数据安全治理——教育2.0时代的守护

随着教育信息化进入2.0时代，信息安全已经成为信息化建设的一个关键领域。

为了进一步贯彻《中华人民共和国网络安全法》和《网络产品和服务安全审查办法》的精神，提高网络产品和服务的安全性和可控性，防范网络安全风险，中国信息协会在北京召开了2018年安全可控技术应用推广会议，汇聚企业力量，从政策、技术、项目和实践的角度共同讨论组织的安全建设。

年度优秀项目和应用实践推广的结果在这次会议上公布，安化津和教育部的安全建设数据安全治理实践获得了优秀解决方案奖。

“教育部数据安全治理实践”案例是Anhajin和部级项目的有益尝试，旨在将数据安全治理的技术路线付诸实践，以及将Anhajin和专业安全产品与服务整合到数据安全治理的概念中，从而能够交付使用系统解决方案组织数据安全建设的成果。我们将对此实践案例进行简单回顾:

1 .教育部有多种业务，信息系统涉及数百个应用系统和数据库。对于拥有大量数据资产的教育部来说，如何找到有价值的数据并进行全面清点和分类对于管理敏感数据的使用尤为重要。

2 .目前，教育部对信息安全的主要保护已经建立了相对完整的网络安全保护体系。为了改进安全系统建设，有必要进一步建立数据库级的数据安全保护系统，并将信息安全保护的重点转移到数据安全上。

安瓦尔的计划是利用数据安全治理框架来解决组织数据安全问题，并通过数据分类、数据使用分类、访问控制和定期审计来实现数据安全。

考虑到教育部数据安全建设计划的紧迫性和难度，数据安全治理计划分为两个阶段，并逐步建设，最终实现教育部的数据安全治理目标。第一阶段旨在完成数据安全治理系统的数据资产映射和数据使用控制的存储链路安全。

第一步是整理数据。根据教育部的数据资产和敏感数据，数据资产的分布、有价值数据和敏感数据的发现、数据资产的使用、数据大小、访问权限和敏感数据权限都是从教育部的海量数据资产中分类出来的。

在教育部的数据安全管理实践过程中，采用了数据资产分类产品。通过动态和静态分类的结合，教育部被帮助发现了自己的资产和数据，掌握了需要关注的敏感数据，并为实施有针对性的控制战略奠定了基础。同时，安化金还澄清了教育部数据库应用程序访问的对象的用户、角色、系统权限、敏感数据权限和访问信息。

第二步：数据访问管控。安华金和基于教育部系统部署、数据量更新、业务系统使用习惯、数据备份流程等情况，完成系统评估，选择Oracle TDE加密技术，预防因明文存储引起的数据内部泄密、高权限用户数据窃取，保障教育部数据存储的绝对安全性。而数据访问、运维、外发、测试等场景下的安全性计划也会在项目各个规划阶段逐步完成。

Oracle TDE加密技术的优势在于：国密算法；满足教育部庞大数据量的加密速度要求；不会改变现有业务系统操作习惯，应用系统无需改造，即可实现透明加解密；加密速度不影响系统正常运行，部署加密产品后不影响应用系统日常查询等。

整个加密过程基于块级底层加密的实现，突破了传统数据库安全加固产品的技术瓶颈，真正实现了高效的数据访问，适用于数据规模大、密文数据查询和统计分析复杂、性能要求高的复杂场景。OLTP方案下教育部教师网络的性能损失不到7 %。

教育部的数据安全治理流程为教育行业的重要数据保护和隐私保护改革提供了示范经验，并促进了世界各地教育机构数据安全的建设和发展，保护了教育2.0时代。