內部安全管控

案例2 西安電子科技大學

高校操作數據庫人員較為復雜，賬號共享、特權訪問、誤操作等現象普遍存在，這一環(huán)節(jié)如若缺乏有效的管理和監(jiān)控措施，“特洛伊木馬事件”的發(fā)生將造成嚴重后果。

目前，西安電子科技大學全校業(yè)務系統運維管理停留在應用系統層面基于賬號的運維管理，無法深入到數據層將數據資產與人員的關聯關系以及交互過程進行有效的精細化管控，從而保障高校數據安全。

圖：美創(chuàng)數據庫防水壩部署圖

一、基于美創(chuàng)數據庫防水壩敏感數據分級分類功能，以表格或列為單位進行細粒度管理，將西電重要及敏感數據從普通業(yè)務數據中脫離進行獨立管理，從而明確高校數據保護對象，并實施更加安全的保護措施。

二、美創(chuàng)數據庫防水壩系統以身份為中心，通過對運維人員、開發(fā)人員、業(yè)務操作人員進行身份鑒別，基于最小化權限原則，根據不同的數據使用人員授予不同的數據使用權限，進行敏感數據訪問控制。隔離DBA、SYSDBA、SchemaUser、Any等特權，使其只能訪問授權范圍內的敏感表格數據。

三、對DDL、DML、代碼類高危操作，結合細粒度訪問控制和工作流審批進行監(jiān)控，支持數據恢復機制，避免誤操作導致的數據丟失。

四、從數據庫訪問、終端、風險策略、敏感資產等多角度進行監(jiān)控，風險發(fā)生時進行實時告警。

精準全面審計

案例3 某高校

目前，某高校開始加速推進數字化校園的建設，各項服務走向線上。伴隨著數據庫信息價值以及可訪問性的提升，高校數據庫面臨的安全風險大大增加，比如研發(fā)類人員和運維類人員都有權限操作數據庫，但數據查詢和更新刪除等后臺數據庫類工作，無法劃分界限，導致高校數據安全管理工作難以權責分明。

圖：美創(chuàng)數據庫審計

為了完善組織的IT內控體系，滿足各種合規(guī)性要求；同時追責溯源，幫助該高校進行事后追查原因與界定責任。

通過部署美創(chuàng)數據庫審計，以全面審計和精確審計為基礎，實現對數據庫的各類操作行為進行監(jiān)視并記錄，以郵件或者短信的方式及時發(fā)出告警信息。并通過大數據搜索技術提供高效查詢審計報告，定位事件原因，以便日后查詢、分析、過濾，實現對目標數據庫系統的用戶操作的監(jiān)控和審計，美創(chuàng)數據庫審計完美滿足該高校對核心數據庫安全監(jiān)控需求。