高校數據安全解決方案-網站版

一、 背景介紹

高校網絡中的數據一般包括網站數據、教學資源、圖書資源、教務管理數據、辦公資源、財務管理數據等，如教職工信息、學生信息、教學信息、科研信息、資產信息、圖書借閱信息、師生消費信息和上網信息等各種數據內容。學校的招生就業、財務、資產數據等等都是不可外泄且不容篡改的數據，作為核心數據載體——數據庫，一旦發生來自于應用用戶越權操作、程序開發人員和數據庫運維人員的數據泄露和篡改，都將造成巨大的損失，必定會給學校和社會造成重大影響，因此，作為保存著大量人員信息的數據庫，需要加強數據安全管理，除了及時完善，有效的處理漏洞，重要的是杜絕再次發生類似的攻擊事件，而能做到這一點的最有力手段就是靈活并有針對性的數據庫安全保護措施。

二、 需求分析

a) 政策需求

2016年11月7日，出示網絡安全法中涉及到的數據包括一般網絡數據（第21條），并且單獨對信息基礎設施數據（第34條）、用戶信息和個人信息（第42條），進行重點保護：

1、對數據訪問日志進行審計，且日志留存時間不低于6個月（第21條）；

2、對數據進行分類，將敏感數據與普通數據區別化對待（第21條）；

3、對重要數據進行備份，容災（第21、34條）；

4、對重要數據進行加密（第21、31條）；

5、對個人信息進行脫敏（第42條）。

數據安全建設是等級保護2.0建設的核心內容之一，根據新計算環境和業務場景對數據安全保護能力做出了更貼合實際情況的明確要求，下面分別是二級，三級的具體要求：

等保2.0二級要求：

1、應授予管理用戶所需的最小權限，實現管理用戶的權限分離（7.1.4.2-訪問控制（二級））；

2、應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息，并應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等（7.1.4.2-安全審計（二級））；

3、應僅采集和保存業務必需的用戶個人信息；應禁止未授權訪問和非法使用用戶個人信息（7.1.4.10個人信息保護（二級））；

等保2.0三級要求：

等保三級在安全審計及個人信息保護這兩塊與等保二級要求的內容相同，額外的，等保三級在訪問控制及數據保密性增加了相關要求,具體如下：

1、應配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級（8.1.4.2-訪問控制（三級））；

2、應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等（8.1.4.8數據保密性（三級））；

為貫徹落實國家信息安全等級保護制度，規范和指導全國教育信息安全等級保護工作，教育部辦公廳發布《印發關于開展教育系統信息安全等級保護工作專項檢查的通知》（教辦廳函[2010]80號）。2017年2月20日，教育部網絡安全和信息化領導小組辦公室下發了《關于印發教育部網絡安全和信息化領導小組第二次會議紀要的通知》的通知，會議強調了加快推進網絡安全等級保護工作。

b) 業務需求

信息系統網絡安全建設的目的，是依照國家有關信息安全建設的一系列法規和政策，建立體系完整、安全功能強健、系統性能優良的網絡安全系統，從而有效保障各項信息業務的正常運行，保護網絡內敏感數據信息的安全。具體高校的數據安全建設的業務需求如下：

1、系統眾多，數據形成分散的孤島，管理效率低效；

2、安全人員缺失，人員管理工作繁重；

3、財務、師生隱私信息等核心信息資產的破壞和泄漏；

4、高校財務數據被非法篡改導致的資金流失；

5、在開發、測試環境中，第三方外包人員、應用開發人員可能存在的數據泄露風險；

6、傳統高校信息化數據庫防護存在缺陷。

三、 解決方案

為了解決上述高校業務需求，同時滿足通過高校信息化等級保護測評，網安等建設工作，需要建立并完善數據庫安全防護。通過環境中部署數據庫審計，加密，防火墻，脫敏系統，提高數據庫的安全水平。

目前高校的數據安全現狀主要呈現為以下3種形式：

1. 已經完成數字校園建設，校內已經建成一站式平臺實現校園業務通辦。校內建成集中式數據中心，各項業務正在由數字校園向智慧校園進行升級，數據中心已經部署了基本的數據庫審計設備。

2. 正在進行數字校園建設，尚未投入使用，各業務系統分離。正在進行數據中心建設，提取各個老舊系統的存量數據。拓撲結構復雜，尚未劃分安全域。

3. 依然使用原有系統，數字校園處于項目規劃階段和預算階段，想同步進行應用系統迭代建設和數據安全建設。

根據前文所述3類數據安全現狀，分別采取3種不同的技術手段進行安全防護。

1. 已經完成數字校園建設的高校，實行全面數據治理。部署數據安全態勢感知平臺，對校內大融合數據中心內海量數據進行分類分級，完善訪問控制規則，同時增補各個安全節點，實現數據審計、訪問控制、脫敏和加密。

2. 尚未完成數據中心建設的高校，采取數據安全分步建設的方案。首先進行基礎數據安全配置，根據項目進度再進行高級配置，最終平滑無縫升級到數據安全態勢感知平臺，無需大量更新設備即可實現全面的數據安全建設。

數據態感部署模式

數據安全態勢感知平臺呈現方式

數據分級分類及呈現

用戶行為分析

a) 基礎配置

1、對所有數據庫部署 數據庫審計產品。鏡像加探針多種方式實現對數據庫及活動在線監控和保護。及時地發現網絡上針對數據庫的違規操作行為，并進行記錄、報警。一旦發生威脅可迅速判斷是內部人員的越權操作，還是外部人員的入侵行為，事后追責，滿足合規性要求。

2、對于一些包含重要數據、易受攻擊的系統，尤其是需要對校外人員提供服務的系統，比如一卡通、教育管理、財務管理等系統的數據庫服務器使用數據庫防火墻，一方面抵御SQL注入攻擊及針對數據庫漏洞的攻擊，另一方面對客戶端IP，主機名進行，有效控制來自內部的全表刪除等誤操作、超級權限濫用等。同時開啟學習功能，自動生成基線模型白名單，實現規則零配置，解決詳細設置防火墻規則的難題。

基礎配置不僅滿足等保及網安法對審計及訪問控制的基礎要求，也能滿足院方對訪問行為留痕，及內外部非法及越權訪問的要求。

通過數據庫審計產品的部署，對重要命令，重要行為等對數據庫的所有操作，操作所訪問到的數據或者執行的結果進行審計，滿足等保2.0二級或三級安全審計的要求，滿足網安法第21條審計的要求。同時數據庫防火墻的部署可以設置細粒度的訪問控制，粒度可以到表級甚至是字段、行、語句級。從而實現最小操作權限，限制DBA等超級管理員權限，實現分權分離，滿足等保二級及三級對訪問控制，個人信息保護的要求，滿足網安法第21條區別對待敏感數據與普通數據的要求。

b) 高級配置

1、對于含有敏感信息系統例如包含資產及財務的財務數據庫系統，還需要部署數據庫加密系統。對對數據庫存儲的信息進行加密存儲，并且通過獨立的權限管控系統來實現對敏感數據訪問的權限控制，確保其數據的安全性。

2、對于開發區，需要對開發分析數據例如科研數據需要部署數據庫靜態脫敏產品，提供批量的數據脫敏能力。通過采樣、替換等方式生成脫敏后的準真實數據，滿足從開發數據庫導出以供系統開發者使用的需求，防止真實數據泄漏。針對運維環境，尤其是正在開發的應用系統，采用數據庫動態脫敏產品，提供實時的數據脫敏能力，防止第三方維護人員的高權限訪問，誤操作，惡意操作，防止隱私數據泄露。

高級配置在基礎配置的基礎上增設了加密及脫敏，不僅提供對多類型核心業務系統數據庫的全面防護，也為院方通過等保測試工作提供一機多能的防護技術手段，全面滿足教育行業對信息安全的建設要求。

通過數據庫加密，實現對重要系統數據按列、按行、按記錄方式進行 加密，滿足等保2.0三級數據保密性的要求，滿足網安法第21條，31條對重要數據進行加密的要求。通過數據庫脫敏，在數據采集過程中實現對個人信息的脫敏操作，防止未授權訪問和非法使用個人信息，滿足等保2.0二級及三級對個人信息保護的要求，滿足網安法第42條對個人信息進行脫敏的要求。

c) 高校業務系統適用數據安全產品分析

d) 管理方案

1、數據庫賬戶按業務用途嚴格區分，劃定業務權限，建議與管理終端綁定IP;

2、內部權限管理,財務部、資產科、信息科分配獨立數據庫賬號，針對不同業務賬號，最小化開啟對數據庫的訪問權限；

3、對數據庫進行權限管理，對核心數據表進行全面監控審計，定期生成用戶活動報表，對越權訪問的IP和數據庫用戶進行阻斷防護，保證合法用戶正常訪問行為。

四、 方案優勢

中安威士技術方案能夠有效解決高校財務系統目前所面臨的數據安全問題，提高數據庫的安全性、機密性、穩定性以及可用性。最大程度的保證不會因外部與內部攻擊、有意或無意的危險操作等原因帶來的信息泄露、被篡改、被刪除等后果。滿足信息安全等級保護，網安法及高校信息安全相關要求。

1、 從核心處解決數據安全問題

從訪問數據庫的SQL語句級別和查看數據庫的字段級別進行防控，從根源上徹底防止“篡改數據、刪除數據、竊取數據”的問題。

2、 防止無關業務人員訪問核心數據

對訪問核心數據的人員的權限體系建立，使核心數據流通在少數的、合規的人員內部，完全屏蔽無關人員與無關業務系統的訪問權限，只針對運維及財務部門開放訪問權限并進行集中審計與防護。

3、 防御為主、審計為輔

在主動防御的同時，依然對訪問行為進行全程的審計監控，便于時刻分析問題可能發生的時間、地點、人物，以便設置更合理的防御策略。基于白名單阻斷非法接入及行為，全面精準地審計用戶操作行為。