武汉云视科技为省大学信息安全体系提供安全建设服务

方案背景

       为健全大学信息安全体系，进一步加强网络和数据安全保护，加快构建学校数据安全保障体系，结合学校的实际应用情况，围绕数据全生命周期建立数据安全防护机制和技术支撑体系，为业务数据采集、传输、使用、交换、存储等提供全生命周期的数据安全防护服务，减少数据安全事件造成的损失。

需求分析

       随着信息技术的高速发展和广泛应用，业务越来越依赖于信息的支撑。在这些业务系统中，存在着包含用户敏感信息的海量的业务数据，如果这些用户敏感数据发生外泄等安全事件，轻则影响业务开展重则将可能影响到学校声誉。

      这些关键的业务数据已逐渐变成了学校的一种资产，不仅自身具有经济价值，还能帮助学校降低成本、获得利润。因此需要像保护其它学校资产一样（如固定资产、财务资产）来保护数据资产。数据资产包含于各个业务板块中，它们通过一些业务流程产生，被另外一些业务流程应用，若缺乏对数据资产全生命周期的有效管控，即重要数据产生缺乏记录、缺乏明确的责任人、随意存放、不加控制的访问、不加控制的传输，那么不仅不能有效地发挥数据的作用，而且还会因为这种混乱无法知晓是否保护的对象在哪里，无法知晓是否关键的数据已经外泄。

       随着网络对社会生活方方面面的渗透和融入，网络数据安全已成为上至国家安全和发展，下至每个公民切身利益的重大问题。2021年9月1日起实施的《数据安全法》以法律条款的形式对数据安全保护要求进行了固化，明确了网络运营者应采取技术措施和其他必要措施维护数据的完整性、保密性和可用性。

       为进一步加强数据安全管控能力，提升数据安全管控视野，切实履行数据安全工作落实的监督职责，实施数据安全智能管控技术支撑服务，对数据资产实现全面识别和监控、对各域系统数据安全风险态势进行实时动态评估、为合规性评测提供检查和整改的流程通道，形成科学实用的“体系化安全防护能力、规范化安全管理能力、综合化安全运营能力”，确保数据安全全程可知、可控、可管、可查，变静态为动态，变被动为主动，为数据消费、数据挖掘和决策支持提供有力支持，为学校数字化转型建设提供严密数据安全保障。

技术方案

      以数据为中心的安全防护体系以数据安全治理框架为纲领、以数据资产发现为基础、以数据安全风险管控为核心，通过数据安全治理过程，可以帮助学校解决数据安全顶层设计及管理体系建设的问题。其过程的结果，如：组织架构、管理规范、数据风险分析、数据安全策略模型等，可以作为数据安全保护建设的主要依据。

1、通过数据发现与评估系统，结合人工服务，对数据进行分级分类，从而进行策略定制；

2、部署数据安全智能分析平台，采集敏感信息数据使用情况、违规访问和泄漏分析的日志记录等数据，同时分级分类进行统一呈现；

3、部署数据防泄漏系统，通过分析网络流量识别敏感数据（包括图片中的文字）并进行阻断；

4、部署数据脱敏系统，对运维人员、开发测试人员访问数据的状态和变化进行记录、保护和审计；

5、部署数据库审计与风险控制系统，实时记录数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警；

6、部署数据库防护系统对用户、操作和对象进行访问控制的限定；

7、通过数据安全运营服务，定期监测和分析数据防泄漏、数据库审计等检测防护设备的告警和日志，及时发现数据安全威胁事件，以及应急响应与处置；

应用效果

智能数据安全分析平台

       数据安全运营平台通过与数据安全产品对接，提供数据安全整体防护运营能力。

敏感数据发现及风险评估系统

       对数据资产进行安全评估，发现大数据组件漏洞和配置不合规项，帮助客户发现安全问题并给出整改建议。

数据泄漏防护系统

       支持对终端、文件服务、数据库等数据存储环境进行智能数据资产识别。提供基于关键字、正则表达式、文档指纹、向量机等多种数据识别能力，一键检查敏感数据违规存储，管理违规存储行为。

数据库脱敏系统

       在不改变原始数据的情况下，在访问者访问敏感数据时，实时对每次访问的数据进行脱敏，防止敏感数据泄露。用于对脱敏后的数据进行风险评估，并分别给出在记者、检察官、营销者的攻击下重新识别到用户的风险。

数据库审计与风险控制系统

       通过对数据库操作以及主机远程操作全方位的审计解决了学校目前面临的数据库安全隐患

数据防护系统

       系统采用直观的风险展示方式，对数据库层面风险通过丰富的图表、曲线、安全指数进行展示，整体的数据库安全风险状况简单易懂。

数据分级分类服务

       根据数据的不同类别与级别，可对不同级别的数据采取不同级别的控制措施，保证高级别数据安全可控，降低低级别数据管控成本。

数据安全运营服务

       通过平台持续监测数据安全事件，输出分析报告，提供处置建议，跟进事件闭环。

社会效益

       通过持续性对业务保障，减少或避免数据安全泄露事件，持续支撑多场景的业务应用，增加组织服务能力，增强社会认可度。

经济效益

       数据已成为驱动业务、经济发展的核心要素，数据作为驱动业务进步的“发动机”，保障其安全是组织应重点关注的。数据安全以数据为核心，通过对业务或场景梳理，建设动态的、可持续性的数据安全体系，保障业务相对安全稳定运行，减少因数据破坏造成的经济损害。

案例亮点和创新点

1.满足合规要求

       现如今，国家对数据安全已经出台了多项法规，通过本方案的实施，可以对法规中提到的鉴别信息数据、重要个人信息、重要业务数据做到针对性的监控与保护，使学校在发现数据风险前及时做出响应，避免因数据丢失造成的危害与损失。

2.权限划定清晰

       责权不清一直都是最根本的问题，通过本方案的实施，将数据合理的进行级别划分，再结合管理与业务的需要对数据的访问、使用，进行清晰的权限管控，做到权责分离，事后还可以通过审计结果明确事故责任方，避免了责任不清出现的推诿扯皮。

3.数据生命周期全面掌控

       掌握数据的全生命周期是对数据风险的提前预知，利用本方案对数据的生命周期中各个环节做监控，掌握数据的动态，了解数据的流向，提前对可能发生的数据泄露风险进行预警，保障数据在安全的可控范围内流转、使用与存储。

4.降低个人信息泄露风险

       通过对个人信息的扫描与跟踪，利用内容识别、UEBA、机器学习等技术，及时发现个人信息所承载的系统、业务、网络、终端中的安全威胁，提前做好防范措施，让泄密风险看得见、使个人信息泄漏防得住。

5.提高个人信息使用者安全意识

       数据安全解决方案的应用，让数据使用者了解数据的重要程度，规范数据使用者的操作行为，从潜意识里指导与帮助人们正确使用资源，合理利用资源，保护数据的安全。

编发：龚梦琪

审核：王彬