安恒信息推出智慧校园敏感数据保护解决方案

近年来，高新技术快速发展，数字化转型成为教育领域高质量发展的重要引擎和创新路径。网络安全作为数字化建设的安全基石，却面临着网络安全人才缺口不断攀升的直接挑战，网络安全人才培养迫在眉睫。

结合多年丰富的网络安全技术积累与人才培养经验，安恒信息数字人才创研院和解决方案部共同推出一系列教育行业解决方案，从网络安全行业出发，全方位助力高校形成人才培养、技术创新、产业发展与网络安全技术应用的良性生态。

本期第八话

安恒信息&智慧校园敏感数据保护解决方案

随着高校数字化转型不断深入，数据价值不断得以挖掘，为广大师生学习、工作和生活提供了诸多的便利，充分体现了数据多跑路，师生少跑路的服务理念。然而，数据在方便高校服务管理工作的同时，也埋下了数据安全风险隐患，敏感数据的泄露，不仅影响学生、家长、教师、高校等主体，还可能外溢到其他领域，衍生网络欺诈、电信诈骗等，波及更多人群和领域，造成经济等各方面损失。如何保护高校的敏感数据，如何在保障数据可用性与流动性的前提下落实对数据机密性与完整性的保护是学校所关注的重要问题。从数据生命周期的环节来看，主要存在如下数据泄露风险：

（1）单一的网络安全与数据库访问控制手段难以满足控制敏感数据的访问，无法及时获知敏感数据是否发生泄漏行为；

（2）数据交换过程中，混杂一般数据和敏感数据，如未针对敏感数据采取控制措施，容易造成敏感信息泄露；

（3）第三方运维、开发人员管理不到位，造成脱库、删库和数据泄露风险；

（4）大部分高校尚未对数据存储过程进行安全规范，大量敏感数据以明文的方式存储在本地数据库中，容易因系统自身漏洞引发黑客攻击或者是非授权访问等方式造成数据泄露等问题，影响到数据的保密性。

智慧校园敏感数据保护解决方案思路

安恒信息结合多年教育行业数据安全防护的实践经验，以“一个中心，四重防护”为敏感数据保护框架，致力于让高校“用好数据、管好数据、存好数据”，围绕数据保护处理活动的全过程与各方主体，面向数据库访问、数据库运维、数据流转与存储过程建立多层次、立体化的敏感数据保护能力：

访问过程保护

为数据库访问建立主动的安全防护能力，针对多种攻击场景为数据库提供有效防护，减少对数据库的攻击造成的数据库安全隐患。

共享开放保护

提供丰富的数据脱敏算法与水印溯源，辅助高校在数据开放共享过程中降低泄露风险，“用”好数据。

运维开发过程保护

分析数据库运维过程面临的数据安全威胁，为高校建立一条安全的数据库运维通道，降低因运维通道管控手段不足引起敏感数据泄露风险，“管”好数据。

存储过程保护

提供高强度加密算法，数据密文存储，帮助高校“存”好敏感数据。

一中心

以可视化技术展现组织数据安全状态，全方位监控数据使用和数据流动，实现预警潜在发生的数据泄漏，形成数据安全保障闭环，实现“事前可管、事中可控、事后可查”的数据安全目标。

智慧校园敏感数据保护解决方案

安恒信息敏感数据保护解决方案由数据库防火墙、数据库运维系统、数据脱敏系统、数据加密系统、数据安全管理平台五部分组成，弥补高校敏感数据在访问过程、运维过程、共享开放过程与存储过程存在的安全短板，降低数据安全风险，构建高质量的数据安全防护能力，以确保敏感数据安全。

数据库防火墙

具备串接部署、策略路由、反向代理等多种部署模式，以数据库精细化访问控制、攻击防护为核心，提升访问数据库系统人员身份鉴别安全与访问安全，有效防止非法操作者对数据库的恶意攻击。

数据库运维系统

为了避免运维过程中运维操作不透明、高危操作与运维过程敏感数据直接接触等一系列数据安全威胁，数据库运维系统通过运维审批、动态脱敏等功能，保障运维人员针对数据库系统运维过程的运维安全。

数据脱敏系统

支持基于数据内容的识别，对敏感数据的自动发现和标识，结合系统内置的脱敏算法，保证数据逻辑关联性前提下，保障高校敏感数据在流转过程中的安全性，维护高校数据安全权益。

数据加密系统

对现有以明文存储在数据库的敏感数据进行表一级加密，并提供授权访问密钥，确保数据存储安全。即使数据泄露，也因为没有密钥无法读懂数据。

数据安全管理平台

提供数据资产可视化能力，提供数据资产全景图，对学校数据资产全方位统计展示，包括资产变更、数据流向情况、数据安全风险和安全事件等内容的监控告警能力。作为学校实战化数据安全运营技术工具使用、应用、运行等的统一入口，将抽象的数据安全态势转化成直观、可视的实体。从数据使用、存储、传输、共享、交换、流转的全流动视角，实时展现当前敏感数据流转的态势和数据安全风险，第一时间掌控数据安全态势，快速决策，实现学校数据安全可视、可知、可控。

应用价值

数据是高校数字化转型时代重要的生产要素，数据安全对于加强新时代教育信息化至关重要，安恒信息的敏感数据保护方案主要实现以下几个方面的价值：

“管”好数据

解决方案构建从数据库建立从访问到运维过程的安全机制，对访问敏感数据的人员的权限体系建立，使敏感数据在流通、访问过程、运维过程屏蔽无关人员的访问权限，纵深防御，防止“篡改数据、删除数据、窃取数据”等安全威胁。

“用”好数据

专注敏感数据开放共享需求，配合强大的仿真脱敏算法，帮助学校用脱敏算法妥善处理数据流转过程中敏感数据去标识化、去个性化处理，保障数据可用性与流动性的前提下落实对数据机密性与完整性的保护的重要问题。释放数据价值，促进数据流通提供安全通道，兼顾安全与发展。

“存”好数据

为高校内部高敏感数据提供高强度数据加密，即使数据泄露，未有密钥也无法读懂数据，建立最后的数据安全防线，确保数据的安全性及私密性。

典型案例

项目背景

某大学不断加大智慧校园建设方面的投入，通过数据中心建设，实现了校内数据汇集、融合与开放，较好地解决了以往业务发展的“信息孤岛”和“数据孤岛”问题。但是随着数据不断积累，数据处理的角色更多元，系统、业务边界更模糊，业务趋于协同，数据的处理活动难以追溯和控制，传统的网络安全防护手段很难专门应对数据安全风险，围绕数据的处理活动中所面临的敏感信息泄露风险，需要构建一套有效的数据安全防护体系，确保数据安全可控。

建设方案

（1）构建数据库攻击防护能力，有效防范SQL注入及漏洞攻击威胁，保障了业务数据的安全使用。

（2）建立唯一数据库运维通道，提供账号准入、多重认证能力，限制部分特权用户权限，防越权操作。

（3）提供细粒度访问控制能力，从访问源、访问目标、访问行为、访问结果集等多维度限制数据库风险操作、误操作等行为。

（4）通过脱敏和加密方式提供系统表、敏感表、敏感字段防护能力，防止敏感数据泄漏、篡改。

用户收益

1.满足《网络安全法》《数据安全法》《个人信息保护法》等法律法规的要求。

2.以敏感数据为中心，综合访问控制、数据库安全、存储加密、数据脱敏系列技术栈，构筑立体化数据安全防护体系。

3.实现“进不来、拿不走、看不懂、抓得住”，保障数据全生命周期的安全可控。

往期精彩回顾