高校数据安全案例|宁波大学多措并举建立数据安全保障体系

导读: 在数据安全合规要求不断升级的背景下，高校如何建立全面的数据安全及业务连续性保障体系，已成为高校信息化管理者必须解决的问题和现实需求。在深入了解宁波大学的安全诉求后，美创科技基于自身完善的安全产品及教育行业实践经验，为其制定了全套建设方案，构建起全面的数据安全以及业务连续性保障防护体系。

教育信息化2.0时代，数据成为智慧校园建设的黄金财富。

2021年4月，国家印发《关于加强教育系统数据安全工作的通知》，提出建立教育系统数据安全责任体系和数据分类分级制度，形成教育系统数据资源目录，健全覆盖数据收集、传输存储、使用处理、开放共享等生命周期的数据安全保障制度；6月，《数据安全法》表决通过，意味着我国数据安全上升到国家层面，数据安全从此有法可依。

在高校数据安全合规要求不断升级的背景下，伴随信息化建设的不断深化，高校数据安全该如何建立？业务连续性该如何保障？已成为高校信息化管理者必须解决的问题和现实需求。
 

宁波大学创立于1986年，是国家“双一流”建设高校，浙江省、教育部、宁波市共建高校，国家海洋局与宁波市共建高校，浙江省首批重点建设高校。

经过几代宁大人的艰苦创业，学校已成为一所综合性教学研究型大学，综合实力稳居全国高校百强行列。拥有经济学、法学、教育学、文学、历史学、理学、工学、农学、医学、管理学、艺术学等11个学科门类，设有25个学院、10个校级直属研究机构、3家直属附属医院。

一、高校数据安全建设面临诸多挑战

近年来，宁波大学积极响应国家政策号召，努力落实教育现代化、信息化建设，围绕学校信息化综合改革目标，先后完成新建宁波大学中心机房、新建梅山校区基础网络及智能化设施、教学楼多媒体改造等重大项目。伴随教学管理、科研管理、资产管理、招生管理、办公自动化等系统数量的持续增加，学校数据开始海量增长。

宁波大学目前已经应用了一批高校数据安全防护设备及系统，但伴随学校信息化建设的进一步深化，以及数据的海量增长，学校信息安全管理工作依旧面临诸多挑战：

安全挑战：

• 针对运维人员（校内、第三方）以及各业务系统应用开发厂商维护人员登录、操作中心库缺乏有效的管理与监控手段，一旦出现误操作或恶意操作，将会对学校业务系统带来巨大影响。

• 针对各业务系统数据库的各种行为（增、删、改、查等操作）记录，没有专业数据库审计设备进行日志收集和告警，无法及时发现数据库安全问题。

• 学校数据中心业务系统繁多、敏感数据量大，传统手工脱敏的方式成本高、效率低、效果差、存在安全管理漏洞，无法满足学校内部的多样化数据脱敏要求。

• 学校中心库、校内数据仓均未在本地或异地建立实时容灾系统，若校内数据中心故障发生时，将导致校内各业务系统出现无法使用、数据丢失等严重后果。

二、多措并举，守护高校数据安全

在深入了解宁波大学的安全诉求后，美创科技基于自身完善的安全产品及教育行业实践经验，为其制定了全面、有效的建设方案：

依托美创科技数据库防水坝、数据脱敏系统、数据库安全审计以及DBRA数据容灾系统等产品构建起全面的数据安全以及业务连续性保障防护体系，在现有网络安全防御体系下，完善内部风险操作管控、外部攻击入侵防御、数据流动等场景下的数据安全保护、全面精确审计留痕及高效溯源等技术防护手段。

​

1、内部运维风险管控

针对宁波大学校内中心库运维、开发、人员较多，同时存在大量的学生个人信息以及科研课题等敏感数据，为避免校内中心库敏感数据泄露、误删等问题。美创科技通过在宁波大学服务器区域反向代理部署数据库防水坝系统实现运维过程事中的细粒度的权限管控及事后审计问题。
 

主要目标是实现运维人员、开发测试人员的管理，包括运维人员、开发测试人员的正确识别，避免非运维人员利用运维工具访问。对敏感数据进行定义，对特权账户进行统一管理，防止敏感数据被越权。同时为避免数据库运维过程中的误操作行为，建立危险操作访问控制与数据恢复机制。
 

2、全面、精确审计

针对宁波大学现有运维、开发、业务人员都能不同权限的使用操作校内各类数据库，但数据查询和更新删除等后台数据库类工作，无法划分界限，导致安全管理工作难以权责分明等问题，通过在宁波大学服务器区旁路部署美创数据库审计系统对数据库的各类操作行为进行监视并记录，解决数据库各类操作行为记录的问题。

数据库审计系统以安全事件为中心，以全面审计和精确审计为基础，对数据库的各类操作行为进行监视并记录，并以邮件、短信等方式及时发出告警信息。当系统发现攻击以及高危行为时，及时对信息中心运维使用人员发出告警警告，有效阻止安全事件快速扩散，为宁波大学保护自身合法权益提供必要的依据。

3、流动数据安全防护

针对宁波大学数据中心各业务系统数据需进行共享交换、开发测试时敏感数据保护的问题。通过部署数据脱敏系统实现不同场景敏感数据脱敏问题。数据脱敏系统满足为不同环境提供脱敏后的生产数据，即使宁波大学需要将数据共享给第三方，脱离宁波大学管控，也可以通过数据水印功能进行版本溯源。

4、业务连续性保障
针对宁波大学中心库、校内数据仓均未在本地或异地建立实时容灾手段的问题。通过部署数据级容灾系统实现宁波大学本地数据中心数据级容灾建设，数据级容灾系统建设后，在生产库和容灾库之间形成可以相互切换，相互恢复的容灾关系，当宁波大学中心库、校内数据仓出现异常或计划内维护时，生产库可以简单的切换至容灾库，容灾库替代生产库提供服务；生产库硬设备复原之后，容灾库初始化后可以回切至生产系统。保障连续业务应用访问，提高系统的整体服务水平。

三、助力教育信息化2.0，全面提升防护能力

1、通过美创数据库防水坝系统，解决宁波大学运维过程中运维操作不透明、第三方业务运维单位运维过程存在数据安全风险问题。提供多维度的权限控制和授权管理，实现不同细粒度的数据安全标记，全面保障运维的安全要求，保护校内敏感重要数据信息，防止运维过程中数据泄露的安全风险。

2、通过美创数据库审计系统，提供的全面审计和精确审计能力，很好的解决了宁波大学对校内各数据库所有访问和操作行为审计，实现精准到操作人，一旦出现事件，能够迅速定位，事中检测、事后追责溯源，对数据库的潜在威胁者予以震慑，最大程度的减少各种违规行为。
 

3、通过美创静态脱敏系统，自动发现敏感信息，按需进行处理大幅提升脱敏工作效率。同时保障脱敏后的数据的一致性和业务的关联性，满足宁波大学开发测试环境、数据交换、数据分析、数据共享等脱敏需求。

4、通过美创DBRA数据级容灾系统，基于高效的数据实时同步技术，实现宁波大学灾备端数据库与生产库数据的一致性，为宁波大学校内中心库、数据仓提供数据恢复，数据库接管能力，保障校内中心库、数据仓的持续运行。DBRA数据级容灾采用同步模式基于实时增量复制技术，将校内中心库、数据仓数据实时复制到备用系统上，当生产主系统发生故障时，灾备端中心库、数据仓上的数据可确保零丢失。同时提供一键切换能力，让整个故障转移的过程非常快速，使得中心库、数据仓具备业务快速、便捷的恢复能力。