freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

西安电子科技大学的数据安全建设之路
  • 关注
西安电子科技大学的数据安全建设之路
2020-07-03 14:12:28

《教育信息化2.0行动计划》、《中国教育现代化2035》等一系列国家政策的相继出台,吹响了加快信息化时代教育变革的号角。如今,随着“三全两高一大”持续推进、信息技术广泛应用,海量数据随之产生,数据的使用方式和使用者也更加广泛。

 高校数据具有真正的、可衡量的价值,如科研数据、身份号、银行号、资助数据、贷款数据等重要信息和敏感数据更是高校的“生命线”,需要安全、妥善的保护。而当前,各高校在对数据的保护上往往侧重于规范网络层应用用户、阻止外部黑客攻击,聚焦于网络边界的访问控制,真正对数据库核心数据却缺乏应有的保护。 尤其对于内部人员管控,鉴于高校操作数据库人员较为复杂,账号共享、特权访问、误操作等现象普遍存在,这一环节如若缺乏有效的管理和监控措施,“特洛伊木马事件”的发生将造成严重后果。 

那么如何避免祸起萧墙,实现全面的数据安全保护?今天,不妨走进西安电子科技大学,看这所双一流高校的最佳实践。

 

客户简介

“厚德、求真、砺学、笃行”,始建于1931年的西安电子科技大学(以下简称:西电),是我国最早建立信息论、信息系统工程、雷达、微波天线、电子机械、电子对抗等专业的高校之一,也是直属教育部,国家“优势学科创新平台”项目和“211工程”项目重点建设高校之一。2017年学校信息与通信工程、计算机科学与技术入选国家“双一流”建设学科。

93ae39f2605840209d726dca5f8219a4

作为具有鲜明电子和信息学科特色和优势的全国重点大学,西安电子科技大学信息化建设同样值得关注。近年来,西电紧跟教育信息化2.0时代的浪潮,充分利用大数据分析、人工智能等新兴前沿技术服务高等教育改革,构建智慧育人新平台,全面提升行政管理能效,着力打造让师生“少跑一段路、少推一扇门、少说一句话”的智慧校园服务体系。

随着各项业务逐渐走向线上,信息化管理业务、服务系统不断增加,各数据库中也积累了大量教学数据、科研数据、一卡通数据、人事数据、论文信息、财务信息等敏感数据。目前,西电使用堡垒机作为全校业务系统运维管理的统一入口,但停留在应用系统层面基于账号的运维管理,无法深入到数据层将数据资产与人员的关联关系以及交互过程进行有效的精细化管控。

 

对此,基于数据资产的角度,如何从数据层面保障西电重要数据与敏感隐私数据在使用过程中的安全成为西电信息安全建设的重点。


具体需求如下:

1、对西电信息化管理与服务系统数据进行梳理,对重要数据以及敏感数据进行定义与分级分类,从数据资产的角度明确保护对象和保护措施。

2、对现有特权账户进行统一管理,从数据层面对访问人员权限进行细粒度控制,防止敏感数据被越权。对运维人员、开发人员、业务操作人员进行多因素身份认证与识别,根据不同人员的权限进行访问控制,避免非法访问。

3、重点监测所有敏感数据的操作行为,防止非法操作以及违规操作造成的严重后果,避免数据库运维过程中的误操作行为。

4、对数据的所有访问与操作行为进行全面的监控,第一时间发现潜在数据库高风险行为,精准发现违规和高风险行为,杜绝告警泛滥。

解决方案

针对西安电子科技大学安全需求,美创数据库防水坝通过对学校重要以及敏感数据进行分类分级,对内部高权限用户进行管理控制,对面向数据的危险操作进行进行授权管理与访问控制,对数据库操作进行细粒度审计管理,对数据库存在的风险行为、攻击行为进行告警,从而实现数据资产内部使用过程的风险控制,整体提高学校数据资产安全。

c8ac2c453cc14f6291f5feebbe34e06b部署图

☞ 一、基于数据库防水坝敏感数据分级分类功能,以表格或列为单位进行细粒度管理,将西电重要及敏感数据从普通业务数据中脱离进行独立管理,从而明确数据保护对象实施更加安全的保护措施。

 

☞ 二、数据库防水坝系统以身份为中心,通过对运维人员、开发人员、业务操作人员进行身份鉴别,基于最小化权限原则,根据不同的数据使用人员授予不同的数据使用权限,进行敏感数据访问控制。隔离DBA、SYSDBA、SchemaUser、Any等特权,使其只能访问授权范围内的敏感表格数据。

 

☞ 三、对DDL、DML、代码类高危操作,结合细粒度访问控制和工作流审批进行监控,支持数据恢复机制,避免误操作导致的数据丢失。

 

☞ 四、从数据库访问、终端、风险策略、敏感资产等多角度进行监控,风险发生时进行实时告警。

 

方案亮点:

1、敏感数据分级分类,从数据资产角度出发建立数据安全的底层基础。

 

2、以人员身份为中心,对人与数据之间的关联关系与交互使用进行精细化的访问控制,隔离重要敏感数据与人员,实现特权账号的分权管理与重要敏感数据的访问控制。

 

3、基于敏感数据访问控制建立数据误操作防范机制,有效避免误操作、恶意操作造成的数据丢失。

 

4、对数据的所有访问与操作行为进行全面的监控,通过精确的行为识别和灵活的规则配置,发现真正的违规和高风险行为并预警。

 

客户收益

➢ 通过美创数据库防水坝系统,建立了西安电子科技大学数据层面的内部数据使用安全管控体系,完善了整体的信息安全架构。

➢ 基于人员与数据资产的内部数据安全使用管控能力,能够有效防止内部数据安全泄露风险,提升学校整体的数据安全防御能力。

➢ 敏感数据分类分级,形成了数据安全的底层基础,为后续数据安全建设的扩展延伸打下了坚实的基础。➢ 立足数据安全风险管控,保障学校重要数据以及师生个人敏感隐私数据安全,满足教育部相关政策要求。

 

# 系统安全 # 数据安全 # 教育行业数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者