內(nèi)部安全管控

案例2 西安電子科技大學

高校操作數(shù)據(jù)庫人員較為復雜，賬號共享、特權訪問、誤操作等現(xiàn)象普遍存在，這一環(huán)節(jié)如若缺乏有效的管理和監(jiān)控措施，“特洛伊木馬事件”的發(fā)生將造成嚴重后果。

目前，西安電子科技大學全校業(yè)務系統(tǒng)運維管理停留在應用系統(tǒng)層面基于賬號的運維管理，無法深入到數(shù)據(jù)層將數(shù)據(jù)資產(chǎn)與人員的關聯(lián)關系以及交互過程進行有效的精細化管控，從而保障高校數(shù)據(jù)安全。

圖：美創(chuàng)數(shù)據(jù)庫防水壩部署圖

一、基于美創(chuàng)數(shù)據(jù)庫防水壩敏感數(shù)據(jù)分級分類功能，以表格或列為單位進行細粒度管理，將西電重要及敏感數(shù)據(jù)從普通業(yè)務數(shù)據(jù)中脫離進行獨立管理，從而明確高校數(shù)據(jù)保護對象，并實施更加安全的保護措施。

二、美創(chuàng)數(shù)據(jù)庫防水壩系統(tǒng)以身份為中心，通過對運維人員、開發(fā)人員、業(yè)務操作人員進行身份鑒別，基于最小化權限原則，根據(jù)不同的數(shù)據(jù)使用人員授予不同的數(shù)據(jù)使用權限，進行敏感數(shù)據(jù)訪問控制。隔離DBA、SYSDBA、SchemaUser、Any等特權，使其只能訪問授權范圍內(nèi)的敏感表格數(shù)據(jù)。

三、對DDL、DML、代碼類高危操作，結合細粒度訪問控制和工作流審批進行監(jiān)控，支持數(shù)據(jù)恢復機制，避免誤操作導致的數(shù)據(jù)丟失。

四、從數(shù)據(jù)庫訪問、終端、風險策略、敏感資產(chǎn)等多角度進行監(jiān)控，風險發(fā)生時進行實時告警。

精準全面審計

案例3 某高校

目前，某高校開始加速推進數(shù)字化校園的建設，各項服務走向線上。伴隨著數(shù)據(jù)庫信息價值以及可訪問性的提升，高校數(shù)據(jù)庫面臨的安全風險大大增加，比如研發(fā)類人員和運維類人員都有權限操作數(shù)據(jù)庫，但數(shù)據(jù)查詢和更新刪除等后臺數(shù)據(jù)庫類工作，無法劃分界限，導致高校數(shù)據(jù)安全管理工作難以權責分明。

圖：美創(chuàng)數(shù)據(jù)庫審計

為了完善組織的IT內(nèi)控體系，滿足各種合規(guī)性要求；同時追責溯源，幫助該高校進行事后追查原因與界定責任。

通過部署美創(chuàng)數(shù)據(jù)庫審計，以全面審計和精確審計為基礎，實現(xiàn)對數(shù)據(jù)庫的各類操作行為進行監(jiān)視并記錄，以郵件或者短信的方式及時發(fā)出告警信息。并通過大數(shù)據(jù)搜索技術提供高效查詢審計報告，定位事件原因，以便日后查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計，美創(chuàng)數(shù)據(jù)庫審計完美滿足該高校對核心數(shù)據(jù)庫安全監(jiān)控需求。