文/張金山

“縱深防護(hù)”打造高校數(shù)據(jù)安全

文/張金山

根據(jù)高校數(shù)據(jù)的安全現(xiàn)狀，主要面臨如下幾個(gè)方面的安全需求。

高校數(shù)據(jù)庫(kù)安全需求分析

漏洞掃描預(yù)警

高校業(yè)務(wù)系統(tǒng)使用的數(shù)據(jù)庫(kù)大部分為主流數(shù)據(jù)庫(kù)，而這些數(shù)據(jù)庫(kù)系統(tǒng)配置比較復(fù)雜，要進(jìn)行安全的維護(hù)需要具備豐富的經(jīng)驗(yàn)，隨著主流數(shù)據(jù)庫(kù)的功能不斷擴(kuò)充，出現(xiàn)的漏洞更加復(fù)雜、種類更加繁多，但學(xué)校信網(wǎng)中心人力有限。

針對(duì)這樣的情況，需要自動(dòng)化對(duì)數(shù)據(jù)庫(kù)進(jìn)行綜合安全風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)庫(kù)中存在的缺省配置、弱口令、高危程序、漏洞情況進(jìn)行掃描，并提供有價(jià)值的修復(fù)建議，為高校數(shù)據(jù)庫(kù)系統(tǒng)提供有價(jià)值的檢測(cè)報(bào)告，為高校數(shù)據(jù)庫(kù)的安全基線提升提供依據(jù)。

攻擊行為防護(hù)

保障高校業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)僅接受可信人員和應(yīng)用發(fā)起的訪問(wèn)請(qǐng)求，針對(duì)黑客利用Web應(yīng)用漏洞，進(jìn)行SQL注入；或以Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫(kù)自身漏洞的攻擊和侵入行為進(jìn)行識(shí)別，通過(guò)攔截SQL注入、漏洞攻擊，保障攻擊行為無(wú)法發(fā)送到數(shù)據(jù)庫(kù)上。

對(duì)于黑客通過(guò)入侵應(yīng)用系統(tǒng)執(zhí)行批量下載敏感數(shù)據(jù)的行為，可以限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問(wèn)的用戶、地點(diǎn)和時(shí)間，從而杜絕黑客人員的刷庫(kù)行為，建立高校業(yè)務(wù)數(shù)據(jù)庫(kù)的主動(dòng)防御機(jī)制。

訪問(wèn)身份識(shí)別

隨著高校業(yè)務(wù)系統(tǒng)規(guī)模的迅速擴(kuò)大，內(nèi)部的人員身份也復(fù)雜多樣，有在校的學(xué)生、信息中心的老師、科研系統(tǒng)的研究員、第三方業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)人員等，這些人員都擁有不同的工作和職能，所以隨著高校信息化建設(shè)的完善，對(duì)業(yè)務(wù)數(shù)據(jù)庫(kù)訪問(wèn)流程的標(biāo)準(zhǔn)化、設(shè)備資源管控規(guī)范化、應(yīng)急事件響應(yīng)高效化都提出了新的挑戰(zhàn)。而傳統(tǒng)的數(shù)據(jù)庫(kù)管理方式存在著管理流程不嚴(yán)、技術(shù)手段缺失、人員素質(zhì)參差的問(wèn)題，需要梳理出一套有效的身份識(shí)別機(jī)制來(lái)加以完善，這樣可以提升高校的工作效率，快速協(xié)調(diào)資源，規(guī)范管理流程。

運(yùn)維操作管控

鑒于高校操作數(shù)據(jù)庫(kù)人員的復(fù)雜性，高校傳統(tǒng)的信息安全建設(shè)，往往側(cè)重于規(guī)范網(wǎng)絡(luò)層應(yīng)用用戶、限制VPN特權(quán)用戶、阻止外部黑客攻擊，聚焦于網(wǎng)絡(luò)邊界的訪問(wèn)控制，但對(duì)內(nèi)部人員卻缺乏有效的管控。

重要數(shù)據(jù)加密

近年，高校數(shù)據(jù)安全事件頻頻發(fā)生，高校教務(wù)系統(tǒng)中存儲(chǔ)著大量的學(xué)生信息、教職員工信息以及考試信息，這些信息如果泄露將造成高校名譽(yù)的損失。

校園一卡通類型系統(tǒng)中存儲(chǔ)著資金以及支付信息，如果這類信息被竊取或篡改，高校將直接面臨經(jīng)濟(jì)損失。

高校中科研系統(tǒng)往往承接的是重大科研項(xiàng)目，甚至國(guó)家戰(zhàn)略技術(shù)的研究，并且這類信息存儲(chǔ)在涉密系統(tǒng)中，如果不對(duì)此類信息進(jìn)行安全的加密，當(dāng)產(chǎn)生了泄露事件時(shí)，會(huì)影響到社會(huì)、生活秩序。

所以針對(duì)個(gè)人隱私信息、支付信息以及科研信息的加密顯得尤為重要。

操作行為審計(jì)

如果缺乏操作行為記錄和分析，對(duì)于數(shù)據(jù)庫(kù)的訪問(wèn)者無(wú)法有效分析數(shù)據(jù)來(lái)源，做到快速定位；對(duì)關(guān)鍵數(shù)據(jù)的訪問(wèn)無(wú)記錄，如果出現(xiàn)安全事故無(wú)法溯源追蹤；對(duì)于黑客攻擊，無(wú)法做到攻擊留痕；對(duì)運(yùn)維人員進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)的誤操作、越權(quán)操作行為，無(wú)法進(jìn)行及時(shí)的預(yù)警；一旦數(shù)據(jù)庫(kù)日志被清除，就沒(méi)有數(shù)據(jù)庫(kù)的完整審計(jì)記錄，針對(duì)于事故的整體過(guò)程，無(wú)法做到有效的定位，滿足不了相關(guān)審計(jì)方面的政策要求。所以針對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)操作進(jìn)行記錄、分析、預(yù)警是數(shù)據(jù)庫(kù)安全的必需工作。

數(shù)據(jù)庫(kù)安全總則

防范外部?jī)?nèi)部攻擊，避免由于攻擊導(dǎo)致數(shù)據(jù)破壞，從而影響業(yè)務(wù)運(yùn)行以及信息泄露，保證行政、教務(wù)、考務(wù)等關(guān)鍵業(yè)務(wù)的安全運(yùn)行，要從兩方面考慮：

一方面，數(shù)據(jù)安全問(wèn)題不單是一個(gè)技術(shù)問(wèn)題，而是由人、技術(shù)系統(tǒng)和組織內(nèi)部環(huán)境等綜合因素產(chǎn)生的問(wèn)題，要靠有效的數(shù)據(jù)安全管理才能彌補(bǔ)單純技術(shù)手段的不足。

另一方面，數(shù)據(jù)安全包含內(nèi)容廣泛，數(shù)據(jù)安全需要整體防護(hù)。如果還以各自獨(dú)立的視角去看待信息技術(shù)安全工作，就會(huì)出現(xiàn)盲人摸象、只見(jiàn)樹(shù)木不見(jiàn)森林的情況。因此，要把高校數(shù)據(jù)安全管理當(dāng)作一個(gè)整體進(jìn)行研究和實(shí)踐，數(shù)據(jù)安全管理體系就是從整體上看待高校數(shù)據(jù)安全工作。

那么，高校的數(shù)據(jù)庫(kù)安全方案應(yīng)當(dāng)遵循如下原則：

全局性原則：安全威脅來(lái)自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。

綜合性原則：安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國(guó)發(fā)生的數(shù)據(jù)安全問(wèn)題中，管理問(wèn)題占相當(dāng)大的比例，因此建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。

均衡性原則：安全措施的實(shí)施必須以相應(yīng)的數(shù)據(jù)安全級(jí)別考慮。數(shù)據(jù)中相同安全級(jí)別的保密強(qiáng)度要一致。

節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能地不改變?cè)瓉?lái)網(wǎng)絡(luò)的設(shè)備和環(huán)境，以避免資源的浪費(fèi)和重復(fù)投資。

縱深防護(hù)思路

根據(jù)高校數(shù)據(jù)的安全現(xiàn)狀，對(duì)數(shù)據(jù)庫(kù)的安全建立防護(hù)機(jī)制，要根據(jù)數(shù)據(jù)庫(kù)使用的“事前、事中、事后”三個(gè)層面，建立“檢查預(yù)警、主動(dòng)防御、底線防守、事后追查”的縱深防護(hù)思路，以解決數(shù)據(jù)庫(kù)安全面臨的復(fù)雜的問(wèn)題。

檢查預(yù)警

查漏補(bǔ)缺，提升數(shù)據(jù)庫(kù)自我免疫能力。

圖1 縱深防護(hù)思路

自動(dòng)化對(duì)高校業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行綜合安全風(fēng)險(xiǎn)評(píng)估，并提供有價(jià)值的修復(fù)建議，為高校數(shù)據(jù)庫(kù)系統(tǒng)的安全基線提升提供整體有效的參考。

主動(dòng)防御

提升數(shù)據(jù)庫(kù)防黑客、防高危操作、防內(nèi)部人員泄密的能力。

首先，細(xì)粒度訪問(wèn)控制。保障高校業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)僅接受可信人員和應(yīng)用發(fā)起的訪問(wèn)請(qǐng)求，從根源上徹底杜絕第三方人員、內(nèi)部運(yùn)維人員的非授權(quán)行為，減小了被攻擊面；并通過(guò)SQL攻擊防護(hù)、虛擬補(bǔ)丁等功能，即使數(shù)據(jù)庫(kù)沒(méi)有打“補(bǔ)丁”，數(shù)據(jù)庫(kù)防火墻也能防范針對(duì)數(shù)據(jù)庫(kù)的SQL注入和漏洞攻擊行為，主動(dòng)防御安全威脅。

其次，規(guī)范化運(yùn)維管控。改善高校傳統(tǒng)管理模式，對(duì)數(shù)據(jù)庫(kù)運(yùn)維行為進(jìn)行審批管控，拒絕一切異常運(yùn)維行為通過(guò)，在指定的時(shí)間、對(duì)象、操作方后進(jìn)行審批。所有運(yùn)維操作需要建立規(guī)范的運(yùn)維流程，包括事前審批，事中控制，事后記錄操作信息，可以實(shí)現(xiàn)全運(yùn)維流程的管理，實(shí)現(xiàn)高校運(yùn)維規(guī)范性。

底線防守

敏感數(shù)據(jù)加密，提升數(shù)據(jù)“底線”防守能力，即使拿走磁盤，也無(wú)法看到數(shù)據(jù)。

將存儲(chǔ)在數(shù)據(jù)庫(kù)中的教務(wù)信息、學(xué)籍信息、一卡通消費(fèi)信息等加密存儲(chǔ)，防止此類敏感信息被解析為明文從而造成泄密安全事件。對(duì)于此類風(fēng)險(xiǎn)，需要建立獨(dú)立于數(shù)據(jù)庫(kù)的權(quán)控體系，引入安全管理員、審計(jì)管理員實(shí)現(xiàn)三權(quán)分立的安全管理手段，防止第三方外包人員和程序開(kāi)發(fā)人員越權(quán)訪問(wèn)敏感信息，結(jié)合動(dòng)態(tài)口令和SQL級(jí)API與應(yīng)用系統(tǒng)進(jìn)行綁定，解決繞過(guò)應(yīng)用程序非法訪問(wèn)數(shù)據(jù)庫(kù)的問(wèn)題；并且在存儲(chǔ)層進(jìn)行安全加密，保證即便拿走硬盤，沒(méi)有授權(quán)及密鑰無(wú)法查看真實(shí)數(shù)據(jù)。

事后追查

建立數(shù)據(jù)庫(kù)訪問(wèn)的“攝像頭”，提升數(shù)據(jù)庫(kù)安全監(jiān)控能力。

對(duì)數(shù)據(jù)庫(kù)協(xié)議進(jìn)行精確識(shí)別，記錄和回放針對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的攻擊行為、篡改行為、泄密行為、誤操作等行為，為事后追溯定責(zé)提供準(zhǔn)確依據(jù)，同時(shí)對(duì)上述行為提供郵件、短信、聲音等多種報(bào)警方式。

當(dāng)前，信息安全已成為高校信息化建設(shè)的重中之重，為了營(yíng)造一個(gè)安全和諧的校園網(wǎng)環(huán)境，賽爾網(wǎng)絡(luò)聯(lián)合包括安華金和在內(nèi)的國(guó)內(nèi)優(yōu)秀安全廠商，為高校用戶提供一流的網(wǎng)絡(luò)安全服務(wù)，涵蓋事前、事中和事后的全程需求。