东南大学:许可有限的机器访问数据库
在数据库安全策略中,东南大学主要采取了以下手段:
1.RAC集群。数据库采用OracleRAC双机机制,确保数据库高可用性、高性能,保障数据不丢失;2.防火墙访问控制。利用防火墙的网段隔离功能,设置DMZ区。使用入侵监测系统对数据中心内的所有数据流动进行实时检测。通过iptables过滤功能,许可有限的机器访问数据库。另外通过堡垒机严格控制对数据中心各类服务器的访问权限;3.数据库审计。对数据库日常运行日志进行审计;4.数据备份机制。数据每天进行增量备份,每周进行一次全量备份。
(供稿:王健)
华东师范大学:实施数据库安全基线配置
2016年,华东师范大学在落实信息安全等级保护制度建设过程中,建立了一批符合学校信息化安全工作的安全基线配置文件,安全基线配置的基本目的是满足等级保护的制度基本要求,同时符合学校现阶段的信息化建设需求,在众多安全基线配置中,有一项基线配置就是数据库安全基线配置,它规定学校在各类信息化建设过程中,对各类数据库必须满足此项安全基线配置才允许上线部署。
同时,做了数据加密存储。华东师范大学对新建信息系统建立了上线前强制安全检查工作,无论哪一类系统,在开通外网服务之前必须经过安全检测,安全检测工作有一项要求就是重要数据必须进行加密存储,加密算法需要满足国家密码管理规定。
(供稿:朱圣才)
北京理工大学:对个别系统进行数据库加密
2017年开始,北京理工大学正式开始进行数据库安全的建设。经过调研,学校决定对所有定级为等保的系统实施数据库审计,并对个别系统实施数据库加密。在厂家选择方面,学校倾向于购买原厂家的产品,购买功能强、性价比高的产品。在对数据库厂家进行摸底、交流之后,对比测试了几家公司的产品。从测试结果来看,数据库审计产品的表现各有特色,但是在规则自动学习、入库能力、检索性能等学校关注的核心问题方面,不同厂家的产品差距较为明显。而数据库加密产品的选择余地较小,而且学校又尤其关注字符型字段加密后的模糊查询效率问题,好在找到了具有核心专利技术、密文索引性能高、性价比高的产品。未来,在数据库安全方面,将考虑数据库审计、数据库防火墙、数据库加密产品以及数据库脱敏产品,对不同系统,采用不同的产品组合。
(供稿:杨德全 戴林)