其他
走进西安电子科技大学,揭秘双一流高校的数据安全建设之路
《教育信息化2.0行动计划》、《中国教育现代化2035》等一系列国家政策的相继出台,吹响了加快信息化时代教育变革的号角。如今,随着“三全两高一大”持续推进、信息技术广泛应用,海量数据随之产生,数据的使用方式和使用者也更加广泛。
客户简介
随着各项业务逐渐走向线上,信息化管理业务、服务系统不断增加,各数据库中也积累了大量教学数据、科研数据、一卡通数据、人事数据、论文信息、财务信息等敏感数据。目前,西电使用堡垒机作为全校业务系统运维管理的统一入口,但停留在应用系统层面基于账号的运维管理,无法深入到数据层将数据资产与人员的关联关系以及交互过程进行有效的精细化管控。
对此,基于数据资产的角度,如何从数据层面保障西电重要数据与敏感隐私数据在使用过程中的安全成为西电信息安全建设的重点。
具体需求如下:
1、对西电信息化管理与服务系统数据进行梳理,对重要数据以及敏感数据进行定义与分级分类,从数据资产的角度明确保护对象和保护措施。
2、对现有特权账户进行统一管理,从数据层面对访问人员权限进行细粒度控制,防止敏感数据被越权。对运维人员、开发人员、业务操作人员进行多因素身份认证与识别,根据不同人员的权限进行访问控制,避免非法访问。
3、重点监测所有敏感数据的操作行为,防止非法操作以及违规操作造成的严重后果,避免数据库运维过程中的误操作行为。
4、对数据的所有访问与操作行为进行全面的监控,第一时间发现潜在数据库高风险行为,精准发现违规和高风险行为,杜绝告警泛滥。
解决方案
☞ 二、数据库防水坝系统以身份为中心,通过对运维人员、开发人员、业务操作人员进行身份鉴别,基于最小化权限原则,根据不同的数据使用人员授予不同的数据使用权限,进行敏感数据访问控制。隔离DBA、SYSDBA、SchemaUser、Any等特权,使其只能访问授权范围内的敏感表格数据。
☞ 三、对DDL、DML、代码类高危操作,结合细粒度访问控制和工作流审批进行监控,支持数据恢复机制,避免误操作导致的数据丢失。
☞ 四、从数据库访问、终端、风险策略、敏感资产等多角度进行监控,风险发生时进行实时告警。
方案亮点:
1、敏感数据分级分类,从数据资产角度出发建立数据安全的底层基础。
2、以人员身份为中心,对人与数据之间的关联关系与交互使用进行精细化的访问控制,隔离重要敏感数据与人员,实现特权账号的分权管理与重要敏感数据的访问控制。
3、基于敏感数据访问控制建立数据误操作防范机制,有效避免误操作、恶意操作造成的数据丢失。
4、对数据的所有访问与操作行为进行全面的监控,通过精确的行为识别和灵活的规则配置,发现真正的违规和高风险行为并预警。
客户收益
➢ 通过美创数据库防水坝系统,建立了西安电子科技大学数据层面的内部数据使用安全管控体系,完善了整体的信息安全架构。
➢ 基于人员与数据资产的内部数据安全使用管控能力,能够有效防止内部数据安全泄露风险,提升学校整体的数据安全防御能力。
➢ 敏感数据分类分级,形成了数据安全的底层基础,为后续数据安全建设的扩展延伸打下了坚实的基础。
➢ 立足数据安全风险管控,保障学校重要数据以及师生个人敏感隐私数据安全,满足教育部相关政策要求。