實踐|美創助力“雲學堂”資料安全風險管控建設

雲學堂透過美創資料庫防水壩系統，對核心業務系統資料庫進行運維安全加固，做到事前有規範化的資料使用審批流程，事中資料操作全面的許可權管控，事後安全事件溯源分析，為事件定性提供技術依據和支撐。

 

雲學堂（全稱：江蘇雲學堂網路科技有限公司）作為一家科技企業，為客戶提供數字化企業學習解決方案服務，其中包括：軟體 SaaS服務、內容解決方案服務、數字化企業學習諮詢和運營服務，目前已服務包括世界500強、中國500強在內的眾多行業頭部公司，獲得業界一致認可與好評。

 

01需求背景

 

當前，雲學堂已建立了比較完善的 IT 資訊化體系，資料庫作為資訊系統的核心和基礎，承載著公司越來越多的關鍵業務系統，儲存著大量作為公司核心資產的重要和敏感資訊。

 

針對資料庫操作與運維中面臨的風險，公司擬建設一套資料庫安全管控平臺，滿足公司資料庫操作層面的安全管控需求，具體具體需求如下：

 

共享賬號、臨時賬號管理紊亂，需要規範賬號管理，避免出現資料安全事件發生時，難以定位賬號實際使用者和責任人的現象；

 

加強操作透明化，用技術手段對運維人員統一管控；

 

加強危險性操作受控性，避免資料庫誤操作（Drop Table,Truncate Table 等操作）帶來的巨大安全風險；

 

安全事件審計快速追溯，並具備定時提供相應統計報表功能，防微杜漸。

 

02建設方案

圍繞公司核心業務資料庫，雲學堂透過美創資料庫防水壩系統針對資料庫運維進行統一管理，並針對敏感資料實現許可權的劃分，防止業務系統敏感資料洩露；對於運維人員的未授權訪問或者臨時訪問則透過工單的方式進行申請，從而使得在資料庫運維層面具有流程保障同時也具備一定的資料安全防護水平。

 

主要實現功能

敏感資料分類分級管理： 依照國家及行業相關標準，透過自動掃描發現的方式高效、方便、全面的獲取敏感資訊，從Schema 級別、表格或者表格列、業務單元三方面來進行資料的分類分級。

分權管理： 把資料從資料庫原有許可權體系中解放出來，將核心資料進行分類分級，將同類資料進行歸類，形成資產集合，後續可以針對敏感集合不同的敏感級分級開放許可權，避免一刀切的資料管理模式。

工具登入控制： 不管是外部人員使用自帶電腦登入資料庫，還是在任意地點登入資料庫，美創資料庫防水壩對於接入資料庫的行為提供多維度的監控。身份管理透過應用程式名、IP 地址、主機名、作業系統賬戶、資料庫賬戶、資料庫例項名、時間、 U 盾、安全客戶端等因素進行任意組合，形成新的登入認證規則， U 盾和安全客戶端具有唯一的可識別的數字證書，保證一人一號，合法登入，同時還可以對連線資料庫的運維工具進行認證，只有指定運維工具可以連線，防止帶毒工具或者帶有後門的工具連入資料庫。

細粒度訪問控制： 針對DML 語句控制命令型別、表格或使用者、響應行為等；針對 DDL/DCL 操作訪問控制資料庫系統許可權、資料庫物件許可權、資料庫程式碼等；提供細粒度的資料操作許可權控制。

誤操作恢復： 合法使用者在合法的操作過程中，不可避免會產生誤操作行為，美創資料庫防水壩支援對誤刪除的表格資料進行恢復，使用者一旦發生誤操作行為，安全管理員可在管理端頁面進行語句追蹤，找回誤刪除的資料。

合規審計： 每個使用者對資料庫的操作行為，包括使用者名稱、IP 地址、 MAC 地址、客戶端程式名、執行語句的時間、執行的 SQL 語句、操作的物件等，對其行為進行全程細粒度的審計分析。同時，提供基於會話的審計分析。

 

 

03客戶收益

透過美創資料庫防水壩系統，建立了雲學堂資料層面的內部資料使用安全管控體系，完善了整體的資訊保安架構。

 

 

基於人員與資料資產的內部資料安全使用管控能力，能夠有效防止內部資料安全洩露風險，提升雲學堂整體的資料安全防禦能力。

 

 

敏感資料分類分級，形成了資料安全的底層基礎為後續資料安全建設的擴充套件延伸打下了堅實的基礎。

 

 

立足資料安全風險管控，保障企業重要資料以及學員個人敏感隱私資料安全，滿足《資料安全法》、《個人資訊保護法》等相關政策要求。