4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

高校数据库安全解决方案

行业需求和挑战

在高校信息化不断向前发展的同时,其信息系统也越来越庞大与复杂,主要包括校务管理系统、校园一卡通管理系统、校园办公自动化系统(OA)、科研管理系统等,在这些系统中积累的数据也越来越多,其中会存储大量的敏感信息,例如师生身份信息,学籍信息、考试信息、科研信息等。这些数据在支撑高校业务运营、发展的同时面临的安全威胁也在不断增长,数据安全已经成为高校面临的重要的、急需解决的问题之一。

高校数据安全面临的挑战主要有以下几点:

▪ 师生身份信息泄露

▪ 考试、考题信息泄露

▪ 考试成绩、毕业信息被篡改

▪ 科研成果泄密


解决方案

目前高校的重要信息绝大部分存贮于数据库中,根据这一现状安华金和提出从数据库端防止数据泄露风险的数据安全解决方案,用于解决高校数据所面临的攻击、入侵、篡改、泄密、追责等问题。本方案根据数据库使用的“事前、事中、事后”三个层面,建立“检查预警、主动防御、底线防守、事后追查”的纵深防护思路,从而解决高校数据库所面临的复杂的安全问题。

 01.jpg

纵深防御思路

检查预警: 通过数据库漏洞扫描工具实现对高校数据库漏洞实时检查,对数据库安全状况的监控。检查及监控项包括相关安全配置、连接状况、用户变更状况、权限变更状况、代码变更状况等全方面的安全状况评估,实现安全变化状况报告与分析。

 02.jpg

攻击防护:高校的业务应用系统种类繁多,其中不乏有需要对学生和公众开放的系统,而应用服务器被暴露在网络之中,攻击者对应用服务器进行网段扫描很容易得到后台数据的IP和开放端口。对这一隐患的防护手段以数据库级别的访问行为控制、危险操作阻断、可疑行为拦截为主。

面对来自于外部的入侵行为,数据库防火墙可以提供防SQL注入禁止和数据库虚拟补丁功能;通过虚拟补丁防护,保证数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。有效的保护后台数据库不暴露在复杂的网络环境中,构建数据库的安全防护。

 03.jpg

安全运维:通过部署数据库安全运维系统对运维行为进行流程化管理,提供事前审批、事中控制、事后审计、定期报表等功能。所有运维操作需要建立规范的运维流程,包括事前审批,事中控制,事后记录操作信息,可以实现全运维流程的管理,实现高校运维规范性。

04.jpg

 重要数据加密:将存储在数据库中的教务信息、学籍信息、一卡通消费信息通过数据库加密设备进行加密存储,从根源防止此类敏感信息的泄露。对于加密数据建立独立于数据库的权控体系,引入安全管理员、审计管理员实现三权分立的安全管理手段,防止DBA、第三方外包人员和程序开发人员越权访问敏感信息,结合动态口令和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题;并且在存储层进行安全加密,保证即使拿走硬盘,没有授权及密钥无法查看真实数据。

数据库操作审计: 通过数据库审计产品,对于数据库的访问进行全面的审计记录、分析和预警。一旦出现安全事故可以溯源追踪;对于黑客攻击,可以做到攻击留痕;对运维人员进入数据库系统的误操作、越权操作行为进行完整记录;满足相关审计方面的政策要求。

 05.jpg

方案价值

▪ 防外部攻击造成的数据泄露与改

▪ 防内部人员有意或者无意的恶意操作造成的数据泄露和篡改

▪ 防数据外发造成的数据泄露

▪ 针对数据库操作建立事后稽核

▪ 满足政策合规需求


方案优势

周期防护构建纵深

为了解决数据库在防攻击、防篡改、防丢失、防泄密、防超级权限等问题。安华金和提出:针从数据库安全的三维角度,构建事前-事中-事后的全生命周期数据安全过程,并结合多层次安全技术防护能力,形成整体的数据库纵深防护体系。

主动防御减少威胁

通过事中主动防御手段在数据库前端对入侵行为做到有效的控制,通过强大特征库和漏洞防御库,主动防御内外部用户的违规操作以及黑客的入侵行为。

对IP/MAC等要素进行策略配置,确保应用程序的身份安全可靠。通过黑白名单对敏感数据访问控制,定义非法用户行为的方式定义安全策略,有效通过SQL注入特征识别库。 

权限控制解决拖库

从数据库级别进行最小化权限控制,杜绝超级管理员的产生,通过数据库防火墙和数据库加密措施进行从根源上彻底控制 数据信息的泄露,为 信息化打好底层基础。有效防止存储文件和备份文件被“拖库”的风险。

透明部署零改应用

本方案所提出的技术实施,对于现有应用系统基本透明,无需改造,对原有数据库特性、原有应用无改造,不改变应用及用户使用习惯。保证快速、无缝地融合到现有电子政务信息系统中。

政策合规满足标准

在等级保护、分级保护基本要求中,数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。对等保三级、分保秘密级以上系统中,关键敏感数据的安全防护要求满足了标准特性:

数据保密性

满足了“实现系统管理数据、鉴别信息和重要业务数据的存储保密性”。

访问控制性

实现了最小授权原则,使得用户的权限最小化,同时要求对重要信息资源设置敏感标记。

安全审计性

完成了“对用户行为、安全事件等进行记录”。


北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号