高校資料安全管理方案

教育-需求

教育是興國之本，高校則是國家培養高階知識分子和技術人才的搖籃。而高校網路中的資料一般包括網站資料、教學資源、圖書資源、教務管理資料、辦公資源、財務管理資料等，如教職工資訊、學生資訊、教學資訊、科研資訊、資產資訊、圖書借閱資訊、師生消費資訊和上網資訊等各種資料內容。

很多資料對於高校來說絕對不能外流，更不允許丟失，越來越多的高校運維管理人員意識到高校資料安全的重要性：高校網站執行多年，如果資料突然被清空，其資料將會丟失；而教學資源和圖書資源的建立是勞動密集型的，需要一個漫長的過程，如果資料被破壞，則需要同樣多的時間來重建；教務管理系統管理的資料都是教師的業績和學生的成績、學籍等至關重要的資料，如果這些資料被破壞或丟失，可以說是滅頂之災；辦公系統記錄著老師的個人隱私資訊，聯絡方式，學院的公文等，很多資料都是涉密資訊，更應該重點保護。

隨著高校資訊化的發展，高校資料面臨極大的安全考驗。據專業安全網站“freebuf”報道：早在2012年，杭州某大學就曾曝出15萬學生資料洩露的嚴重事件。知情人透露，該事件只是因被黑客在網站上披露細節才浮出水面。不為人知的竊取高校學生資訊的事件更多，黑市上也層層倒賣著眾多高校的資料資源。馬里蘭大學校長在2014年資料安全事件中稱：該校有309,000名學生及職工的名字和社保號在一個“複雜”的網路資料安全攻擊中被盜……。

近期，高校資料安全事件愈發頻繁。據中國高等教育學會教育資訊化分會網路資訊保安工作組通報：2016年5月25日通報了湖北某職業學院，河北某工程學校，河南某大學招生網，廣州某學院分站等46所高校的資料安全漏洞；2016年5月26日通報了南京某大學機關黨委，浙江某大學文學網，廣東某職業學院，山東某學院招生資訊網等21所學校存在資料安全漏洞；2016年5月31日[CNVD]通報了北京某大學，蘭州某大學新聞網，昆明某醫院後臺，四川某大學分校等8所高校存在資料安全漏洞。成都某高校有辦公自動化系統（OA）未授權下載/資訊洩露/員工弱口令等漏洞，因可以下載資料，導致資訊洩露；西安、河南等省市多所高校的分站存在SQL注入漏洞，諸如此類資料安全事件，不一而足。

同時，針對高校的資料洩漏和詐騙手段的案件已連續發生多起。據報道，浙江某大學新生小莫因資訊資料洩漏而誤入釣魚網站，讓他2.9萬元學費和生活費全部被騙。據小莫描述，騙子知道他的很多資料資訊：如名字、家庭住址和QQ號，所以就沒有懷疑對方身份，並按照對方的要求，點選了對方通過QQ發來的連結，分2次轉賬了2.9萬元。據調查，事件發生的根源在於該校招生資料洩露。

據分析，高校資料洩漏的很大一部分原因是網站系統的SQL注入漏洞被黑客所利用。同時，伴隨著高校資料庫資訊價值以及可訪問性提升，同樣使得高校資料庫面對來自內部的安全風險大大增加。如違規越權操作、惡意入侵導致機密資訊竊取洩漏，但事後卻無法有效追溯和審計。作為儲存著大量人員資訊的資料庫，更需要加強資料安全管理，因為這些資料已涉及到個人隱私，除了及時完善，有效的處理漏洞，重要的是杜絕再次發生類似的攻擊事件。而能做到這一點的最有力手段就是靈活並有針對性的資料庫安全保護措施!

針對資料庫安全保護措施的需求主要體現在：

1、需要了解資料庫伺服器、敏感資料的分佈情況，並將所發現的重要伺服器、服務、資料自動分類，並生成統計報表，將所有發現和分類結果直接加入到後續模組中的規則中。要求能對資料庫執行狀態實時監控，在狀態異常時進行預警，提前防止業務癱瘓，保障業務系統的連續可用性。對效能進行審計，如：使用者活動狀況、資料庫記憶體狀態、檔案系統狀態、查詢響應效能等，並能將效能審計結果直接匯出為報表，以便設定告警條件，並記錄告警事件。

2、要求能通過掃描的方式，靜態的評估高校資料庫系統的風險，掃描內容包括：弱口令檢測、系統漏洞、配置風險等。實時監控資料活動情況，自動學習並建立使用者和系統對資料的訪問行為模式，生成不同粒度的訪問規則。進而根據設定的規則評估訪問操作的風險等級，並根據風險等級產生告警。在系統內建攻擊檢測規則，能夠實時檢測出SQL注入和緩衝區溢位等攻擊，同時詳細地記錄攻擊操作發生的時間、來源IP、登入資料庫的使用者名稱、攻擊程式碼等詳細資訊，併產生告警。

3、要求能實時監控資料活動情況，並基於自動學習建立的資料訪問模型，及時評估訪問風險，發現並阻斷非法訪問和攻擊。在審計的基礎上，進一步提供阻斷功能，從而提升防護能力，並在不破壞業務持續性的情況下阻止攻擊行為。並對敏感資料加密，以實現資料庫安全的最後一道防線，達到最高一級的防護，以提供進一步增強的訪問控制。

4、此外，要能對資料庫和Web應用進行全面監控，對使用者的訪問行為進行全面跟蹤，對核心資料的防護真正達到進不來、拿不走、看不見的效果。而且，所有的審計結果以視覺化圖形的形式進行展示，可直接匯出為報表，幫助高校輕鬆達到合規要求，極大提高資料庫管理效率。

綜上所述，高校加強資料安全保護的需求越來越強烈，亟需對高校資料庫進行資料安全保護。

教育-挑戰

高校資訊系統環境複雜，對其資料庫進行保護，面對諸多挑戰，具體如下：

高校內部管理系統眾多，不僅有資料中心，還有一些獨立的資料庫分佈在不同位置，難以集中管理；

高校內人員構成複雜，在應對外部入侵的同時還需應對來自內部的攻擊；

安全問題突出，系統又眾多，但網路管理和安全人員十分匱乏，不能頻繁的巡查和進行詳細的規則設定。資料中心人手有限甚至不足，不但要建設新的業務應用，還要進行日常的業務維護。如果再加上資料安全的管理任務，這對於資料中心的老師來說又是額外的繁重任務。所以資料安全的管理也必須解決這一衝突；

高校自建的WEB應用繁多，但由於技術人員水平參差不齊，很多網站由高校或者學生完成，對其安全性考慮較少，存在許多致命的風險；

虛擬化環境是一種趨勢，高校的虛擬化和雲端計算平臺逐步建立，但對其上的資料資訊缺乏有效的防護措施；

高校的校園一卡通系統，採用迪科等產品，由PRO C/C++開發，無法使用旁路方式實施審計；

某些管理系統採用資料庫和應用在同一個伺服器上的部署方式，極大地降低了系統的資料安全性，極易將資料庫直接暴露給攻擊者。

教育-方案

針對教育行業客戶所遇到的風險和挑戰，我們建議各個高校，首先加強資料安全的意識。作為技術人員肯定理解資料安全的重要性。但是許多情況下，我們還沒有把這個資料安全的意識，灌輸到其他人的腦海裡，沒有讓相關責任人重視。結果，許多細節被忽略了，甚至時間長了就養成一種僥倖的心理，以至於當危機來臨時完全沒有準備，這樣帶來的後果難以估計。所以，我們要把資料安全的意識，灌輸給每一個人，而不僅是傳授資料安全備份等基礎的安全管理方法。讓每一個人覺得下一刻就可能出現數據損壞或丟失。在沒有出現問題的時候，就要想：如果出現了問題怎麼辦？只有具有這樣一種憂患意識，並努力去解決，才能真正保證資料安全。

另外，我們也建議客戶在對系統和資料的重要性進行評估的基礎上，統一地，有區別地逐步建立並完善資料庫安全防護。該防護體系是基於中安威士的資料安全管理系列產品實現的，具體如下：

1、對所有資料庫部署資料庫審計產品。通過旁路映象的方式，在不改變資料庫系統的任何設定的和在不影響資料庫系統自身效能的前提下，實現對資料庫的線上監控和保護。開啟入侵檢測功能，及時地發現網路上針對資料庫的違規操作行為，並進行記錄、報警。開啟學習功能，自動生成基線模型白名單，實現規則零配置，解決因人力不足造成的無法詳細設定審計規則問題。一旦發生威脅可迅速判斷是內部人員的越權操作，還是外部人員的入侵行為，事後追責，滿足合規性要求。

2、實施資料庫防火牆。對於更重要的、易受攻擊的系統，尤其是需要對校外人員提供服務的系統，比如招生管理、學籍管理等系統，以及財務、一卡通等系統的資料庫伺服器使用資料庫防火牆，抵禦SQL注入攻擊及針對資料庫漏洞的攻擊，或者來自內部的全表刪除等誤操作、超級許可權濫用等。同樣的開啟學習功能，解決詳細設定防火牆規則的難題。

3、對於採用PRO C/C++開發的一卡通系統以及應用系統和資料庫在同一臺伺服器的系統、以及難以實施映象部署的系統、虛擬化平臺上的資料庫系統，通過安裝中安威士特有的軟體探針，實現審計功能。

4、對於尤其重要的資料庫系統，部署中安威士高效能的資料庫加密系統。對高校財務系統和招生系統資料庫儲存的資訊進行加密儲存，並且通過獨立的許可權管控系統來實現對敏感資料訪問的許可權控制，確保其資料的安全性。

5、對於開發和測試，採用資料庫脫敏產品，防止真實資料洩漏。

以上的解決方案示意圖如下：

方案-優勢

中安威士面向高校的資料庫安全加固解決方案，針對當前高校遇到的資料庫安全的主要問題與挑戰，採用審計、防火牆、加密混合部署的防護模式，以及採用資料脫敏作為必要補充。方案的優勢體現在：

1. 零配置，降低管理工作量。自動學習規則，生成基線模型，無需投入大量人力資源進行安全規則的設定，有效解決了安全管理人員匱乏，水平層次不齊等現實問題。

2. 資料庫實時、全面的審計。審計範圍包括業務審計、資料庫運維審計、系統運維審計、FTP審計以及Web應用審計。審計範圍涵蓋了所有可能訪問資料的途徑，外部入侵和內部越權訪問被全面記錄，一覽無遺。對資料的訪問和活動情況進行全方位的監控和記錄，便於事後審計和追查，有效解決了高校人員複雜，資料庫面臨內外緒多風險的難題，對高效的諸多web應用監控難題也迎刃而解。

3. 混合部署且方式靈活。產品支援旁路、串聯和軟體探針，三種基本部署方式，也可以根據實際需要，採用混合的部署方案，不受高校資料庫分散、虛擬化趨勢的影響。軟體探針部署同時也解決了天翼財務管理系統、迪科一卡通系統等PRO C/C++特殊開發方法導致的不能進行旁路審計的問題。

4. 增強訪問控制。通過防火牆，對科研資訊及學術資訊的資料，從資料庫訪問層進行有效的許可權控制，使資訊的保護真正提升到主動防禦的水平，及時發現數據的異常活動情況和風險，產生報警。阻斷異常的查詢和訪問，防止敏感資料洩漏。阻斷異常的和違規的資料修改、刪除操作，防止敏感資料被非法篡改，有效提升了資料庫系統的安全性。

5. 敏感內容加密。有選擇性地對敏感內容加密，防止線上資料和備份資料的儲存介質丟失或被竊取，導致敏感資料洩露。增強的對加密敏感資料的許可權管理，防止越權許可權的濫用、許可權盜用、合法許可權濫用導致的資料洩漏。有效解決了直接暴露在攻擊者前的單個數據庫系統的安全保護問題。

6. 整體的防護體系。涵蓋審計、訪問控制、加密和開發測試資料管理。經過幾年的潛心研究，依託團隊卓越的研發能力，公司的資料庫安全產品獲得了重大突破，已形成了國內齊全、成熟的資料庫安全產品線，產品的功能和效能都處於較高水平。我們所有的核心產品，都是自主研發，享有完全智慧財產權，並申請有多項專利。公司產品分別獲得公安部銷售許可證（三級）、保密局涉密產品資質、軍B級資訊保安產品資質和ISCCC證書，在資料安全行業內，可以說是資質全，規格高，合乎規劃建設要求。

7. 方案成熟。服務超過500家客戶，有多行業成功應用的案例，可以快速部署應用，取得理想效果，教育行業客戶中除了多家高校外，還應用於國家教育考試中心、公務員考試中心、司法考試中心等單位。

8. 高效能。所採用的產品效能優勢突出，可以有效地降低財務成本。同時，在查詢、報表方面的高效能，有效提升了使用者的體驗。

9. 方便檢查和彙報。提供豐富的優質報表，可實現報表格式和模板的自定義，系統自動生成方便使用者檢視的表格、柱狀圖、餅狀圖等，支援多種格式的報表匯出。

教育-價值.jpg

通過上述解決方案，有效解決了高校資料安全所面臨的威脅：

1. 使資料活動可視。實時顯示高校敏感資料的分佈情況、訪問情況、風險狀況，及時發現數據的異常活動狀況和風險，實現資料庫安全最基本的要求。

2. 使資料安全可控。即通過控制對高校資料的活動和訪問，防止資料庫中的敏感資訊部分或全部被偷窺、拖庫或者映象，防止資料庫中的敏感資訊被非法修改或者刪除。

具體來說，中安威士資料庫安全加固系統帶給高校客戶如下價值：

滿足合規要求，快速通過評測。產品實現獨立的審計和訪問控制，直接輸出合規的報表，滿足高校多個法規和標準的要求。能夠幫助高校快速通過各種安全保密檢查和評測，比如等保評測。

簡化業務治理，提高資料安全管理能力。由於資料庫系統是一個複雜的軟體“黑盒子”，其視覺化程度很低。資料庫管理員很難說清：在任意時刻資料被訪問的情況，這對業務治理帶來了很大的困難。尤其在雲環境中，這種不視覺化程度更加嚴重。公司產品通過多種手段全面監控資料的訪問情況，並提供豐富的預設統計報表，以圖形化的方式將資料的訪問情況和風險情況視覺化，進而提供訪問控制能力，極大的簡化了業務治理，提高了資料安全管理能力。

完善縱深防禦體系，提升整體安全防護能力。建立縱深的防禦體系已是資訊保安建設的共識。資料庫到應用系統這一段，是資訊保安的最後一公里，也是最後一道防線，涉及的是最直接的敏感資料安全管理，直接關係到敏感資料的安全。同時，在資料/業務層加強安全防護，也逐步成為資訊保安的新方向。公司系統緊貼核心資料，針對資訊保安的最後一公里以及資料/業務層提供豐富的防護手段，有利於高校完善縱深防禦體系，提升整體安全防護能力。

減少核心資料資產被侵犯，保障業務連續性。資訊系統最有價值的資產是資料，而資料也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心資料被侵犯，輕者導致業務中斷，重者導致洩密和篡改，嚴重影響高校的聲譽乃至生存，圍繞核心資料的攻防對抗將長期存在。雲環境中管理權和所有權的分離加劇了資料被侵犯的風險。公司系統產品緊密貼合數據，提供資料發現、風險評估、審計、防火牆、加密等手段，實現資料安全的可視性和可控性，並最終減少核心資料資產被侵犯的可能性，保障正常的業務和高校的聲譽。

從訪問資料庫的SQL語句級別和檢視資料庫的欄位級別進行防控，從根源上徹底防止了SQL注入等攻擊。也防止了高校內部人員及社會人員對敏感資料的篡改和竊取，保護師生和高校敏感資料的安全。

維護高校的公信力，確保高校不會發生資訊的洩露和不良資訊的傳遞，提升高校在社會上的影響力。

綜上所述，中安威士資料保護產品，對高校資料提供了全方位，全天候的保護，為高校帶來嶄新的資料保護體驗。