資料安全治理——教育2.0時代的守護
隨著教育資訊化進入2.0時代,資訊保安成為資訊化建設的關鍵領域。
為進一步貫徹落實《×××網路安全法》、《網路產品和服務安全審查辦法》等檔案精神,提高網路產品和服務安全可控水平,防範網路安全風險,中國資訊協會在京發起了“2018安全可控技術應用推進大會”,匯聚企業的力量,從政策、技術、方案、實踐等視角共同探討組織的安全建設。
年度優秀方案和應用實踐推優成果在本次大會公佈,安華金和落地教育部安全建設的《教育部資料安全治理實踐》案例榮獲優秀解決方案獎。
“教育部資料安全治理實踐”案例是安華金和將資料安全治理技術路線落地到部委級專案的一次有益嘗試,也是安華金和將專業的安全產品與服務融入資料安全治理理念,以體系化解決方案賦能組織資料安全建設的成果交付。我們將這個實踐案例做個簡單的回顧:
1、教育部業務種類眾多,資訊化系統涉及數百個應用系統和資料庫做支撐。對存在海量資料資產的教育部來說,如何發現有價值資料,做到全量盤點和梳理,對敏感資料使用情況管理來說尤為重要。
2、當前教育部資訊保安主要的防護已經建立起了相對完善的網路安全層面的防護體系。為了健全安全體系建設,需要進一步建立起深入資料庫層面的資料安全防護體系,把資訊保安防護的重心向資料安全轉移。
安華金和的方案是使用資料安全治理框架來解決組織資料安全問題,通過對資料分級分類、資料使用狀況梳理、訪問控制及定期稽核來實現資料的使用安全。
考慮到教育部資料安全建設規劃緊迫程度、難易程度,資料安全治理計劃分成兩期目標逐步建設,最終實現教育部的資料安全治理目標。第一期目標是完成資料安全治理體系的資料資產摸底、資料使用管控的儲存環節安全。
第一步:資料梳理。針對教育部的資料資產以及敏感資料加以梳理和定位,並從教育部海量資料資產中,梳理資料資產的分佈、發現有價值的資料、敏感資料,理清資料資產使用情況,資料量級、訪問許可權,敏感資料許可權等內容。
在教育部資料安全治理實踐過程中,採用了資料資產梳理產品,通過動靜態結合的梳理方式,幫助教育部摸清自身資產和資料情況,掌握需要重點關注的敏感資料,為實行鍼對性的管控策略打下基礎。同時,安華金和還理清了教育部資料庫的使用者、角色、系統許可權、敏感資料的許可權、應用所訪問物件許可權資訊等。
第二步:資料訪問管控。安華金和基於教育部系統部署、資料量更新、業務系統使用習慣、資料備份流程等情況,完成系統評估,選擇Oracle TDE加密技術,預防因明文儲存引起的資料內部洩密、高許可權使用者資料竊取,保障教育部資料儲存的絕對安全性。而資料訪問、運維、外發、測試等場景下的安全性計劃也會在專案各個規劃階段逐步完成。
Oracle TDE加密技術的優勢在於:①國密演算法;②滿足教育部龐大資料量的加密速度要求;③不會改變現有業務系統操作習慣,應用系統無需改造,即可實現透明加解密;④加密速度不影響系統正常執行,部署加密產品後不影響應用系統日常查詢等。
整個加密過程基於資料塊層面的底層加密實現,突破傳統資料庫安全加固產品的技術瓶頸,真正實現資料高效訪問,適合資料規模大、密文資料存在複雜查詢和統計分析、效能要求高的複雜場景。OLTP場景下教育部教師網的效能損耗低於7%。
教育部資料安全治理過程為教育行業重要資料保護和隱私保護改革提供示範經驗,並帶動了各地教育單位資料安全的建設和發展,為教育2.0時代保駕護航。