吉林大學資料庫安全防護

一、專案背景

在我國教育資訊化建設初期，由於投入和體制等問題，資訊系統的運營缺少有效的安全保護措施和審計機制，存在賬號盜用、業務資料被非法讀取的風險。

高校教育中的教師學生相關資訊資料，牽涉到師生員工的隱私保護，這些個人特徵資料既關係到個人成長安全，家庭和諧，而一些重要的科研專案資料，影響到政府部門的決策，也要防止外洩。學校的招生就業、財務、資產資料等等都是不可外洩且不容篡改的資料，作為核心資料載體——資料庫，一旦發生來自於應用使用者越權操作、程式開發人員和資料庫運維人員的資料洩露和篡改，都將造成巨大的損失。

尤其一些作為在社會上具有較強的公信力和影響力的知名高校，一旦發生資料安全事故，必定會給學校和社會造成重大影響，將影響的師生、學校甚至家庭，社會的安定團結。

二、方案描述

高校新建的財務資料中心基於私有云平臺，透過在私有云環境中部署軟體版資料庫安全加固方案，對財務資料庫的多節點叢集環境的多各類資料庫（Oracle\Sql server\Mysql\ PostgreSQL）進行統計防護能夠主動預防來自於內部維護人員、第三方外包人員、內部員工及業務系統開發測試的各種資料竊取行為，將對財務資料庫系統進行有效地安全加固，彌補當前高校財務部門的資訊保安建設方案中資料庫安全建設的“短板”。

三、方案價值

中安威士技術方案能夠有效解決高校財務系統目前所面臨的資料安全問題，提高資料庫的安全性、機密性、穩定性以及可用性。最大程度的保證不會因外部與內部攻擊、有意或無意的危險操作等原因帶來的資訊洩露、被篡改、被刪除等後果。滿足資訊保安等級保護及高校資訊保安相關要求。

1、從核心處解決資料安全問題

從訪問資料庫的SQL語句級別和檢視資料庫的欄位級別進行防控，從根源上徹底防止“篡改資料、刪除資料、竊取資料”的問題。

2、防止無關業務人員訪問核心資料

對訪問核心資料的人員的許可權體系建立，使核心資料流通在少數的、合規的人員內部，完全遮蔽無關人員與無關業務系統的訪問許可權，只針對運維及財務部門開放訪問許可權並進行集中審計與防護。

3、防禦為主、 審計為輔

在主動防禦的同時，依然對訪問行為進行全程的審計監控，便於時刻分析問題可能發生的時間、地點、人物，以便設定更合理的防禦策略。基於白名單阻斷非法統方行為，全面精準地審計使用者操作行為；