`
数据安全
  • 浏览: 16795 次
  • 性别: Icon_minigender_1
社区版块
存档分类
最新评论

高校数据安全解决方案-网站版

阅读更多

一、 背景介绍

高校网络中的数据一般包括网站数据、教学资源、图书资源、教务管理数据、办公资源、财务管理数据等,如教职工信息、学生信息、教学信息、科研信息、资产信息、图书借阅信息、师生消费信息和上网信息等各种数据内容。学校的招生就业、财务、资产数据等等都是不可外泄且不容篡改的数据,作为核心数据载体——数据库,一旦发生来自于应用用户越权操作、程序开发人员和数据库运维人员的数据泄露和篡改,都将造成巨大的损失,必定会给学校和社会造成重大影响,因此,作为保存着大量人员信息的数据库,需要加强数据安全管理,除了及时完善,有效的处理漏洞,重要的是杜绝再次发生类似的攻击事件,而能做到这一点的最有力手段就是灵活并有针对性的数据库安全保护措施。

 

二、 需求分析

a) 政策需求

2016年11月7日,出台网络安全法中涉及到的数据包括一般网络数据(第21条),并且单独对信息基础设施数据(第34条)、用户信息和个人信息(第42条),进行重点保护:

1、对数据访问日志进行审计,且日志留存时间不低于6个月(第21条);

2、对数据进行分类,将敏感数据与普通数据区别化对待(第21条);

3、对重要数据进行备份,容灾(第21、34条);

4、对重要数据进行加密(第21、31条);

5、对个人信息进行脱敏(第42条)。

数据安全建设是等级保护2.0建设的核心内容之一,根据新计算环境和业务场景对数据安全保护能力做出了更贴合实际情况的明确要求,下面分别是二级,三级的具体要求:

等保2.0二级要求:

1、应授予管理用户所需的最小权限,实现管理用户的权限分离(7.1.4.2-访问控制(二级));

2、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等(7.1.4.2-安全审计(二级));

3、应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息(7.1.4.10个人信息保护(二级));

等保2.0三级要求:

等保三级在安全审计及个人信息保护这两块与等保二级要求的内容相同,额外的,等保三级在访问控制及数据保密性增加了相关要求,具体如下:

1、应配置访问控制策略,访问控制策略规定主体对客体的访问规则;访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级(8.1.4.2-访问控制(三级));

2、应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等(8.1.4.8数据保密性(三级));

为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,教育部办公厅发布《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函[2010]80号)。2017年2月20日,教育部网络安全和信息化领导小组办公室下发了《关于印发教育部网络安全和信息化领导小组第二次会议纪要的通知》的通知,会议强调了加快推进网络安全等级保护工作。

b) 业务需求

信息系统网络安全建设的目的,是依照国家有关信息安全建设的一系列法规和政策,建立体系完整、安全功能强健、系统性能优良的网络安全系统,从而有效保障各项信息业务的正常运行,保护网络内敏感数据信息的安全。具体高校的数据安全建设的业务需求如下:

1、系统众多,数据形成分散的孤岛,管理效率低效;

2、安全人员缺失,人员管理工作繁重;

3、财务、师生隐私信息等核心信息资产的破坏和泄漏;

4、高校财务数据被非法篡改导致的资金流失;

5、在开发、测试环境中,第三方外包人员、应用开发人员可能存在的数据泄露风险;

6、传统高校信息化数据库防护存在缺陷。

 

三、 解决方案

为了解决上述高校业务需求,同时满足通过高校信息化等级保护测评,网安等建设工作,需要建立并完善数据库安全防护。通过环境中部署数据库审计,加密,防火墙,脱敏系统,提高数据库的安全水平。

目前高校的数据安全现状主要呈现为以下3种形式:

1. 已经完成数字校园建设,校内已经建成一站式平台实现校园业务通办。校内建成集中式数据中心,各项业务正在由数字校园向智慧校园进行升级,数据中心已经部署了基本的数据库审计设备。

2. 正在进行数字校园建设,尚未投入使用,各业务系统分离。正在进行数据中心建设,提取各个老旧系统的存量数据。拓扑结构复杂,尚未划分安全域。

3. 依然使用原有系统,数字校园处于项目规划阶段和预算阶段,想同步进行应用系统迭代建设和数据安全建设。

根据前文所述3类数据安全现状,分别采取3种不同的技术手段进行安全防护。

1. 已经完成数字校园建设的高校,实行全面数据治理。部署数据安全态势感知平台,对校内大融合数据中心内海量数据进行分类分级,完善访问控制规则,同时增补各个安全节点,实现数据审计、访问控制、脱敏和加密。

2. 尚未完成数据中心建设的高校,采取数据安全分步建设的方案。首先进行基础数据安全配置,根据项目进度再进行高级配置,最终平滑无缝升级到数据安全态势感知平台,无需大量更新设备即可实现全面的数据安全建设。

 

 

数据态感部署模式

 

数据安全态势感知平台呈现方式

 

数据分级分类及呈现

用户行为分析

 

a) 基础配置

 

 

1、对所有数据库部署数据库审计产品。镜像加探针多种方式实现对数据库及活动在线监控和保护。及时地发现网络上针对数据库的违规操作行为,并进行记录、报警。一旦发生威胁可迅速判断是内部人员的越权操作,还是外部人员的入侵行为,事后追责,满足合规性要求。

2、对于一些包含重要数据、易受攻击的系统,尤其是需要对校外人员提供服务的系统,比如一卡通、教育管理、财务管理等系统的数据库服务器使用数据库防火墙,一方面抵御SQL注入攻击及针对数据库漏洞的攻击,另一方面对客户端IP,主机名进行,有效控制来自内部的全表删除等误操作、超级权限滥用等。同时开启学习功能,自动生成基线模型白名单,实现规则零配置,解决详细设置防火墙规则的难题。

基础配置不仅满足等保及网安法对审计及访问控制的基础要求,也能满足院方对访问行为留痕,及内外部非法及越权访问的要求。

通过数据库审计产品的部署,对重要命令,重要行为等对数据库的所有操作,操作所访问到的数据或者执行的结果进行审计,满足等保2.0二级或三级安全审计的要求,满足网安法第21条审计的要求。同时数据库防火墙的部署可以设置细粒度的访问控制,粒度可以到表级甚至是字段、行、语句级。从而实现最小操作权限,限制DBA等超级管理员权限,实现分权分离,满足等保二级及三级对访问控制,个人信息保护的要求,满足网安法第21条区别对待敏感数据与普通数据的要求。

b) 高级配置

 

 

1、对于含有敏感信息系统例如包含资产及财务的财务数据库系统,还需要部署数据库加密系统。对对数据库存储的信息进行加密存储,并且通过独立的权限管控系统来实现对敏感数据访问的权限控制,确保其数据的安全性。

2、对于开发区,需要对开发分析数据例如科研数据需要部署数据库静态脱敏产品,提供批量的数据脱敏能力。通过采样、替换等方式生成脱敏后的准真实数据,满足从开发数据库导出以供系统开发者使用的需求,防止真实数据泄漏。针对运维环境,尤其是正在开发的应用系统,采用数据库动态脱敏产品,提供实时的数据脱敏能力,防止第三方维护人员的高权限访问,误操作,恶意操作,防止隐私数据泄露。

高级配置在基础配置的基础上增设了加密及脱敏,不仅提供对多类型核心业务系统数据库的全面防护,也为院方通过等保测试工作提供一机多能的防护技术手段,全面满足教育行业对信息安全的建设要求。

通过数据库加密,实现对重要系统数据按列、按行、按记录方式进行加密,满足等保2.0三级数据保密性的要求,满足网安法第21条,31条对重要数据进行加密的要求。通过数据库脱敏,在数据采集过程中实现对个人信息的脱敏操作,防止未授权访问和非法使用个人信息,满足等保2.0二级及三级对个人信息保护的要求,满足网安法第42条对个人信息进行脱敏的要求。

c) 高校业务系统适用数据安全产品分析

 

 

 

d) 管理方案

1、数据库账户按业务用途严格区分,划定业务权限,建议与管理终端绑定IP;

2、内部权限管理,财务部、资产科、信息科分配独立数据库账号,针对不同业务账号,最小化开启对数据库的访问权限;

3、对数据库进行权限管理,对核心数据表进行全面监控审计,定期生成用户活动报表,对越权访问的IP和数据库用户进行阻断防护,保证合法用户正常访问行为。

 

四、 方案优势

中安威士技术方案能够有效解决高校财务系统目前所面临的数据安全问题,提高数据库的安全性、机密性、稳定性以及可用性。最大程度的保证不会因外部与内部攻击、有意或无意的危险操作等原因带来的信息泄露、被篡改、被删除等后果。满足信息安全等级保护,网安法及高校信息安全相关要求。

1、 从核心处解决数据安全问题

从访问数据库的SQL语句级别和查看数据库的字段级别进行防控,从根源上彻底防止“篡改数据、删除数据、窃取数据”的问题。

2、 防止无关业务人员访问核心数据

对访问核心数据的人员的权限体系建立,使核心数据流通在少数的、合规的人员内部,完全屏蔽无关人员与无关业务系统的访问权限,只针对运维及财务部门开放访问权限并进行集中审计与防护。

3、 防御为主、审计为辅

在主动防御的同时,依然对访问行为进行全程的审计监控,便于时刻分析问题可能发生的时间、地点、人物,以便设置更合理的防御策略。基于白名单阻断非法接入及行为,全面精准地审计用户操作行为。

分享到:
评论

相关推荐

    高校智慧校园数据安全保护解决方案.pdf

    首先,智慧校园的概念及其发展现状是构建数据安全解决方案的基础。智慧校园是利用现代信息技术,包括计算机技术、网络技术、通信技术等,对校园内的所有信息资源进行数字化管理和应用的环境。它不仅包括现实的校园...

    人工智能-高校人脸识别解决方案-AI-高校人脸识别解决方案完整版.pptx

    本解决方案旨在为高校教育行业提供人工智能技术支持的人脸识别解决方案,旨在提高高校教育管理效率、确保学生身份验证的安全性和可靠性。本解决方案基于人工智能技术和云计算平台,提供了人脸识别、身份验证、考勤...

    AiGuard高校数据安全解决方案

    【AiGuard高校数据安全解决方案】是安恒信息推出的一款针对高等教育机构的数据安全防护策略,旨在应对日益严峻的数据安全挑战。近年来,全球范围内发生了多起大规模的数据泄露事件,涉及用户信息、金融数据等敏感...

    199-袋鼠云高校数据中台解决方案--v6.0__简版.pdf

    ### 高校数据中台解决方案概述 #### 一、背景与政策支持 随着信息技术的快速发展,我国高度重视“互联网+教育”的推进与应用。从国家层面到地方层面,一系列相关政策为高校信息化建设指明了方向: - **国家政策**...

    2022年人工智能-高校人脸识别解决方案-AI-高校人脸识别解决方案完整版.pptx

    【高校人脸识别解决方案】是2022年人工智能领域在高等教育中的一个重要应用,旨在提升校园的安全性和管理效率。此解决方案利用先进的大数据云平台和人工智能技术,包括算法模块、关键点角度估计、客流统计、人群属性...

    高校智慧校园数据安全保护解决方案.docx

    这种差异使得高校在数据安全保护方面的需求也呈现出多样化的特点。 1.2 智慧校园需求分析 智慧校园的核心在于利用信息技术提升教育质量和管理水平。因此,其对数据安全保护的主要需求包括: 1) 数据完整性:确保...

    安科瑞高校能效管理解决方案-李亚俊

    AcrelEMS-EDU高校综合能效管理解决方案是由安科瑞公司提供的一个全面的、智能化的能源管理系统,旨在提升高校的能源效率和管理水平。该系统涵盖了能源统计、后勤计费、运维管理等多个方面,旨在打造节能、绿色、低碳...

    高校数据中心安全防护解决方案.pdf

    高校数据中心安全防护解决方案.pdf

    解决方案-信息安全设计方案.docx

    经调查,现有校园网络拓扑图如下: 二、设计方案拓扑图 三、设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全解决方案-信息安全设计方案全文共3页,当前为第2页。解决方案-信息...

    高校大数据整体解决方案(智慧校园高校大数据解决方案).doc

    此外,数据安全和隐私保护也是高校大数据建设中必须考虑的重要环节,需制定相应的法规和策略,保障数据的合规使用。 总结来说,高校大数据整体解决方案需要围绕数据的采集、整合、分析和应用,构建一套完整的信息...

    高校网络安全解决方案

    高校网络安全解决方案是一项至关重要的任务,尤其对于拥有大量信息点、用户和网络资源的高等教育机构而言。网络结构通常分为三层,包括教学子网、办公子网和学生宿舍子网,每个子网都有其特定的需求和挑战。 首先,...

    高校图书馆人工智能解决方案-高校图书馆AI解决方案完整版.pptx

    高校图书馆的人工智能解决方案旨在利用现代科技提升图书馆的服务效率、管理水平和用户体验,使之成为跨时代的智慧型图书馆。这一方案涵盖了人事管理、资金管理、图书管理、设备管理等多个方面,通过集成化平台实现...

    超融合高校数据中心解决方案.pdf

    超融合高校数据中心解决方案 本解决方案旨在为高校数据中心提供一套高效、灵活、可扩展的解决方案,满足高校创新创业平台和科研项目组的需求。该解决方案由七个方面组成:超融合云数据中心解决方案、多类用户的资源...

    智慧教育大数据分析平台整体解决方案-智慧高校大数据分析平台建设方案完整版.pptx

    教育大数据平台是该解决方案的基础组件之一,旨在提供一个可靠、安全和高效的数据处理和分析平台,能够处理和分析大量的教育数据,为教育管理者和教师提供有价值的信息和建议。 教育云平台是该解决方案的另一个重要...

    2022年高校图书馆人工智能解决方案-高校图书馆AI解决方案完整版.pptx

    【高校图书馆人工智能解决方案】 高校图书馆在21世纪的今天,正经历着一场由人工智能技术引领的变革。2022年的高校图书馆人工智能解决方案旨在优化图书馆的运作流程,提高服务质量,为读者提供更加便捷、高效、舒适...

    高校校园网络安全分析及解决方案.pdf

    高校校园网络安全分析及解决方案 标题解释:高校校园网络安全分析及解决方案 高校校园网络安全分析及解决方案是指对高校校园网络安全的分析和解决方案的研究。高校校园网络是校园重要的信息化平台,无论是在学生...

    高校实验室综合管理系统解决方案-设计文档-论文

    《高校实验室综合管理系统解决方案》设计文档是一篇深入探讨如何构建高效、智能化的高校实验室管理系统的专业论文。在当今信息化时代,高校实验室的管理和运营面临着诸多挑战,如资源分配不均、设备利用率低、实验...

    2022年智慧教育大数据分析平台整体解决方案-智慧高校大数据分析平台建设方案完整版.pptx

    【智慧教育大数据分析平台整体解决方案】是指在2022年针对高等教育领域提出的,利用先进的信息技术,如云计算、移动互联网、物联网和大数据等,构建的一种创新型教育管理模式。该方案旨在优化教育过程,提升教学质量...

    高校信息化安全防护解决方案.docx

    高校信息化安全防护解决方案旨在解决高校信息化中存在的一系列问题,如缺乏统一的开放支撑平台、校级流程管控缺失、流程杂乱及数据质量监控缺失、高校普遍网站安全防护力度不够、安全漏洞未及时更新、高校数据中心...

Global site tag (gtag.js) - Google Analytics