构建共享数据中心安全防护体系
2022-04-12王鹏王玉
文/王鹏 王玉
随着高校信息化建设的发展,共享数据中心在保障各业务系统稳定运行的过程中发挥着关键作用。高校通过数据中心建设,较好地解决了以往数字校园建设中的信息孤岛问题,通过全面数据开发与利用,向高校师生提供了更多的数据服务,充分发挥了数据价值。
但是,数据中心带来便利智能的同时也面临新的风险,比如每天数据都会从数据产生部门同步至共享数据中心,再由数据中心将核心业务数据同步至数据使用的业务系统,在这过程中存在数据清洗整合、数据传输过程,一旦数据发生泄露或遭到篡改,将影响到全校信息化系统的正常运转。近年来,企业已经发生了多次数据中心安全故障案例,给企业带来了严重的经济损失,这进一步说明数据的安全性极其重要。
高校数据中心的信息安全现状
国外对数据安全及相关内容的关注较早,出于对公民个人安全隐私的考虑,不少国家都对数据安全进行了立法保护。例如,德国的黑森州在1970年颁布了世界上第一部《数据保护法》,瑞典在1973年颁布《瑞典数据保护法》,欧盟分别于1995年、2016年颁布《数据保护指令》和《通用数据保护条例》,俄罗斯于2006年颁布《个人数据保护法》等。
我国于2018年9月7日,十三届全国人大常委会公布立法规划,《中华人民共和国数据安全法》位于第一类项目,2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行。《中华人民共和国数据安全法》是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益而制定的法律。
由此可见,数据安全已经是当今信息化建设的重中之重,随着高校信息化建设的发展,高校对信息化依赖程度越来越高,信息安全也成为高校建设的重点。
数据中心信息安全隐患
随着信息系统的建设升级,数据中心的数据量在不断增加,大量的数据信息通过数据中心分发至对应的业务系统,其中也包括姓名、联系电话、身份证号等个人敏感信息,无形中增加了数据泄露、篡改的安全风险。数据中心在运维管理过程中面临的安全问题包括以下几点:
1.系统账号及密码管理不严格。业务系统在安装部署时,厂商的工程师往往为了操作方便,设定了较为简单的管理员密码,或是为了系统测试,创建了一些临时的测试用户,但是在产品上线交付后往往不能及时对弱密码和冗余账户进行修改处理,这无疑给后期运行过程埋下了安全隐患。
2.访问权限控制不严谨。由于缺乏对业务系统的定期监管,在实现业务系统与数据中心对接时,开放数据访问接口不能真正按照实际部署情况进行权限下放,不会对接口访问服务进行IP、MAC地址访问控制,当临时业务系统停用后,也未做到权限回收。这种过于粗放的授权管理会使数据中心面临数据泄露、篡改的风险。
3.缺乏运维审计。在进行系统日常运维时,经常会对数据库直接进行一些命令操作,例如更新数据、删除数据表等,在操作过程中难免会发生一些失误,假如进行了误操作,可能很难进行数据恢复。即使通过系统日志进行数据恢复,也存在很多的困难。由于系统日志量大、可读性差、难以定位,运维人员通过系统日志也很难判断事故发生的原因。
4.数据明文存储、传输。为了提高数据的可读性,数据中心的数据往往是直接明文存储,并且在进行数据交换时也是使用明文直接进行传输,此过程就可能产生数据安全风险,发生数据泄露,而数据中心超级管理员账号一旦泄露,将会产生不可估量的数据安全问题,极有可能对用户个人隐私造成威胁。
5.数据共享流程不规范。数据的共享方式包括系统间的数据同步以及日常数据填报工作中的数据文件交换,在数据共享过程中往往存在不规范的操作过程,比如部门之间通过电话或者消息沟通后,没有通过相应的流程审批过程,就完成了数据接口的配置或者数据文件的发送,这个过程就可能产生数据安全风险,发生数据泄露事故。
数据安全防护体系
部署运维规范化
为了避免数据安全事故的发生,在日常的部署、运维中应做到以下几个方面:
1.梳理系统资产。定期更新、维护服务器部署清单,确认服务器相关信息的准确性,清理僵尸系统,对于停用的业务服务关闭网络相关解析,限制数据交互访问权限。
2.加固系统账号。清理系统上线部署过程中产生的测试账户,定期排查清理系统中停用或长期不用的系统用户,设定密码复杂度。系统用户密码、中间件账号密码、数据库用户密码必须满足复杂度要求,排除弱口令安全风险。
3.规范运维过程。应用系统的应用服务端与数据服务端应该分开部署,除了可以提升系统运行的稳定性外,便于设定网络隔离,搭建安全防护设备。配置专用无外网的数据下载终端,独立划分网段,并只允许专用加密移动介质进行数据下载、传输。
4.加强人员管理。加强对外部人员的安全管理,应用系统驻场运维、数据查询、安全检查等,需要对接入网络和相关工作人员严格履行数据保密责任,对实施人员的个人信息留存,并要求通过“堡垒机”进行系统运维,留存系统操作日志。
5.制定应急预案。完善应急预案体系,结合实际,制定应用系统专项应急预案,并按要求演练,提高应急响应速度,健全应用系统应急预案体系。
数据加密传输
对于含有敏感信息的系统,例如包含资产及财务的财务数据库系统,可部署数据库加密系统。对数据库存储的信息进行加密存储,并且通过独立的权限管控系统来实现对敏感数据访问的权限控制,确保其数据的安全性。
对于测试开发环境,需要对开发分析数据(如科研数据)部署数据库静态脱敏产品,提供批量的数据脱敏能力。通过采样、替换等方式生成脱敏后的“准真实”数据,满足从开发数据库导出以供系统开发者使用的需求,防止真实数据泄露。针对运维环境,尤其是正在开发的应用系统,采用数据库动态脱敏产品,提供实时的数据脱敏能力,防止第三方维护人员的高权限访问、误操作及恶意操作,防止隐私数据泄露。
通过数据库加密,实现对重要系统数据按列、按行、按记录方式进行加密,通过数据库脱敏,在数据采集过程中实现对个人信息的脱敏操作,防止未授权访问和非法使用个人信息。
数据库运维审计
为了提高信息安全保障能力和水平,避免因数据库内容泄露或破坏造成重大损失,搭建基于旁路监听的数据库安全审计系统。系统分为数据采集、数据解析、审计分析三阶段。数据采集引擎通过旁路监听的方式接入核心交换机,通过设置端口镜像模式,使采集引擎能够监听到与数据库进行通讯的所有操作,并根据数据库操作协议进行还原和整理,发送到数据解析中心。数据解析中心根据事先设置的数据解析和事件关联规则,通过接收数据采集引擎的数据库操作数据,进行数据库操作的关联解析,将结果发送给数据分析中心。数据分析中心根据数据库管理者对数据库需要监控的内容,设置数据库审计规则,当接收到的解析结果符合管理员设置的审计规则时,数据分析将实时给予报警。
基于旁路监听的数据库安全审计方法,审计过程不需开销数据库服务器性能,同时也不需改变原有的网络拓扑,对网络资源的开销只局限于主交换的端口镜像。可以审计DML和DDL操作的用户、时间、终端标识号、SQL语句等信息,从访问数据库的SQL语句级别和查看数据库的字段级别进行防控,利用数据库的会话标识符的唯一性,使得审计记录可以关联到用户名及用户IP地址。最终,把不同类型的数据库(0RACLE、MSSQL等)的审计集中在一个管理平台,从根源上彻底防止“篡改数据、删除数据、窃取数据”的问题。
数据安全架构
结合上述安全策略以及数据安全产品,搭建基于高校共享数据中心的数据安全防护体系架构,如图1所示。架构实现数据库服务器与业务系统服务器分离,并在数据读取交换过程中进行数据脱敏加密,防止数据泄露。依托数据脱敏系统可以实现生产环境与测试环境的分离,防止在新系统实施测试过程中的数据泄露,通过这种方式确保了用户的核心数据不泄露、不丢失、不篡改。通过旁路监听方式搭建数据库审计系统,不需改变现有网络结构,即可实现对核心数据的安全防护。架设专用无外网服务终端,使用专用加密传输介质进行数据上传、下载,确保数据传输安全。
图1 数据安全防护体系
制定数据共享使用管理办法
梳理数据流向,确定数据产生部门,本着“谁生产,谁负责”的原则,确定数据责任部门,建立数据使用审批流程,严格按照流程规范操作。使用部门应根据职责需要向数据管理部门提出数据使用申请,按照规定的流程,获得数据的使用权,并依法依规使用共享信息,严格遵守数据保密规范,保证数据用途与申请用途一致。应做到未经数据管理部门审批,不得将数据传播给其他单位或个人使用,并定期组织数据安全教育培训,提高本单位人员数据安全意识。
本文通过对高校共享数据中心存在的数据安全隐患进行分析,构建了数据安全防护体系架构,制定数据共享使用相关管理办法,规范数据共享使用流程。该安全体系可以有效避免敏感信息泄露的风险,提高数据安全管理水平,大大降低了出现信息安全事件的概率,保障学校的隐私财产安全,满足审计及监管部门要求。