内部安全管控
案例2 西安电子科技大学
高校操作数据库人员较为复杂,账号共享、特权访问、误操作等现象普遍存在,这一环节如若缺乏有效的管理和监控措施,“特洛伊木马事件”的发生将造成严重后果。
目前,西安电子科技大学全校业务系统运维管理停留在应用系统层面基于账号的运维管理,无法深入到数据层将数据资产与人员的关联关系以及交互过程进行有效的精细化管控,从而保障高校数据安全。
图:美创数据库防水坝部署图
一、基于美创数据库防水坝敏感数据分级分类功能,以表格或列为单位进行细粒度管理,将西电重要及敏感数据从普通业务数据中脱离进行独立管理,从而明确高校数据保护对象,并实施更加安全的保护措施。
二、美创数据库防水坝系统以身份为中心,通过对运维人员、开发人员、业务操作人员进行身份鉴别,基于最小化权限原则,根据不同的数据使用人员授予不同的数据使用权限,进行敏感数据访问控制。隔离DBA、SYSDBA、SchemaUser、Any等特权,使其只能访问授权范围内的敏感表格数据。
三、对DDL、DML、代码类高危操作,结合细粒度访问控制和工作流审批进行监控,支持数据恢复机制,避免误操作导致的数据丢失。
四、从数据库访问、终端、风险策略、敏感资产等多角度进行监控,风险发生时进行实时告警。
精准全面审计
案例3 某高校
目前,某高校开始加速推进数字化校园的建设,各项服务走向线上。伴随着数据库信息价值以及可访问性的提升,高校数据库面临的安全风险大大增加,比如研发类人员和运维类人员都有权限操作数据库,但数据查询和更新删除等后台数据库类工作,无法划分界限,导致高校数据安全管理工作难以权责分明。
图:美创数据库审计
为了完善组织的IT内控体系,满足各种合规性要求;同时追责溯源,帮助该高校进行事后追查原因与界定责任。
通过部署美创数据库审计,以全面审计和精确审计为基础,实现对数据库的各类操作行为进行监视并记录,以邮件或者短信的方式及时发出告警信息。并通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计,美创数据库审计完美满足该高校对核心数据库安全监控需求。
