高校自建应用系统繁多,承建厂商水平参差不齐,系统本身存在脆弱性。难以防范黑客利用系统漏洞进行SQL注入,缓冲区溢出,提权拖库等侵入数据库的数据窃取行为。
《关于加强教育系统数据安全工作的通知》,要求建立教育系统数据安全责任体系和数据分类分级制度;健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报。
通过数据资产安全管理平台,实现对全网数据资产的洞察,发现分散的数据源,对敏感数据进行分级分类,做为实现数据生命周期管理的基础。
在数据离开生产环境时,通过静态脱敏将真实数据漂白成脱敏厚数据,提供给第三方开发、测试使用;在内部教务人员培训时,使用脱敏后的数据,防止真实数据泄露。
通过数据库防火墙的攻击防护策略及虚拟补丁策略,及时发现和阻断来自内部和外部的SQL注入攻击和越权操作行为,防止拖库、撞库、删表、提权等高风险行为发生。
通过数据库加密,将数据库中的关键数据进行加密存储,防止高权限用户的未授权操作,防止特权操作敏感数据,以及极端情况下的介质窃取和托库行为。
通过数据库审计,对独立分散的数据库进行全面的数据访问行为记录,做到什么时候、哪个用户、在哪里、通过什么访问、访问了什么数据库操作信息,及时识别高风险行为并进行全面检测预警。
从数据全生命周期出发,以资产梳理和分类分级为支撑,以数据安全关键环节保护为重点,以管理制度为辅助,搭建出全面的防护体系。