高校數(shù)據(jù)庫(kù)安全策略

東南大學(xué)：許可有限的機(jī)器訪問數(shù)據(jù)庫(kù)

在數(shù)據(jù)庫(kù)安全策略中，東南大學(xué)主要采取了以下手段：

1.RAC集群。數(shù)據(jù)庫(kù)采用 Oracle RAC 雙機(jī)機(jī)制，確保數(shù)據(jù)庫(kù)高可用性、高性能，保障數(shù)據(jù)不丟失；2.防火墻訪問控制。利用防火墻的網(wǎng)段隔離功能，設(shè)置DMZ區(qū)。使用入侵監(jiān)測(cè)系統(tǒng)對(duì)數(shù)據(jù)中心內(nèi)的所有數(shù)據(jù)流動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。通過iptables過濾功能，許可有限的機(jī)器訪問數(shù)據(jù)庫(kù)。另外通過堡壘機(jī)嚴(yán)格控制對(duì)數(shù)據(jù)中心各類服務(wù)器的訪問權(quán)限；3.數(shù)據(jù)庫(kù)審計(jì)。對(duì)數(shù)據(jù)庫(kù)日常運(yùn)行日志進(jìn)行審計(jì)；4.數(shù)據(jù)備份機(jī)制。數(shù)據(jù)每天進(jìn)行增量備份，每周進(jìn)行一次全量備份。

（供稿：王?。?/p>

華東師范大學(xué)：實(shí)施數(shù)據(jù)庫(kù)安全基線配置

2016年，華東師范大學(xué)在落實(shí)信息安全等級(jí)保護(hù)制度建設(shè)過程中，建立了一批符合學(xué)校信息化安全工作的安全基線配置文件，安全基線配置的基本目的是滿足等級(jí)保護(hù)的制度基本要求，同時(shí)符合學(xué)校現(xiàn)階段的信息化建設(shè)需求，在眾多安全基線配置中，有一項(xiàng)基線配置就是數(shù)據(jù)庫(kù)安全基線配置，它規(guī)定學(xué)校在各類信息化建設(shè)過程中，對(duì)各類數(shù)據(jù)庫(kù)必須滿足此項(xiàng)安全基線配置才允許上線部署。

同時(shí)，做了數(shù)據(jù)加密存儲(chǔ)。華東師范大學(xué)對(duì)新建信息系統(tǒng)建立了上線前強(qiáng)制安全檢查工作，無論哪一類系統(tǒng)，在開通外網(wǎng)服務(wù)之前必須經(jīng)過安全檢測(cè)，安全檢測(cè)工作有一項(xiàng)要求就是重要數(shù)據(jù)必須進(jìn)行加密存儲(chǔ)，加密算法需要滿足國(guó)家密碼管理規(guī)定。

（供稿：朱圣才）

北京理工大學(xué)：對(duì)個(gè)別系統(tǒng)進(jìn)行數(shù)據(jù)庫(kù)加密

2017年開始，北京理工大學(xué)正式開始進(jìn)行數(shù)據(jù)庫(kù)安全的建設(shè)。經(jīng)過調(diào)研，學(xué)校決定對(duì)所有定級(jí)為等保的系統(tǒng)實(shí)施數(shù)據(jù)庫(kù)審計(jì)，并對(duì)個(gè)別系統(tǒng)實(shí)施數(shù)據(jù)庫(kù)加密。在廠家選擇方面，學(xué)校傾向于購(gòu)買原廠家的產(chǎn)品，購(gòu)買功能強(qiáng)、性價(jià)比高的產(chǎn)品。在對(duì)數(shù)據(jù)庫(kù)廠家進(jìn)行摸底、交流之后，對(duì)比測(cè)試了幾家公司的產(chǎn)品。從測(cè)試結(jié)果來看，數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的表現(xiàn)各有特色，但是在規(guī)則自動(dòng)學(xué)習(xí)、入庫(kù)能力、檢索性能等學(xué)校關(guān)注的核心問題方面，不同廠家的產(chǎn)品差距較為明顯。而數(shù)據(jù)庫(kù)加密產(chǎn)品的選擇余地較小，而且學(xué)校又尤其關(guān)注字符型字段加密后的模糊查詢效率問題，好在找到了具有核心專利技術(shù)、密文索引性能高、性價(jià)比高的產(chǎn)品。未來，在數(shù)據(jù)庫(kù)安全方面，將考慮數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)加密產(chǎn)品以及數(shù)據(jù)庫(kù)脫敏產(chǎn)品，對(duì)不同系統(tǒng)，采用不同的產(chǎn)品組合。

（供稿：楊德全 戴林）