查看原文
其他

案例分享 | 高校数据安全防护体系建设实践

为进一步促进信息技术与教学科研的深度融合,夯实自身数据安全保障能力,许昌职业技术学院立足学校现有信息化建设基础,以敏感数据防护为核心,携手美创科技落地数据安全技术保障体系,提高数据资产安全,为学校业务发展提供可靠支撑。


01
建设背景


作为一所入围国家“双高计划”的高等院校,许昌职业技术学院目前已建成一卡通平台、网站、OA、财务、招生管理系统、科研情报系统、学生管理系统等众多系统。随着信息化管理业务、服务系统不断增加,系统中积累了海量敏感数据资产。


但面对愈演愈烈的数据安全威胁,高校数据要想真正发挥潜在价值,对教学科研、管理服务、决策分析直接起支撑作用,驱动学校数字化转型,必须加强数据安全管理,将数据安全贯穿始终。


从国家和行业层面而言,近年来对数据安全愈发重视。一系列法律及相关规定陆续出台,数据安全建设逐步有据可依。


  • 《2019年教育信息化和网络安全工作要点》;

  • 2020年《关于加强教育系统数据安全的指导意见》征求意见;

  • 《2021教育部关于加强新时代教育管理信息化工作的通知》;

  • 《中华人民共和国数据安全法》;

  • 《中华人民共和国个人信息保护法》;

    ..........


02
面临现状


目前,学校已建立了较为完善的网络安全防护体系,传统网络安全设备的部署和防护位置决定了其无法对核心数据进行全面有效的保护。因此,基于数据资产角度,如何建立起全面的数据安全保护体系,成为学校信息安全建设的重点。面临现状如下:



01
不清楚数据在哪里,风险有哪些,数据安全建设无从下手

学校涉及系统多、流程复杂,数据各类多、格式多、数量大,同时需与第三方对接需求多。经年累月下来,很难理清有哪些数据,数据都存在哪里,为哪些人员开放了哪些数据操作权限,存在哪些数据安全风险,数据安全建设无从下手。

02
“共享交换”带来新的数据安全挑战

根据国家政策要求,各部门各机构间要打破数据壁垒,消除“数据孤岛”和“数据烟囱”,加强数据共享交换,让数据流动起来,挖掘更大的数据价值。数据流动产生更多新的场景,接触更多的组织和人员,导致数据不可控,从而加大了数据安全风险

03
缺乏有效的勒索病毒防御措施

当前勒索病毒攻击事件频发,当其对文件、数据加密和修改时,往往是无法恢复,只能就范或舍弃数据。因此,学校迫切需要有效的技术手段防御新型病毒。

04
缺乏业务连续性安全保障

学校一卡通系统、财务、网站等核心业务系统一旦出现故障,将会导致与其相关的业务均无法开展,甚至会造成毁灭性的业务数据永久性丢失。因此,对于重要的业务系统,必须具有不间断的可用性或者能以最快的速度进行恢复,使灾难造成的风险降到最低。


03
建设方案


针对该院校当前数据安全现状,美创科技以国家和地方的相关政策为指导,以《数据安全法》等相关法律法规为标尺,从数据安全内部管控、数据流动安全、勒索病毒防御、数据存储安全四大场景出发,通过“数据库防水坝+数据脱敏系统+诺亚防勒索系统+CDP灾备一体机”等产品建立起多层次、立体化的数据安全防御体系,全方位保障学校数据资产安全。


数据安全内部管控

学校各类核心业务系统数据库服务器中存放了大量的核心业务数据,对学校而言,这些数据举足轻重,一旦遭到破坏、篡改或窃取,可能会给学校日常各项业务的正常开展带来巨大影响。通过数据库防水坝对学校内部及第三方运维访问人员权限进行细粒度控制,对敏感数据的分级分类,重点监测所有敏感数据的操作行为,防止非法操作以及授权用户违规操作造成的严重后果。




勒索病毒防御

诺亚防勒索系统采用主动防护的模式,通过白名单机制监控所有进程,精准识别文件、数据库的操作行为,利用底层驱动技术,监控所有进程的写操作,对文件、数据库的“写”操作判断,对于非法写操作进行阻断。通过控制“写”权限,从而对勒索病毒的写操作进行控制,就算被植入勒索病毒,勒索病毒也无法对文件和数据库进行加密,保证文件、数据库彻底免除勒索病毒的困扰。



流动数据安全防护

涉及到开发、共享及分析等数据是流动的,因此,为防止数据流动过程中出现敏感信息泄露的风险,在数据流出安全防护的领域之前,需要通过美创数据脱敏系统对其中的敏感数据进行安全脱敏处理。在测试环境中形成一份“仿真数据”,保障开发测试场景中流动数据的安全、可靠、有效。



业务连续性保障

针对学校一卡通平台、网站、OA、财务、招生管理系统、科研情报系统、学生管理系统等系统采用实时备份策略,对操作系统、数据库、应用环境、文件等数据进行实时捕获并完成同步整机备份,当被保护数据/业务系统出现故障或数据损坏后,能快速接管应用系统或则恢复数据。为学校数据提供7x24小时的无间断保护,保障学校业务系统数据的完整性和业务的连续性。


04
方案价值



1)数据资产驱动的安全体系

以数据资产保护对象为核心构建,把所有需要进行保护的数据和高风险操作都定义为资产,使其可以统一进行资产管理和风险管理。当我们需要扩展或者分离保护目标的时候,只需简单的定义一类新的数据资产就可以提供完善的保护措施。


2)体系化安全防护

体系化的设计思想是从全局性策略出发,以整体的设计思路打造全局性的安全防御,辅以长期可靠的安全运维保障和规范化的安全管理,搭建出真正能够有效对抗威胁,保障应用的安全体系。


3)细粒度定向安全防护

采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。


4)安全合规

支持各种自定义告警方式,同时内置支持各种法规遵循所需的管理性报表,满足网络安全法、数据安全法、等保2.0、数据安全管理办法等合规要求。




01年度工作总结



请输入标题

请输入标题
01年度工作总结



请输入标题

请输入标题

点击“阅读原文”,提交试用申请

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存