背景

高校教育是国家科学研究、培养人才的重要手段,其数字化、信息化建设不断发展,有效促进了教学和科研质量的提升,但因此而引入各类信息系统中存储的敏感数据也越来越多,如职工信息、学生信息、教学信息、科研信息、资产信息、图书借阅信息、师生消费信息和上网信息等各种数据内容,考虑到数字化初期安全防范不足,越来越多的敏感数据收集,也预示着越来越大的数据安全风险。近年来,高校个人和科研信息价值不断疯涨,数据安全泄露事件不断频发,徐玉玉事件导致的悲剧,不断在提醒高校信息化建设要做好数据安全保障。同时,在国家推进《网络安全法》、《等保2.0》的新形式下,高校在《印发关于开展教育系统信息安全等级保护工作专项检查的通知》 、《2019年教育信息化网络安全工作要点》中对数据安全的保护工作将面临新的挑战。

需求分析

1. 防止黑客通过系统漏洞窃取数据

高校自建应用系统繁多,承建厂商技术水平参差不齐,后期安全运维人力不足,系统本身存在脆弱性。同时高校很多系统需要与外界共享导致网络环境比较开放,难以防范黑客利用系统漏洞进行的SQL注入,缓冲区溢出,提权拖库等侵入数据库的数据窃取行为。

2. 防范内部的数据安全威胁

高校的数据泄露往往是在内部发生的,内部多为第三方运维、外包、开发人员,由于其拥有高权限账号,同时安全管控方式比较缺乏,无法防范高权限用户篡改、删除、批量提取数据。

3. 开发、测试、培训数据泄露风险

高校在第三方开发和测试,教育课件软件培训的时候,往往是采用真实的数据,但是离开生产环境的真实数据,缺少了有效的安全防护,极易遭到数据泄露的可能。

4. 数据访问风险无法可视化

高校数据存放比较分散,不仅有独立的数据库,还有应用和数据库在一台机器上情况,有些会建立数据中心或托管到信息中心,数据库分布在不同位置,再加上访问人员构成复杂,导致数据流向不清,不能有效统计数据访问情况,识别风险。

5. 无法满足监管的要求

难以满足《网络安全法》、《等保2.0》、教育行业安全政策要求中,对于数据审计、防护和去敏感化的安全要求。

解决方案

针对高校的数据安全需求,具体方案如下:

通过静态脱敏,为开发、测试、培训提供所需数据

在数据离开生产环境时通过静态脱敏,切断真实数据和自然人之间的关系,为开发、测试使用;在内部教务人员培训时,使用脱敏后的数据,防止真实数据泄露造成的隐私问题。

通过数据库防火墙,对数据库的操作进行全面防护

通过防火墙独立的授权管理机制和虚拟补丁等防护手段,及时发现和阻断来自内部和外部的SQL注入攻击和越权操作行为,防止拖库、撞库、删除、修改等高风险行为发生。

通过数据库加密,防止特权访问和介质窃取

对数据库中的明文敏感数据进行加密存储,通过双层授权机制,防止高权限用户的未授权操作,以及极端情况下的介质窃取和托库行为。

通过数据库审计,对所有的数据库使用进行全面记录

对独立分散的数据库进行全面的数据访问行为记录,做到什么时候、哪个用户、在哪里、通过什么访问、访问了什么数据库操作信息,及时识别高风险行为并进行报警。


方案优势

  • 防止第三方人员开发、测试中造成的数据泄露。

  • 减轻因系统漏洞造成的黑客窃取数据行为。

  • 提高内部数据安全防范,防止误操作和恶意操作。

  • 对分散的数据库进行全面的数据安全监控,确保及时捕捉风险行为。


应用价值

纵深防御

由数据数据资产梳理、数据库防火墙、数据库脱敏、数据防泄漏和数据库审计组成数据库安全的纵深防御体系,有效防止数据泄漏。

动态防护

安全防护贯穿整个数据全生命周期,专注数据流转关键环节,兼顾业务可用性和数据安全性。

全面防护

同时支持结构化(数据库、大数据平台)和非结构化(文档、文件)数据的解决方案。

典型案例