某电力大学数据库安全加固案例

摘要：本案例以数据审计为核心，利用数据库审计的细粒度审计能力，发现潜在的数据攻击行为。并以此为基础，进行二期建设。
1 背景介绍和需求
随着我国高等学校信息化建设的逐步深入，学校工作对信息系统依赖程度越来越高。教育信息化建设中大量的信息资源，成为学校业务展示和应用的平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部攻击、内部资源滥用等不安全因素越来越显著，信息化安全是业务应用发展需要关注的核心和重点。某电力大学发现一些重要业务系统中的数据被篡改，学校予以高度重视，但是仅采用制度管理的方式控制，不仅耗费人力物力，而且无法真正保障数据安全。
该电力大学信息系统环境复杂，主要包括数字化校园门户系统、统一认证平台、数据交换平台、人力资源系统、主数据管理平台、综合教务管理系统等。该电力大学的众多数据中有相当一部分是与教职工和学生的工作学习息息相关的重要数据。多个业务系统数据集中共享传递，数据之间联系紧密，一旦这些信息被窃或被不法人员导出去将会给学校、教职工、学生带来巨大影响。面对如此之多又重要的数据存储和流动问题，学校信息中心需要对多个业务系统的多个数据库访问行为进行全面监控和审计。
2 解决方案
2.1 一期方案
针对该电力大学的数据监管需求，我司提供基于数据库全面审计的数据安全解决方案，保证该电力大学的数据访问情况全程在监管审计下进行，确保数据访问的透明可视。针对学校的具体数据库环境部署方案如下图所示：

方案的整体思路是监控和记录所有数据库的访问行为，监控数据库的运行状态，同时能及时发现数据的异常活动情况和风险并及时对异常事件进行报警，最后通过输出可视化的报表，达到数据访问一目了然的效果。
方案针对电力大学的具体业务系统情况，对数字化校园系统、统一认证等系统的后台数据库集群1以及综合教务管理及网络教学平台的后台数据库集群2，通过旁路镜像的方式，在不改变数据库系统的任何原有设置，并且在不影响数据库系统自身性能的前提下，各部署一台数据库审计产品，实现对数据库的在线监控和保护。对其他应用和数据库部署在一台服务器的数据库系统情况，我们使用软件探针的方式获取数据库的审计日志，实现对数据审计的效果。
2.2 二期方案
在一期基础上，该校讲进一步增强对数据的安全治理。二期重点是进行敏感数据的加密和数据库的脱敏。
3 案例价值
通过上述的解决方案，有效的解决了该电力大学数据监管所面临的困境，帮助学校建立数据安全监管体系。
具体来说，中安威士数据加固方案给该电力大学带来如下价值：

1. 满足合规要求，快速通过测评。使数据活动可视化，实时显示高校敏感数据的分布情况、访问情况、风险状况，及时发现数据的异常活动状况和风险。并可以直接输出各种合规报表，满足高校多个法规和标准的要求，能够帮助高校快速通过各种安全保密检查和等保评测检查。
2. 简化业务治理，提高数据安全管理能力。数据库审计产品通过多种手段全面监控数据的访问情况，并提供丰富的预设统计报表，以图形化的方式将数据的访问情况和风险情况可视化，进而提供访问控制能力，极大的简化了业务治理，提高了数据安全管理能力。
3. 完善高校防御体系，减少敏感信息外泄。数据库到web系统这一段，涉及到最直接的敏感数据安全管理，直接关系到敏感数据的安全。我司审计系统紧贴核心数据，针对该高校的信息系统提供有效的监控手段，更高效地保护教职工及学生的个人信息安全。
   4 类似案例
   辽宁某985高校，吉林某985高校，西南某政法大学。