內(nèi)部安全管控

案例2 西安電子科技大學(xué)

高校操作數(shù)據(jù)庫人員較為復(fù)雜，賬號共享、特權(quán)訪問、誤操作等現(xiàn)象普遍存在，這一環(huán)節(jié)如若缺乏有效的管理和監(jiān)控措施，“特洛伊木馬事件”的發(fā)生將造成嚴(yán)重后果。

目前，西安電子科技大學(xué)全校業(yè)務(wù)系統(tǒng)運維管理停留在應(yīng)用系統(tǒng)層面基于賬號的運維管理，無法深入到數(shù)據(jù)層將數(shù)據(jù)資產(chǎn)與人員的關(guān)聯(lián)關(guān)系以及交互過程進(jìn)行有效的精細(xì)化管控，從而保障高校數(shù)據(jù)安全。

圖：美創(chuàng)數(shù)據(jù)庫防水壩部署圖

一、基于美創(chuàng)數(shù)據(jù)庫防水壩敏感數(shù)據(jù)分級分類功能，以表格或列為單位進(jìn)行細(xì)粒度管理，將西電重要及敏感數(shù)據(jù)從普通業(yè)務(wù)數(shù)據(jù)中脫離進(jìn)行獨立管理，從而明確高校數(shù)據(jù)保護對象，并實施更加安全的保護措施。

二、美創(chuàng)數(shù)據(jù)庫防水壩系統(tǒng)以身份為中心，通過對運維人員、開發(fā)人員、業(yè)務(wù)操作人員進(jìn)行身份鑒別，基于最小化權(quán)限原則，根據(jù)不同的數(shù)據(jù)使用人員授予不同的數(shù)據(jù)使用權(quán)限，進(jìn)行敏感數(shù)據(jù)訪問控制。隔離DBA、SYSDBA、SchemaUser、Any等特權(quán)，使其只能訪問授權(quán)范圍內(nèi)的敏感表格數(shù)據(jù)。

三、對DDL、DML、代碼類高危操作，結(jié)合細(xì)粒度訪問控制和工作流審批進(jìn)行監(jiān)控，支持?jǐn)?shù)據(jù)恢復(fù)機制，避免誤操作導(dǎo)致的數(shù)據(jù)丟失。

四、從數(shù)據(jù)庫訪問、終端、風(fēng)險策略、敏感資產(chǎn)等多角度進(jìn)行監(jiān)控，風(fēng)險發(fā)生時進(jìn)行實時告警。

精準(zhǔn)全面審計

案例3 某高校

目前，某高校開始加速推進(jìn)數(shù)字化校園的建設(shè)，各項服務(wù)走向線上。伴隨著數(shù)據(jù)庫信息價值以及可訪問性的提升，高校數(shù)據(jù)庫面臨的安全風(fēng)險大大增加，比如研發(fā)類人員和運維類人員都有權(quán)限操作數(shù)據(jù)庫，但數(shù)據(jù)查詢和更新刪除等后臺數(shù)據(jù)庫類工作，無法劃分界限，導(dǎo)致高校數(shù)據(jù)安全管理工作難以權(quán)責(zé)分明。

圖：美創(chuàng)數(shù)據(jù)庫審計

為了完善組織的IT內(nèi)控體系，滿足各種合規(guī)性要求；同時追責(zé)溯源，幫助該高校進(jìn)行事后追查原因與界定責(zé)任。

通過部署美創(chuàng)數(shù)據(jù)庫審計，以全面審計和精確審計為基礎(chǔ)，實現(xiàn)對數(shù)據(jù)庫的各類操作行為進(jìn)行監(jiān)視并記錄，以郵件或者短信的方式及時發(fā)出告警信息。并通過大數(shù)據(jù)搜索技術(shù)提供高效查詢審計報告，定位事件原因，以便日后查詢、分析、過濾，實現(xiàn)對目標(biāo)數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計，美創(chuàng)數(shù)據(jù)庫審計完美滿足該高校對核心數(shù)據(jù)庫安全監(jiān)控需求。