高校資料安全案例|寧波大學多措並舉建立資料安全保障體系

導讀: 在資料安全合規要求不斷升級的背景下，高校如何建立全面的資料安全及業務連續性保障體系，已成為高校資訊化管理者必須解決的問題和現實需求。在深入瞭解寧波大學的安全訴求後，美創科技基於自身完善的安全產品及教育行業實踐經驗，為其制定了全套建設方案，構建起全面的資料安全以及業務連續性保障防護體系。

 

教育資訊化2.0時代，資料成為智慧校園建設的黃金財富。

2021年4月，國家印發《關於加強教育系統資料安全工作的通知》，提出建立教育系統資料安全責任體系和資料分類分級制度，形成教育系統資料資源目錄，健全覆蓋資料收集、傳輸儲存、使用處理、開放共享等生命週期的資料安全保障制度；6月，《資料安全法》表決透過，意味著我國資料安全上升到國家層面，資料安全從此有法可依。

在高校資料安全合規要求不斷升級的背景下，伴隨資訊化建設的不斷深化，高校資料安全該如何建立？業務連續性該如何保障？已成為高校資訊化管理者必須解決的問題和現實需求。

寧波大學創立於1986年，是國家“雙一流”建設高校，浙江省、教育部、寧波市共建高校，國家海洋局與寧波市共建高校，浙江省首批重點建設高校。

 

經過幾代寧大人的艱苦創業，學校已成為一所綜合性教學研究型大學，綜合實力穩居全國高校百強行列。擁有經濟學、法學、教育學、文學、歷史學、理學、工學、農學、醫學、管理學、藝術學等11個學科門類，設有25個學院、10個校級直屬研究機構、3家直屬附屬醫院。

一、高校資料安全建設面臨諸多挑戰

近年來，寧波大學積極響應國家政策號召，努力落實教育現代化、資訊化建設，圍繞學校資訊化綜合改革目標，先後完成新建寧波大學中心機房、新建梅山校區基礎網路及智慧化設施、教學樓多媒體改造等重大專案。伴隨教學管理、科研管理、資產管理、招生管理、辦公自動化等系統數量的持續增加，學校資料開始海量增長。

 

寧波大學目前已經應用了一批高校資料安全防護裝置及系統，但伴隨學校資訊化建設的進一步深化，以及資料的海量增長，學校資訊保安管理工作依舊面臨諸多挑戰：

 

安全挑戰：

• 針對運維人員（校內、第三方）以及各業務系統應用開發廠商維護人員登入、操作中心庫缺乏有效的管理與監控手段，一旦出現誤操作或惡意操作，將會對學校業務系統帶來巨大影響。

• 針對各業務系統資料庫的各種行為（增、刪、改、查等操作）記錄，沒有專業資料庫審計裝置進行日誌收集和告警，無法及時發現資料庫安全問題。

• 學校資料中心業務系統繁多、敏感資料量大， 傳統手工脫敏的方式成本高、效率低、效果差、存在安全管理漏洞，無法滿足學校內部的多樣化資料脫敏要求。

• 學校中心庫、校內資料倉均未在本地或異地建立實時容災系統，若校內資料中心故障發生時，將導致校內各業務系統出現無法使用、資料丟失等嚴重後果。

 

二、多措並舉，守護高校資料安全

在深入瞭解寧波大學的安全訴求後，美創科技基於自身完善的安全產品及教育行業實踐經驗，為其制定了全面、有效的建設方案：

依託美創科技資料庫防水壩、資料脫敏系統、資料庫安全審計以及DBRA資料容災系統等產品構建起全面的資料安全以及業務連續性保障防護體系，在現有網路安全防禦體系下，完善內部風險操作管控、外部攻擊入侵防禦、資料流動等場景下的資料安全保護、全面精確審計留痕及高效溯源等技術防護手段。

部署示意圖

1 、內部運維風險管控

針對寧波大學校內中心庫運維、開發、人員較多，同時存在大量的學生個人資訊以及科研課題等敏感資料，為避免校內中心庫敏感資料洩露、誤刪等問題。美創科技 透過在寧波大學伺服器區域反向代理部署資料庫防水壩系統實現運維過程事中的細粒度的許可權管控及事後審計問題。

主要目標是實現運維人員、開發測試人員的管理，包括運維人員、開發測試人員的正確識別，避免非運維人員利用運維工具訪問。對敏感資料進行定義，對特權賬戶進行統一管理，防止敏感資料被越權。同時為避免資料庫運維過程中的誤操作行為，建立危險操作訪問控制與資料恢復機制。

2 、全面、精確審計

針對寧波大學現有運維、開發、業務人員都能不同許可權的使用操作校內各類資料庫，但資料查詢和更新刪除等後臺資料庫類工作，無法劃分界限，導致安全管理工作難以權責分明等問題， 透過在寧波大學伺服器區旁路部署美創資料庫審計系統對資料庫的各類操作行為進行監視並記錄，解決資料庫各類操作行為記錄的問題。

資料庫審計系統以安全事件為中心，以全面審計和精確審計為基礎，對資料庫的各類操作行為進行監視並記錄，並以郵件、簡訊等方式及時發出告警資訊。當系統發現攻擊以及高危行為時，及時對資訊中心運維使用人員發出告警警告，有效阻止安全事件快速擴散，為寧波大學保護自身合法權益提供必要的依據。

3 、流動資料安全防護

針對寧波大學資料中心各業務系統資料需進行共享交換、開發測試時敏感資料保護的問題。 透過部署資料脫敏系統實現不同場景敏感資料脫敏問題。資料脫敏系統滿足為不同環境提供脫敏後的生產資料，即使寧波大學需要將資料共享給第三方，脫離寧波大學管控，也可以透過資料水印功能進行版本溯源。

4 、業務連續性保障
針對寧波大學中心庫、校內資料倉均未在本地或異地建立實時容災手段的問題。 透過部署資料級容災系統實現寧波大學本地資料中心資料級容災建設，資料級容災系統建設後，在生產庫和容災庫之間形成可以相互切換，相互恢復的容災關係，當寧波大學中心庫、校內資料倉出現異常或計劃內維護時，生產庫可以簡單的切換至容災庫，容災庫替代生產庫提供服務；生產庫硬裝置復原之後，容災庫初始化後可以回切至生產系統。保障連續業務應用訪問，提高系統的整體服務水平。

三、助力教育資訊化2.0，全面提升防護能力

1、透過美創資料庫防水壩系統，解決寧波大學運維過程中運維操作不透明、第三方業務運維單位運維過程存在資料安全風險問題。提供多維度的許可權控制和授權管理，實現不同細粒度的資料安全標記，全面保障運維的安全要求，保護校內敏感重要資料資訊，防止運維過程中資料洩露的安全風險。

2、透過美創資料庫審計系統，提供的全面審計和精確審計能力，很好的解決了寧波大學對校內各資料庫所有訪問和操作行為審計，實現精準到操作人，一旦出現事件，能夠迅速定位，事中檢測、事後追責溯源，對資料庫的潛在威脅者予以震懾，最大程度的減少各種違規行為。

3、透過美創靜態脫敏系統，自動發現敏感資訊，按需進行處理大幅提升脫敏工作效率。同時保障脫敏後的資料的一致性和業務的關聯性，滿足寧波大學開發測試環境、資料交換、資料分析、資料共享等脫敏需求。

 

4、透過美創DBRA資料級容災系統，基於高效的資料實時同步技術，實現寧波大學災備端資料庫與生產庫資料的一致性，為寧波大學校內中心庫、資料倉提供資料恢復，資料庫接管能力，保障校內中心庫、資料倉的持續執行。DBRA資料級容災採用同步模式基於實時增量複製技術，將校內中心庫、資料倉資料實時複製到備用系統上，當生產主系統發生故障時，災備端中心庫、資料倉上的資料可確保零丟失。同時提供一鍵切換能力，讓整個故障轉移的過程非常快速，使得中心庫、資料倉具備業務快速、便捷的恢復能力。