品牌名稱
西安電子科技大學(xué)
企業(yè)規(guī)模
1001-5000人

美創(chuàng)合作西安電子科技大學(xué):保障西電重要數(shù)據(jù)與敏感隱私數(shù)據(jù)在使用過程中的安全

540次閱讀
(1)客戶介紹

“厚德、求真、礪學(xué)、篤行”,始建于1931年的西安電子科技大學(xué)(以下簡稱:西電),是我國最早建立信息論、信息系統(tǒng)工程、雷達(dá)、微波天線、電子機(jī)械、電子對抗等專業(yè)的高校之一,也是直屬教育部,國家“優(yōu)勢學(xué)科創(chuàng)新平臺”項(xiàng)目和“211工程”項(xiàng)目重點(diǎn)建設(shè)高校之一。2017年學(xué)校信息與通信工程、計(jì)算機(jī)科學(xué)與技術(shù)入選國家“雙一流”建設(shè)學(xué)科。

 

(2)項(xiàng)目背景

作為具有鮮明電子和信息學(xué)科特色和優(yōu)勢的全國重點(diǎn)大學(xué),西安電子科技大學(xué)信息化建設(shè)同樣值得關(guān)注。近年來,西電緊跟教育信息化2.0時(shí)代的浪潮,充分利用大數(shù)據(jù)分析、人工智能等新興前沿技術(shù)服務(wù)高等教育改革,構(gòu)建智慧育人新平臺,全面提升行政管理能效,著力打造讓師生“少跑一段路、少推一扇門、少說一句話”的智慧校園服務(wù)體系。
 
隨著各項(xiàng)業(yè)務(wù)逐漸走向線上,信息化管理業(yè)務(wù)、服務(wù)系統(tǒng)不斷增加,各數(shù)據(jù)庫中也積累了大量教學(xué)數(shù)據(jù)、科研數(shù)據(jù)、一卡通數(shù)據(jù)、人事數(shù)據(jù)、論文信息、財(cái)務(wù)信息等敏感數(shù)據(jù)。目前,西電使用堡壘機(jī)作為全校業(yè)務(wù)系統(tǒng)運(yùn)維管理的統(tǒng)一入口,但停留在應(yīng)用系統(tǒng)層面基于賬號的運(yùn)維管理,無法深入到數(shù)據(jù)層將數(shù)據(jù)資產(chǎn)與人員的關(guān)聯(lián)關(guān)系以及交互過程進(jìn)行有效的精細(xì)化管控。
 
對此,基于數(shù)據(jù)資產(chǎn)的角度,如何從數(shù)據(jù)層面保障西電重要數(shù)據(jù)與敏感隱私數(shù)據(jù)在使用過程中的安全成為西電信息安全建設(shè)的重點(diǎn)。
 
1、對西電信息化管理與服務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行梳理,對重要數(shù)據(jù)以及敏感數(shù)據(jù)進(jìn)行定義與分級分類,從數(shù)據(jù)資產(chǎn)的角度明確保護(hù)對象和保護(hù)措施。
 
2、對現(xiàn)有特權(quán)賬戶進(jìn)行統(tǒng)一管理,從數(shù)據(jù)層面對訪問人員權(quán)限進(jìn)行細(xì)粒度控制,防止敏感數(shù)據(jù)被越權(quán)。對運(yùn)維人員、開發(fā)人員、業(yè)務(wù)操作人員進(jìn)行多因素身份認(rèn)證與識別,根據(jù)不同人員的權(quán)限進(jìn)行訪問控制,避免非法訪問。
 
3、重點(diǎn)監(jiān)測所有敏感數(shù)據(jù)的操作行為,防止非法操作以及違規(guī)操作造成的嚴(yán)重后果,避免數(shù)據(jù)庫運(yùn)維過程中的誤操作行為。
 
4、對數(shù)據(jù)的所有訪問與操作行為進(jìn)行全面的監(jiān)控,第一時(shí)間發(fā)現(xiàn)潛在數(shù)據(jù)庫高風(fēng)險(xiǎn)行為,精準(zhǔn)發(fā)現(xiàn)違規(guī)和高風(fēng)險(xiǎn)行為,杜絕告警泛濫。
 
 
(3)解決方案

針對西安電子科技大學(xué)安全需求,美創(chuàng)數(shù)據(jù)庫防水壩通過對學(xué)校重要以及敏感數(shù)據(jù)進(jìn)行分類分級,對內(nèi)部高權(quán)限用戶進(jìn)行管理控制,對面向數(shù)據(jù)的危險(xiǎn)操作進(jìn)行進(jìn)行授權(quán)管理與訪問控制,對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)管理,對數(shù)據(jù)庫存在的風(fēng)險(xiǎn)行為、攻擊行為進(jìn)行告警,從而實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)內(nèi)部使用過程的風(fēng)險(xiǎn)控制,整體提高學(xué)校數(shù)據(jù)資產(chǎn)安全。


undefined

                                                                       部署圖
 
一、基于數(shù)據(jù)庫防水壩敏感數(shù)據(jù)分級分類功能,以表格或列為單位進(jìn)行細(xì)粒度管理,將西電重要及敏感數(shù)據(jù)從普通業(yè)務(wù)數(shù)據(jù)中脫離進(jìn)行獨(dú)立管理,從而明確數(shù)據(jù)保護(hù)對象實(shí)施更加安全的保護(hù)措施。

二、數(shù)據(jù)庫防水壩系統(tǒng)以身份為中心,通過對運(yùn)維人員、開發(fā)人員、業(yè)務(wù)操作人員進(jìn)行身份鑒別,基于最小化權(quán)限原則,根據(jù)不同的數(shù)據(jù)使用人員授予不同的數(shù)據(jù)使用權(quán)限,進(jìn)行敏感數(shù)據(jù)訪問控制。隔離DBA、SYSDBA、SchemaUser、Any等特權(quán),使其只能訪問授權(quán)范圍內(nèi)的敏感表格數(shù)據(jù)。

三、對DDL、DML、代碼類高危操作,結(jié)合細(xì)粒度訪問控制和工作流審批進(jìn)行監(jiān)控,支持?jǐn)?shù)據(jù)恢復(fù)機(jī)制,避免誤操作導(dǎo)致的數(shù)據(jù)丟失。

四、從數(shù)據(jù)庫訪問、終端、風(fēng)險(xiǎn)策略、敏感資產(chǎn)等多角度進(jìn)行監(jiān)控,風(fēng)險(xiǎn)發(fā)生時(shí)進(jìn)行實(shí)時(shí)告警。

方案亮點(diǎn):

1、敏感數(shù)據(jù)分級分類,從數(shù)據(jù)資產(chǎn)角度出發(fā)建立數(shù)據(jù)安全的底層基礎(chǔ)。

2、以人員身份為中心,對人與數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系與交互使用進(jìn)行精細(xì)化的訪問控制,隔離重要敏感數(shù)據(jù)與人員,實(shí)現(xiàn)特權(quán)賬號的分權(quán)管理與重要敏感數(shù)據(jù)的訪問控制。

3、基于敏感數(shù)據(jù)訪問控制建立數(shù)據(jù)誤操作防范機(jī)制,有效避免誤操作、惡意操作造成的數(shù)據(jù)丟失。

4、對數(shù)據(jù)的所有訪問與操作行為進(jìn)行全面的監(jiān)控,通過精確的行為識別和靈活的規(guī)則配置,發(fā)現(xiàn)真正的違規(guī)和高風(fēng)險(xiǎn)行為并預(yù)警。

 

(4)價(jià)值體現(xiàn)

1、通過美創(chuàng)數(shù)據(jù)庫防水壩系統(tǒng),建立了西安電子科技大學(xué)數(shù)據(jù)層面的內(nèi)部數(shù)據(jù)使用安全管控體系,完善了整體的信息安全架構(gòu)。

2、基于人員與數(shù)據(jù)資產(chǎn)的內(nèi)部數(shù)據(jù)安全使用管控能力,能夠有效防止內(nèi)部數(shù)據(jù)安全泄露風(fēng)險(xiǎn),提升學(xué)校整體的數(shù)據(jù)安全防御能力。

3、敏感數(shù)據(jù)分類分級,形成了數(shù)據(jù)安全的底層基礎(chǔ),為后續(xù)數(shù)據(jù)安全建設(shè)的擴(kuò)展延伸打下了堅(jiān)實(shí)的基礎(chǔ)。

4、立足數(shù)據(jù)安全風(fēng)險(xiǎn)管控,保障學(xué)校重要數(shù)據(jù)以及師生個(gè)人敏感隱私數(shù)據(jù)安全,滿足教育部相關(guān)政策要求。