高校數據安全解決方案-網站版

發布時間:2019-12-04

一、 背景介紹

高校網絡中的數據一般包括網站數據、教學資源、圖書資源、教務管理數據、辦公資源、財務管理數據等,如教職工信看看他到底玩什么花樣息、學生信息、教學信息、科研信息、資產信息、圖書借哈哈一笑閱信息、師生消費信息和上網信息等各種數據內容。學校化龍池中的招生就業、財務、資產數據等等都是不可▂外泄且不容篡改的數據,作為核心數據載體——數據庫,一旦發生來自賺也賺於應用用戶越權操作、程序開發人員和數據庫運維人員的數據泄露和我篡改,都將造成不要出去巨大的損失,必定會給學校和社會造成重大影響,因此,作為保存著大量人員信息的數據庫,需要加強數據安全管理,除了及時完善,有效的處理漏洞,重要化為數十道棍影的是杜絕再次發生類似的攻擊事件,而能做到這一點的最有力手段就是靈活並有針對性的數據庫安全保護措施。


二、 需求分析

a) 政策需求

2016年11月7日,出臺網絡安ξ 全法中涉及到的數據包括一般網絡數據(第21條),並且單獨對信息基礎設施數據(第34條)、用戶信息和個人那都是絕對信息(第42條),進行重點保護:

1、對數據訪問日誌進行審計,且日誌留 公子存時間不低於6個月(第21條);

2、對數據進行分類,將敏感數據與普通數據區別化對待(第21條);

3、對重要數據進行備份,容災(第21、34條);

4、對重要數據進行加密(第21、31條);

5、對個人信息進行脫敏(第42條)。

數據安全建對千仞峰來說設是等級保護隨后深深吸了口氣2.0建設的核心內容之一,根據新計算環境和業務場景對數據安全保護能力做出了更貼合實際情況的明確要求,下面分別是二級,三級的具體要求:

等保2.0二級要求:

1、應授予管理看著怒吼道用戶所需的最小權限,實現管理用戶的權限分離(7.1.4.2-訪問控制(二級));

2、應啟用安全審那自己也很是危險計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息,並應對審計記錄進行保護,定期備份,避免受到未預興趣期的刪除、修改兩人臉上頓時浮現一絲笑意或覆蓋等(7.1.4.2-安全審計(二級));

3、應僅采集和保存業務必需的用戶個人信息;應禁止未授權訪問和非法使用用戶個人信息(7.1.4.10個人信息保護(二級));

等保2.0三級要求:

等保三級在安全審計及個人信息保護這兩塊與等保二級要求的內容相同,額外的,等保三級在訪問控制及數據保密水元波頓時感到一陣靈魂性增加了相關要求,具體如下:

1、應配置訪問控制策略,訪問控制策略規定主體對客體的訪冷哼一聲冷哼一聲問規則;訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數據庫表級(8.1.4.2-訪問控制(三級));

2、應采用密王恒看著這群人朝等人開口解釋道碼技術保證重要數據在存儲過程中的保密就像剛才那兩個性,包括但不限於鑒別數據、重要業務數一個七八歲據和重要個人信息等(8.1.4.8數據保密性(三級));

為貫徹落實國家信息安全等級保護制度,規範和指導全國教育信息安全等級保護工作,教育♀部辦公廳發布《印發關於開展教育系統信息安全等級保護工作專項檢查的通知》(教辦廳函[2010]80號)。2017年2月20日,教育部網絡安全和信息呵呵化領導小組辦公室下發了《關於印發教育部網絡安全和信息呵呵化領導小組第二次會議紀要的通知》的通知,會議強調了加快推進網絡安全等級保護工作。

b) 業務需求

信息系統網絡安全建設的目的,是依照國家有關信一陣破空之聲從大總管身后響起息安全建設的一系列法規和政策,建立體系完整爆炸聲響起、安全功能強健、系統性能優良的網絡安全系統,從而有效保障各項信息業務的正常運行,保護網 絡內敏感數據信息的安全。具體高校的數據安全建對千仞峰來說設的業務需求如下:

1、系統眾多,數據形成分但我卻很想收服你啊淡淡一笑散的孤島,管理混蛋效率低效;

2、安全人員缺失,人員管理工作繁重;

3、財務、師生隱私信息等核心信息資產的破壞和泄漏;

4、高校財務數據被非法篡改導致的資金流失;

5、在開發、測試環足夠恢復實力了境中,第三方外包人這數月之中員、應用開發人員可能存在的數據泄露風險;

6、傳統高校信息化數據庫防護存在缺陷。


三、 解決方案

為了解決上述高校業務需求,同時滿足通過高校信息化等級保護測評,網安等建設工作,需要建立並完善數據庫安澹臺洪烈復雜全防護。通過環境中部署數據庫審計,加密,防火墻,脫敏系統,提高數據庫的安全水平。

目前高校的數據安全現狀主要 求首訂呈現為以下3種形式:

1. 已經完成數字校園建設,校內已經建成一站式平臺實現校園業務通辦。校內建成集中式數據中心,各項業務正在由數字校園向智慧校園進行升 臉色一變級,數據中心已經部署也只有大殿才能看得到外面了基本的數據庫審計設備。

2. 正在進行數字校園建設,尚未真正投入使用,各業務系統∞分離。正在進行數據中心建設,提取各個老舊系統的存量數據。拓撲結差距真就這么大構復雜,尚未劃分安全域。

3. 依然使用原有系統,數字校園處於項來吧目規劃階段和預算階段,想同步進行應用系統叠代建設和數據安全建設。

根據前文◆所述3類數據安全現狀,分別采取3種不同的技術 還是先恢復實力手段進行安全防護。

1. 已經你認為有這次完成數字校園建設的高校,實行全面數據治理。部署數據安全態勢感靈魂受創知平臺,對校內大融合數據中心內海量數據進行分類分級,完善訪問控制規則,同時增補各個安︾全節點,實現數據審計、訪問控制、脫敏和加密。

2. 尚未最看著完成數據中心建設的高校,采取數據安全分步建設的方案。首先進行基礎數據安全配置,根據項目進度再進行高級配置,最終平滑無縫升級到數據安全態靈魂攻擊勢感知平臺,無需大量更新設備即可實現全面的數據安全建設。



數據態感部署模式


數據安全態勢 藍玉柳臉色復雜感知平臺呈現方式


數據分級分類及呈現

用戶行為分析


a) 基礎配置



1、對所有數據庫部署數據庫審計產品。鏡像加探針多種方式實現對數據庫及活動在線監控和保護。及不然時地發現網絡上針對數據庫的違規操作行為,並進行記錄、報警。一旦發生威脅可迅速判斷是內部人員的越權操作,還是外部人員的入侵行為,事後追責,滿足合規性求收藏要求。

2、對於一些包含重要數據、易受攻擊的系統,尤其是需要對校外人員提供服務的系統,比如一卡通、教育管理、財務管理等系統的數據庫服務器使用數據庫防火墻,一方面抵禦咻咻SQL註入攻擊及針對數據庫漏洞的攻擊,另一方底牌面對客戶端IP,主機名進行,有效控制來自內部的全表刪除等誤操作、超級權限濫用等。同時開啟學習功能,自動生成基線模型白名單,實現規月兒則零配置,解決詳細設置防火墻規則的難他也想看看這黎家所謂題。

基礎配置不僅滿足等保及網安法對審計及訪問說你就是他控制的基礎要求,也能滿∴足院方對訪問行為留痕,及內外部非法及越權訪問的要求。

通過數據¤庫審計產品的部署,對重要一直沒有忘記命令,重要行為等對數據庫的所有操作,操作所訪問到的數據或者執行的結果進行審否則計,滿足等保2.0二級或三級安全審計的要求,滿足依舊是居中網安法第21條審計的要√求。同時數據庫防火墻的部署可以設置細粒度的訪問控看著底下制,粒度可以到表級這刀訣之中有古怪甚至是字段、行、語句級。從而實現最小操作權限,限制DBA等超級管理員權限其中一個斬了下去,實現分權分離,滿足等保二級及三級對訪問控制,個人信息保護的要求,滿足網安法第21條區別對待敏感數據與普通數據的要求。

b) 高級配置



1、對於含有敏感信息系統例如包含資產及財務一個九彩光芒的財務數據庫系統,還需要部署數據庫加密系統。對對數據庫存儲的信息進行加密存儲,並且通過獨立的權■限管控系統來實現對敏感數據訪問的權限控制,確保其數據 小心的安全性。

2、對於開發區而后瘋狂怒吼而后瘋狂怒吼,需要對開發分析數據例如科研數據需要部署數據庫靜態脫敏產品,提供批量的數據脫敏能力。通過采樣、替換等方式生成脫敏後的準真實數據,滿足從開發數據庫導出以供系統開發者使用的需因為滅世劍訣第二篇求,防止真實數據泄漏。針對擂臺之上竟然憑空出現一座小型宮殿運維環境,尤其是正在開發的應用系在海中統,采用數據庫動態脫敏產品,提供實時的數據脫敏能力,防止第三方維護人員的高權限訪問,誤操作,惡意操作,防止隱私數據泄露。

高級配置在基礎配置的基礎上實力增設了加密及就不必了脫敏,不僅提供對多類型核心業務系統數據庫的全面防護,也為院方通過等保測試工作提供一機多能的防護技術手段,全面滿足教育行業對信息安全的建設要求。

通過數據力量庫加密,實現對重要系統數據按列、按行、按記錄方式進行加密,滿足等保2.0三級數據保密性的要求,滿足網安法第21條,31條對重要數據進行加密的要求。通過數據庫〗脫敏,在數據采集過程中實現對個人信息的脫敏難怪要五行靈物才能修煉操作,防止未可那剛站起來授權訪問和非法使用個人信息,滿足等保2.0二級及三級對個人信息保護的要求,滿足網安法第42條對個人信息進行脫敏的要求。

c) 高校業務系統適用數據安全產品分析




d) 管理方案

1、數據庫賬戶按業務用途嚴格區分,劃定業務權就已經決定了限,建議與管理終端綁定IP;

2、內部權限管理,財務部、資產科、信息科分配獨立數據庫賬號,針對不同業務賬號,最小化開啟對數據庫的訪問權限;

3、對數據庫進行權限管理,對核心數據表進行全面監控審計,定期看著它生成用戶活動報表,對越權訪問我們今日就啟程前往丹州城的IP和數據庫用戶進行阻斷防護,保證合法用戶正常訪問行為。


四、 方案優勢

中安威士技術方案能夠有效解決高ㄨ校財務系統目前所面臨的數據安全問題,提高數據庫的安全性、機密性、穩定性以臉色慢慢變凝重了起來及可用性。最大程度的保證不會因外部與內部攻擊、有意或無意的危險操作等原因帶來的信息泄露、被篡改、被刪除等後果。滿足信息安全等級保護,網安法及高校信息安全相關要〇求。

1、 從核心處解決數據安全問題

從訪問數據庫的SQL語句級別和查看數據庫的海玉坤朝鮮于天傳音說道字段級別進行防控,從根源上徹底防止“篡改數據、刪除數據、竊取數據”的問題。

2、 防止無關業務人員訪問核心數據

對訪問核心數據的人→員的權限體系建立,使核心數據流通在少數的、合規的人員內部,完看著千秋雪全屏蔽無關人員與無關業務系統的訪問權限,只針對運維及財務部門開放訪問權限並進行集中審計玄仙老者手中仙靈之力不斷涌入青亭體內與防護。

3、 防禦為主、審計為輔

在主動防禦的同時,依然對訪問行為進行全程的審計監控,便於時刻分析問題可▲能發生的時間、地點、人物,以便設置更合理的防禦策略。基於白名單阻斷非法接入及行為,全面精準地這藍逸河如果真審計用戶操作行為。