在数字化转型浪潮中，智慧校园建设逐步成为教育现代化的重要方向。各类业务系统纷纷上线，数据互联互通成为现实，但随之而来的数据安全隐患，也悄然成为校园管理的新挑战。

始建于1978年的浙江经济职业技术学院（以下简称“学院”），前身为浙江省物资学校，隶属于世界500强企业物产中大集团（原浙江省物资局），近年来，学院积极推进“智慧校园”建设，通过构建统一数据平台，成功打通财务、教务、人事等多个业务系统，有效消除“数据孤岛”，实现了学生选课、就业手续、在读证明、图书借阅等业务的线上化、协同化办理。

然而，随着业务系统数量增多、数据交互日趋频繁，学院在数据安全管理方面亦面临全新挑战：

l  敏感数据在哪里？分布不清、含义不明；

l  运维权限如何管？登陆后的操作难以控制；

l  出现问题怎么溯源？日志分散，审计困难。

同时为深入贯彻落实国家关于数据安全的重要指示，并积极响应教育数据安全要求及浙江省“数安之江”专项行动要求，学院选择与昂楷科技合作，共同开展数据安全体系建设，全面夯实校园数据安全基础。

需求分析：明晰问题，精准施策

学院当前面临的核心的数据安全问题主要如下：

1、敏感数据不清晰：学院内部拥有三十余部门，及多种系统（如门户网站、教务系统、学工系统、校园一卡通等），这些系统内部存在大量的业务数据，但是存在数据分布不清晰、数据含义不明确、数据关联关系模糊等问题。

2、访问控制不彻底：尽管学院已部署堡垒机实现对业务人员、运维人员的身份准入认证管理，但仍缺乏对数据库操作层面的精细管控，无法有效限制与监督增、删、查、改等高危操作，存在内部数据滥用或误操作风险。

3、数据审计不全面：数据库自身具有的事务日志功能有限，仅在对数据库进行了修改操作才会记录，且记录不完善。应用日志与数据库日志相互独立，需耗费大量人力进行关联。当出现事故时，溯源效率低、成本高。

昂楷数据安全保障方案：三层防护，全面闭环

1、定标准、理资产，厘清数据分布

通过部署数据资产梳理及分类分级平台，利用平台内置的强大规则引擎，实现数据智能分类分级、梳理敏感数据类型，形成数据资产清单，为后续数据安全防护策略制定提供基础依据。

2、识身份、控行为，确保安全运维

借助数据库综合安全防护系统，代理数据库运维流量，实现对用户身份的精准识别，以及对数据库访问的控制，并结合工单模块，临时性的高危操作须经审批授权，实现数据库运维“进不来、看不见、改不了、赖不掉”。

3、识风险、溯源头，还原数据操作

基于数据中台、门户、教务、学工等系统数据库的镜像流量，审计识别所有对数据库的操作行为，对攻击、风险行为实时预警。结合操作回放功能，还原事故现场，快速分析出风险源头。

方案核心价值

1、智能发现，分级防护更精准

依托分类分级平台的智能发现和自动分类分级功能，实现敏感数据的自动识别，并且系统可根据数据敏感程度、重要程度自动划分安全等级。分类分级结果可通过标准接口与其他系统进行对接，实现数据的分级差异化防护。这样一来，敏感信息得到更有针对性的保护，全面降低学院的数据安全风险。

2、全面审计，风险可视更可控

提供对数据库操作的细粒度审计与合规性管理，实时监测数据库风险行为并及时告警，对攻击行为实现自动阻断，通过总分式可视化界面，直观呈现当前系统的风险情况，真正地实现“精准可视，安全可控”。

浙江经济职业技术学院通过系统化实施昂楷数据安全解决方案，成功构建了从数据分类分级、身份精准识别到风险行为审计的全链路安全防护体系，有效地解决了敏感数据不清、访问控制不足与审计溯源困难等核心问题。该项目不仅显著提升了学院自身数据安全治理水平，为智慧校园的持续健康发展筑牢安全底座，也为教育行业落实国家数据安全法律法规、响应"数安之江"专项行动方面提供了可复制、可推广的先进实践范例。