随着教育信息化进入2.0时代,信息安全成为信息化建设的关键领域。
为进一步贯彻落实《中华人民共和国网络安全法》、《网络产品和服务安全审查办法》等文件精神,提高网络产品和服务安全可控水平,防范网络安全风险,中国信息协会在京发起了“2018安全可控技术应用推进大会”,汇聚企业的力量,从政策、技术、方案、实践等视角共同探讨组织的安全建设。
年度优秀方案和应用实践推优成果在本次大会公布,安华金和落地教育部安全建设的《教育部数据安全治理实践》案例荣获优秀解决方案奖。
“教育部数据安全治理实践”案例是安华金和将数据安全治理技术路线落地到部委级项目的一次有益尝试,也是安华金和将专业的安全产品与服务融入数据安全治理理念,以体系化解决方案赋能组织数据安全建设的成果交付。我们将这个实践案例做个简单的回顾:
1、教育部业务种类众多,信息化系统涉及数百个应用系统和数据库做支撑。对存在海量数据资产的教育部来说,如何发现有价值数据,做到全量盘点和梳理,对敏感数据使用情况管理来说尤为重要。
2、当前教育部信息安全主要的防护已经建立起了相对完善的网络安全层面的防护体系。为了健全安全体系建设,需要进一步建立起深入数据库层面的数据安全防护体系,把信息安全防护的重心向数据安全转移。
安华金和的方案是使用数据安全治理框架来解决组织数据安全问题,通过对数据分级分类、数据使用状况梳理、访问控制及定期稽核来实现数据的使用安全。
考虑到教育部数据安全建设规划紧迫程度、难易程度,数据安全治理计划分成两期目标逐步建设,最终实现教育部的数据安全治理目标。第一期目标是完成数据安全治理体系的数据资产摸底、数据使用管控的存储环节安全。
第一步:数据梳理。针对教育部的数据资产以及敏感数据加以梳理和定位,并从教育部海量数据资产中,梳理数据资产的分布、发现有价值的数据、敏感数据,理清数据资产使用情况,数据量级、访问权限,敏感数据权限等内容。
在教育部数据安全治理实践过程中,采用了数据资产梳理产品,通过动静态结合的梳理方式,帮助教育部摸清自身资产和数据情况,掌握需要重点关注的敏感数据,为实行针对性的管控策略打下基础。同时,安华金和还理清了教育部数据库的用户、角色、系统权限、敏感数据的权限、应用所访问对象权限信息等。
第二步:数据访问管控。安华金和基于教育部系统部署、数据量更新、业务系统使用习惯、数据备份流程等情况,完成系统评估,选择Oracle TDE加密技术,预防因明文存储引起的数据内部泄密、高权限用户数据窃取,保障教育部数据存储的绝对安全性。而数据访问、运维、外发、测试等场景下的安全性计划也会在项目各个规划阶段逐步完成。
Oracle TDE加密技术的优势在于:①国密算法;②满足教育部庞大数据量的加密速度要求;③不会改变现有业务系统操作习惯,应用系统无需改造,即可实现透明加解密;④加密速度不影响系统正常运行,部署加密产品后不影响应用系统日常查询等。
整个加密过程基于数据块层面的底层加密实现,突破传统数据库安全加固产品的技术瓶颈,真正实现数据高效访问,适合数据规模大、密文数据存在复杂查询和统计分析、性能要求高的复杂场景。OLTP场景下教育部教师网的性能损耗低于7%。
教育部数据安全治理过程为教育行业重要数据保护和隐私保护改革提供示范经验,并带动了各地教育单位数据安全的建设和发展,为教育2.0时代保驾护航。
