数据安全管理方案之教育行业解决方案

需求

教育是兴国之本，高校则是国家培养高级知识分子和技术人才的摇篮。而高校网络中的数据一般包括网站数据、教学资源、图书资源、教务管理数据、办公资源、财务管理数据等，如教职工信息、学生信息、教学信息、科研信息、资产信息、图书借阅信息、师生消费信息和上网信息等各种数据内容。

很多数据对于高校来说绝对不能外流，更不允许丢失，越来越多的高校运维管理人员意识到高校数据安全的重要性：高校网站运行多年，如果数据突然被清空，其资料将会丢失；而教学资源和图书资源的建立是劳动密集型的，需要一个漫长的过程，如果数据被破坏，则需要同样多的时间来重建；教务管理系统管理的数据都是教师的业绩和学生的成绩、学籍等至关重要的数据，如果这些数据被破坏或丢失，可以说是灭顶之灾；办公系统记录着老师的个人隐私信息，联系方式，学院的公文等，很多数据都是涉密信息，更应该重点保护。

随着高校信息化的发展，高校数据面临极大的安全考验。据专业安全网站“freebuf”报道：早在2012年，杭州某大学就曾曝出15万学生数据泄露的严重事件。知情人透露，该事件只是因被***在网站上披露细节才浮出水面。不为人知的窃取高校学生信息的事件更多，黑市上也层层倒卖着众多高校的数据资源。马里兰大学校长在2014年数据安全事件中称：该校有309,000名学生及职工的名字和社保号在一个“复杂”的网络数据安全***中被盗……。

近期，高校数据安全事件愈发频繁。据中国高等教育学会教育信息化分会网络信息安全工作组通报：2016年5月25日通报了湖北某职业学院，河北某工程学校，河南某大学招生网，广州某学院分站等46所高校的数据安全漏洞；2016年5月26日通报了南京某大学机关党委，浙江某大学文学网，广东某职业学院，山东某学院招生信息网等21所学校存在数据安全漏洞；2016年5月31日[CNVD]通报了北京某大学，兰州某大学新闻网，昆明某医院后台，四川某大学分校等8所高校存在数据安全漏洞。成都某高校有办公自动化系统（OA）未授权下载/信息泄露/员工弱口令等漏洞，因可以下载数据，导致信息泄露；西安、河南等省市多所高校的分站存在SQL注入漏洞，诸如此类数据安全事件，不一而足。

同时，针对高校的数据泄漏和诈骗手段的案件已连续发生多起。据报道，浙江某大学新生小莫因信息数据泄漏而误入钓鱼网站，让他2.9万元学费和生活费全部被骗。据小莫描述，骗子知道他的很多数据信息：如名字、家庭住址和QQ号，所以就没有怀疑对方身份，并按照对方的要求，点击了对方通过QQ发来的链接，分2次转账了2.9万元。据调查，事件发生的根源在于该校招生数据泄露。

据分析，高校数据泄漏的很大一部分原因是网站系统的SQL注入漏洞被***所利用。同时，伴随着高校数据库信息价值以及可访问性提升，同样使得高校数据库面对来自内部的安全风险大大增加。如违规越权操作、恶意***导致机密信息窃取泄漏，但事后却无法有效追溯和审计。作为保存着大量人员信息的数据库，更需要加强数据安全管理，因为这些数据已涉及到个人隐私，除了及时完善，有效的处理漏洞，重要的是杜绝再次发生类似的***事件。而能做到这一点的最有力手段就是灵活并有针对性的数据库安全保护措施!

针对数据库安全保护措施的需求主要体现在：

1、需要了解数据库服务器、敏感数据的分布情况，并将所发现的重要服务器、服务、数据自动分类，并生成统计报表，将所有发现和分类结果直接加入到后续模块中的规则中。要求能对数据库运行状态实时监控，在状态异常时进行预警，提前防止业务瘫痪，保障业务系统的连续可用性。对性能进行审计，如：用户活动状况、数据库内存状态、文件系统状态、查询响应性能等，并能将性能审计结果直接导出为报表，以便设置告警条件，并记录告警事件。

2、要求能通过扫描的方式，静态的评估高校数据库系统的风险，扫描内容包括：弱口令检测、系统漏洞、配置风险等。实时监控数据活动情况，自动学习并建立用户和系统对数据的访问行为模式，生成不同粒度的访问规则。进而根据设置的规则评估访问操作的风险等级，并根据风险等级产生告警。在系统内置***检测规则，能够实时检测出SQL注入和缓冲区溢出等***，同时详细地记录***操作发生的时间、来源IP、登录数据库的用户名、***代码等详细信息，并产生告警。

3、要求能实时监控数据活动情况，并基于自动学习建立的数据访问模型，及时评估访问风险，发现并阻断非法访问和***。在审计的基础上，进一步提供阻断功能，从而提升防护能力，并在不破坏业务持续性的情况下阻止***行为。并对敏感数据加密，以实现数据库安全的最后一道防线，达到最高一级的防护，以提供进一步增强的访问控制。

4、此外，要能对数据库和Web应用进行全面监控，对用户的访问行为进行全面跟踪，对核心数据的防护真正达到进不来、拿不走、看不见的效果。而且，所有的审计结果以可视化图形的形式进行展示，可直接导出为报表，帮助高校轻松达到合规要求，极大提高数据库管理效率。

综上所述，高校加强数据安全保护的需求越来越强烈，亟需对高校数据库进行数据安全保护。

挑战

高校信息系统环境复杂，对其数据库进行保护，面对诸多挑战，具体如下：

高校内部管理系统众多，不仅有数据中心，还有一些独立的数据库分布在不同位置，难以集中管理；

高校内人员构成复杂，在应对外部***的同时还需应对来自内部的***；

安全问题突出，系统又众多，但网络管理和安全人员十分匮乏，不能频繁的巡查和进行详细的规则设置。数据中心人手有限甚至不足，不但要建设新的业务应用，还要进行日常的业务维护。如果再加上数据安全的管理任务，这对于数据中心的老师来说又是额外的繁重任务。所以数据安全的管理也必须解决这一冲突；

高校自建的WEB应用繁多，但由于技术人员水平参差不齐，很多网站由高校或者学生完成，对其安全性考虑较少，存在许多致命的风险；

虚拟化环境是一种趋势，高校的虚拟化和云计算平台逐步建立，但对其上的数据信息缺乏有效的防护措施；

高校的校园一卡通系统，采用迪科等产品，由PRO C/C++开发，无法使用旁路方式实施审计；

某些管理系统采用数据库和应用在同一个服务器上的部署方式，极大地降低了系统的数据安全性，极易将数据库直接暴露给***者。

方案

针对教育行业客户所遇到的风险和挑战，我们建议各个高校，首先加强数据安全的意识。作为技术人员肯定理解数据安全的重要性。但是许多情况下，我们还没有把这个数据安全的意识，灌输到其他人的脑海里，没有让相关责任人重视。结果，许多细节被忽略了，甚至时间长了就养成一种侥幸的心理，以至于当危机来临时完全没有准备，这样带来的后果难以估计。所以，我们要把数据安全的意识，灌输给每一个人，而不仅是传授数据安全备份等基础的安全管理方法。让每一个人觉得下一刻就可能出现数据损坏或丢失。在没有出现问题的时候，就要想：如果出现了问题怎么办？只有具有这样一种忧患意识，并努力去解决，才能真正保证数据安全。

另外，我们也建议客户在对系统和数据的重要性进行评估的基础上，统一地，有区别地逐步建立并完善数据库安全防护。该防护体系是基于中安威士的数据安全管理系列产品实现的，具体如下：

1、对所有数据库部署数据库审计产品。通过旁路镜像的方式，在不改变数据库系统的任何设置的和在不影响数据库系统自身性能的前提下，实现对数据库的在线监控和保护。开启***检测功能，及时地发现网络上针对数据库的违规操作行为，并进行记录、报警。开启学习功能，自动生成基线模型白名单，实现规则零配置，解决因人力不足造成的无法详细设置审计规则问题。一旦发生威胁可迅速判断是内部人员的越权操作，还是外部人员的***行为，事后追责，满足合规性要求。

2、实施数据库防火墙。对于更重要的、易受***的系统，尤其是需要对校外人员提供服务的系统，比如招生管理、学籍管理等系统，以及财务、一卡通等系统的数据库服务器使用数据库防火墙，抵御SQL注入***及针对数据库漏洞的***，或者来自内部的全表删除等误操作、超级权限滥用等。同样的开启学习功能，解决详细设置防火墙规则的难题。

3、对于采用PRO C/C++开发的一卡通系统以及应用系统和数据库在同一台服务器的系统、以及难以实施镜像部署的系统、虚拟化平台上的数据库系统，通过安装中安威士特有的软件探针，实现审计功能。

4、对于尤其重要的数据库系统，部署中安威士高性能的数据库加密系统。对高校财务系统和招生系统数据库存储的信息进行加密存储，并且通过独立的权限管控系统来实现对敏感数据访问的权限控制，确保其数据的安全性。

5、对于开发和测试，采用数据库脱敏产品，防止真实数据泄漏。

以上的解决方案示意图如下：

优势

中安威士面向高校的数据库安全加固解决方案，针对当前高校遇到的数据库安全的主要问题与挑战，采用审计、防火墙、加密混合部署的防护模式，以及采用数据脱敏作为必要补充。方案的优势体现在：

1. 零配置，降低管理工作量。自动学习规则，生成基线模型，无需投入大量人力资源进行安全规则的设置，有效解决了安全管理人员匮乏，水平层次不齐等现实问题。

2. 数据库实时、全面的审计。审计范围包括业务审计、数据库运维审计、系统运维审计、FTP审计以及Web应用审计。审计范围涵盖了所有可能访问数据的途径，外部***和内部越权访问被全面记录，一览无遗。对数据的访问和活动情况进行全方位的监控和记录，便于事后审计和追查，有效解决了高校人员复杂，数据库面临内外绪多风险的难题，对高效的诸多web应用监控难题也迎刃而解。

3. 混合部署且方式灵活。产品支持旁路、串联和软件探针，三种基本部署方式，也可以根据实际需要，采用混合的部署方案，不受高校数据库分散、虚拟化趋势的影响。软件探针部署同时也解决了天翼财务管理系统、迪科一卡通系统等PRO C/C++特殊开发方法导致的不能进行旁路审计的问题。

4. 增强访问控制。通过防火墙，对科研信息及学术信息的数据，从数据库访问层进行有效的权限控制，使信息的保护真正提升到主动防御的水平，及时发现数据的异常活动情况和风险，产生报警。阻断异常的查询和访问，防止敏感数据泄漏。阻断异常的和违规的数据修改、删除操作，防止敏感数据被非法篡改，有效提升了数据库系统的安全性。

5. 敏感内容加密。有选择性地对敏感内容加密，防止在线数据和备份数据的存储介质丢失或被窃取，导致敏感数据泄露。增强的对加密敏感数据的权限管理，防止越权权限的滥用、权限盗用、合法权限滥用导致的数据泄漏。有效解决了直接暴露在***者前的单个数据库系统的安全保护问题。

6. 整体的防护体系。涵盖审计、访问控制、加密和开发测试数据管理。经过几年的潜心研究，依托团队卓越的研发能力，公司的数据库安全产品获得了重大突破，已形成了国内齐全、成熟的数据库安全产品线，产品的功能和性能都处于较高水平。我们所有的核心产品，都是自主研发，享有完全知识产权，并申请有多项专利。公司产品分别获得公安部销售许可证（三级）、保密局涉密产品资质、军B级信息安全产品资质和ISCCC证书，在数据安全行业内，可以说是资质全，规格高，合乎规划建设要求。

7. 方案成熟。服务超过500家客户，有多行业成功应用的案例，可以快速部署应用，取得理想效果，教育行业客户中除了多家高校外，还应用于国家教育考试中心、公务员考试中心、司法考试中心等单位。

8. 高性能。所采用的产品性能优势突出，可以有效地降低财务成本。同时，在查询、报表方面的高性能，有效提升了用户的体验。

9. 方便检查和汇报。提供丰富的优质报表，可实现报表格式和模板的自定义，系统自动生成方便用户查看的表格、柱状图、饼状图等，支持多种格式的报表导出。

价值

通过上述解决方案，有效解决了高校数据安全所面临的威胁：

1. 使数据活动可视。实时显示高校敏感数据的分布情况、访问情况、风险状况，及时发现数据的异常活动状况和风险，实现数据库安全最基本的要求。

2. 使数据安全可控。即通过控制对高校数据的活动和访问，防止数据库中的敏感信息部分或全部被偷窥、***或者镜像，防止数据库中的敏感信息被非法修改或者删除。

具体来说，中安威士数据库安全加固系统带给高校客户如下价值：

满足合规要求，快速通过评测。产品实现独立的审计和访问控制，直接输出合规的报表，满足高校多个法规和标准的要求。能够帮助高校快速通过各种安全保密检查和评测，比如等保评测。

简化业务治理，提高数据安全管理能力。由于数据库系统是一个复杂的软件“黑盒子”，其可视化程度很低。数据库管理员很难说清：在任意时刻数据被访问的情况，这对业务治理带来了很大的困难。尤其在云环境中，这种不可视化程度更加严重。公司产品通过多种手段全面监控数据的访问情况，并提供丰富的预设统计报表，以图形化的方式将数据的访问情况和风险情况可视化，进而提供访问控制能力，极大的简化了业务治理，提高了数据安全管理能力。

完善纵深防御体系，提升整体安全防护能力。建立纵深的防御体系已是信息安全建设的共识。数据库到应用系统这一段，是信息安全的最后一公里，也是最后一道防线，涉及的是最直接的敏感数据安全管理，直接关系到敏感数据的安全。同时，在数据/业务层加强安全防护，也逐步成为信息安全的新方向。公司系统紧贴核心数据，针对信息安全的最后一公里以及数据/业务层提供丰富的防护手段，有利于高校完善纵深防御体系，提升整体安全防护能力。

减少核心数据资产被侵犯，保障业务连续性。信息系统最有价值的资产是数据，而数据也是***者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯，轻者导致业务中断，重者导致泄密和篡改，严重影响高校的声誉乃至生存，围绕核心数据的***对抗将长期存在。云环境中管理权和所有权的分离加剧了数据被侵犯的风险。公司系统产品紧密贴合数据，提供数据发现、风险评估、审计、防火墙、加密等手段，实现数据安全的可视性和可控性，并最终减少核心数据资产被侵犯的可能性，保障正常的业务和高校的声誉。

从访问数据库的SQL语句级别和查看数据库的字段级别进行防控，从根源上彻底防止了SQL注入等***。也防止了高校内部人员及社会人员对敏感数据的篡改和窃取，保护师生和高校敏感数据的安全。

维护高校的公信力，确保高校不会发生信息的泄露和不良信息的传递，提升高校在社会上的影响力。

综上所述，中安威士数据保护产品，对高校数据提供了全方位，全天候的保护，为高校带来崭新的数据保护体验。