筑牢學(xué)校教育系統(tǒng)數(shù)據(jù)安全防線的責(zé)任。
本文將聚焦“雙一流”高校西南大學(xué)某核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全建設(shè)實(shí)踐,解析高校數(shù)據(jù)安全防護(hù)的典型路徑。
西南大學(xué)是教育部直屬,教育部、農(nóng)業(yè)農(nóng)村部、重慶市共建的重點(diǎn)綜合大學(xué),國家“雙一流“建設(shè)高校,“211工程”和“985工程優(yōu)勢學(xué)科創(chuàng)新平臺”建設(shè)高校。學(xué)校現(xiàn)有在校學(xué)生5.8萬余人,專任教師3300余人,擁有雄厚的教學(xué)科研實(shí)力。
伴隨 《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的實(shí)施,以及《教育部關(guān)于加強(qiáng)新時(shí)代教育管理信息化工作的通知》《教育部等七部門關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》等文件要求,各高校亟需構(gòu)建數(shù)據(jù)安全體系,加強(qiáng)核心數(shù)據(jù)和重要數(shù)據(jù)管理,采取技術(shù)手段保障數(shù)據(jù)全生命周期安全。
傳統(tǒng)安全邊界弱化:互聯(lián)網(wǎng)、云計(jì)算等技術(shù)普及弱化了傳統(tǒng)安全邊界,數(shù)據(jù)資產(chǎn)成為核心保護(hù)目標(biāo),需重新審視防護(hù)手段。
制度體系不完善:缺乏體系化管理制度,數(shù)據(jù)安全權(quán)責(zé)劃分不清晰;管理混亂,易出現(xiàn)安全事故。
明文存儲風(fēng)險(xiǎn):學(xué)校信息化深入發(fā)展,各系統(tǒng)存儲大量敏感數(shù)據(jù),但當(dāng)前數(shù)據(jù)多以明文存儲。一旦發(fā)生泄密、破壞等安全問題,后果嚴(yán)重。
數(shù)據(jù)共享流動風(fēng)險(xiǎn):數(shù)據(jù)在共享交換、流動利用過程中,面臨泄密、篡改、破壞等安全威脅。
因此,對核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)實(shí)施有效保護(hù),采取必要的數(shù)據(jù)安全管理和防護(hù)措施,防止數(shù)據(jù)安全事件發(fā)生,成為西南大學(xué)迫切的建設(shè)需求。
西南大學(xué)攜手美創(chuàng)科技,以校內(nèi)某核心業(yè)務(wù)平臺數(shù)據(jù)庫作為本次數(shù)據(jù)安全建設(shè)試點(diǎn)。管理上,搭建數(shù)據(jù)安全制度體系;技術(shù)上,以美創(chuàng)數(shù)據(jù)安全一體化平臺為基座,數(shù)據(jù)庫防火墻、數(shù)據(jù)庫透明加密為安全能力端,實(shí)現(xiàn)對數(shù)據(jù)存儲域與流動域的風(fēng)險(xiǎn)防護(hù)。
方案部署圖
識別風(fēng)險(xiǎn)現(xiàn)狀,完善管理制度
結(jié)合法律法規(guī)及教育行業(yè)的相關(guān)規(guī)定,美創(chuàng)數(shù)據(jù)安全咨詢服務(wù)團(tuán)隊(duì)對西南大學(xué)指定核心業(yè)務(wù)平臺數(shù)據(jù)安全現(xiàn)狀進(jìn)行綜合摸底,開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估和分析,包括合規(guī)安全、組織建設(shè)、制度建設(shè)、技術(shù)工具等模塊,修訂、完善了相關(guān)制度文件,包括《數(shù)據(jù)安全管理辦法》《數(shù)據(jù)安全應(yīng)急響應(yīng)管理制度》等。
厘清數(shù)據(jù)底賬,實(shí)施分類分級
結(jié)合大學(xué)人員情況,建立分類分級工作組,制定內(nèi)部工作匯報(bào)流程。通過對該核心平臺數(shù)據(jù)進(jìn)行盤點(diǎn),劃定本次分類分級工作范圍和工期計(jì)劃。重點(diǎn)參考《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認(rèn)定工作指南(試行)》《教育數(shù)據(jù)分類分級指南(征求意見稿)》等,規(guī)劃設(shè)計(jì)《分類分級目錄大綱》,輸出《分類分級標(biāo)準(zhǔn)》,明確學(xué)校、學(xué)生、教職工、教學(xué)、科研、公共服務(wù)、其他等敏感數(shù)據(jù)識別策略,多層次分類分級要求等。
實(shí)施過程,由美創(chuàng)智能數(shù)據(jù)安全分類分級平臺支撐,實(shí)現(xiàn)數(shù)據(jù)自動發(fā)現(xiàn)識別,并根據(jù)分類分級策略智能化處理分類分級標(biāo)簽,可視化呈現(xiàn)分類分級結(jié)果。
根據(jù)分類分級成果內(nèi)容制定《分類分級分級管控要求》,明確圍繞數(shù)據(jù)全生命周期,各級數(shù)據(jù)安全管控要求,用于指導(dǎo)本次及后續(xù)數(shù)據(jù)安全防護(hù)建設(shè),實(shí)現(xiàn)分級管控、分級加密建設(shè)目標(biāo)。
在安全技術(shù)建設(shè)方面,為強(qiáng)化核心業(yè)務(wù)平臺數(shù)據(jù)庫防護(hù)能力,通過部署美創(chuàng)數(shù)據(jù)庫防火墻,基于資產(chǎn)識別、SQL注入、漏洞防護(hù)等安全防護(hù)策略,阻斷疑似的數(shù)據(jù)攻擊行為,防止數(shù)據(jù)批量泄密。具體包括:
精準(zhǔn)SQL注入防御:基于語法分析構(gòu)建SQL注入特征庫,對非白名單SQL語句進(jìn)行特征匹配,依據(jù)風(fēng)險(xiǎn)等級進(jìn)行阻斷。
虛擬補(bǔ)丁:通過在數(shù)據(jù)庫防火墻安裝虛擬補(bǔ)丁,有效檢測并阻斷針對數(shù)據(jù)庫漏洞的攻擊嘗試,數(shù)據(jù)庫無需修改實(shí)際代碼、停機(jī)安裝補(bǔ)丁。
漏洞攻擊防護(hù):建立用戶信息白名單,限制異常請求頻率與次數(shù),有效防御撞庫、DDoS、拖庫等外部攻擊行為,保障數(shù)據(jù)庫安全。
為杜絕數(shù)據(jù)明文存儲及數(shù)據(jù)流動環(huán)節(jié)帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn),通過部署數(shù)據(jù)庫透明加密,并啟用閃電加密模式,在保障業(yè)務(wù)正常使用的情況下,實(shí)施符合國家標(biāo)準(zhǔn)的SM4算法數(shù)據(jù)加密存儲。對違規(guī)訪問行為、未授權(quán)身份進(jìn)行阻斷,防止數(shù)據(jù)全量違規(guī)拷貝、拖庫泄密風(fēng)險(xiǎn)。具體包括:
數(shù)據(jù)存儲安全數(shù)據(jù)存儲加密:敏感數(shù)據(jù)在存儲層加密,即使數(shù)據(jù)庫文件或備份文件失竊,數(shù)據(jù)也無法被解密利用。
權(quán)限管控:有效阻斷運(yùn)維人員無意識訪問、越權(quán)訪問;即使攻擊者獲取DBA或Schema等高權(quán)限賬戶,也無法接觸和感知敏感數(shù)據(jù)。
業(yè)務(wù)透明透明無感知:業(yè)務(wù)程序無需任何修改(業(yè)務(wù)邏輯、代碼),透明訪問加密數(shù)據(jù)。
性能無損:索引是業(yè)務(wù)程序性能的關(guān)鍵措施,數(shù)據(jù)庫透明加密無需改變索引策略,確保業(yè)務(wù)程序性能不損傷。
權(quán)限管控:加解密過程透明無感知,對于具備密文訪問權(quán)限的用戶自動進(jìn)行加解密,對于缺乏密文訪問權(quán)限的應(yīng)用拒絕訪問。
1
合規(guī)遵循:有效滿足《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》及教育部相關(guān)文件對抵御內(nèi)外攻擊、敏感數(shù)據(jù)加密的核心要求,助力高校輕松合規(guī)。
2
制度體系搭建:從組織、制度、人員等管理維度,開展調(diào)研工作,并結(jié)合現(xiàn)有制度體系和安全管理需要,修訂、完善了數(shù)據(jù)安全相關(guān)制度、流程和規(guī)范文件,以滿足學(xué)校安全管理要求及實(shí)質(zhì)合規(guī)要求。
3
存儲機(jī)密性保障:敏感數(shù)據(jù)加密存儲,即使遭遇系統(tǒng)失陷、數(shù)據(jù)文件竊取等事件,加密機(jī)制也能確保數(shù)據(jù)無法被還原利用,真正做到“攻擊者看不懂”。
4
業(yè)務(wù)連續(xù)性保障:加密解密過程對授權(quán)用戶和業(yè)務(wù)系統(tǒng)完全透明,業(yè)務(wù)邏輯無需調(diào)整,訪問結(jié)果保持明文,確保業(yè)務(wù)流暢運(yùn)行零影響。
5
強(qiáng)化數(shù)據(jù)庫安全防護(hù):智能分析評估,阻斷高危操作、SQL注入、漏洞攻擊、撞庫等行為,有效保護(hù)數(shù)據(jù)庫免受來自外部的入侵攻擊。
更多案例實(shí)踐(點(diǎn)擊下方標(biāo)題,即可了解案例詳情):
??寧波大學(xué)全面數(shù)據(jù)安全體系建設(shè)
??許昌職業(yè)技術(shù)學(xué)院數(shù)據(jù)安全體系建設(shè)
??浙江大學(xué)數(shù)字教學(xué)平臺集中備份建設(shè)
??上海財(cái)經(jīng)大學(xué)開發(fā)測試、科研分析場景下的數(shù)據(jù)脫敏應(yīng)用
??長安大學(xué)數(shù)據(jù)庫運(yùn)行安全管理平臺建設(shè)
??西安電子科技大學(xué)數(shù)據(jù)運(yùn)維安全管控建設(shè)
??“雙一流”高校數(shù)據(jù)安全治理實(shí)踐
??浙江中醫(yī)藥大學(xué)數(shù)據(jù)安全體系化升級建設(shè)
關(guān)注微信公眾號
免費(fèi)查看免費(fèi)推送