【
智慧城市網(wǎng) 品牌專欄】近期,南昌公安網(wǎng)安部門工作發(fā)現(xiàn),
某高校存儲(chǔ)教職工信息、學(xué)生信息、繳費(fèi)信息等3000余萬條信息的數(shù)據(jù)庫被黑客非法入侵,其中3萬余條教職工、學(xué)生個(gè)人敏感信息數(shù)據(jù)被非法兜售。
南昌公安網(wǎng)安部門立即開展一案雙查,成功抓獲**3名。
南昌公安網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條的規(guī)定,對(duì)該學(xué)校作出責(zé)令改正、警告并處80萬元人民幣罰款的處罰,對(duì)主要責(zé)任人作出人民幣5萬元罰款的處罰。
#面臨問題·三大困難 #
近年來,高校敏感數(shù)據(jù)泄露事件頻頻發(fā)生,事件的背后折射了高校在數(shù)據(jù)安全上面臨的諸多問題。高校數(shù)據(jù)價(jià)值高、變現(xiàn)快的特點(diǎn)導(dǎo)致其不斷遭受內(nèi)外部不法分子覬覦,而許多學(xué)校的數(shù)據(jù)安全建設(shè)仍面臨三大困難:
1、管理體系不清晰,數(shù)據(jù)安全難落地
高校數(shù)據(jù)安全管理制度缺乏、數(shù)據(jù)安全組織結(jié)構(gòu)不清晰,數(shù)據(jù)安全責(zé)任未能明確到具體部門、人員,導(dǎo)致數(shù)據(jù)安全工作落地缺少組織與制度保障。
2、防控手段不足,數(shù)據(jù)安全攻擊難防護(hù)
目前高校在數(shù)據(jù)安全防護(hù)中,大部分仍依賴原有的網(wǎng)絡(luò)安全設(shè)備,缺少針對(duì)數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)交換、數(shù)據(jù)存儲(chǔ)等環(huán)節(jié)中專用的數(shù)據(jù)安全手段,數(shù)據(jù)安全風(fēng)險(xiǎn)看不清,防不住。
3、數(shù)據(jù)安全意識(shí)薄弱,數(shù)據(jù)外泄風(fēng)險(xiǎn)難控制
高校內(nèi)部可接觸敏感數(shù)據(jù)的人員類型非常復(fù)雜,既有學(xué)校內(nèi)部人員,也有外部的供應(yīng)商人員,對(duì)數(shù)據(jù)安全法律法規(guī)、風(fēng)險(xiǎn)意識(shí)理解參差不一,隨意訪問、私發(fā)敏感數(shù)據(jù),導(dǎo)致數(shù)據(jù)外泄,面臨較大的“人的風(fēng)險(xiǎn)”。
#建設(shè)思路·三位一體 #
在愈發(fā)猖獗的黑客攻擊下,高校的數(shù)據(jù)安全建設(shè)正面臨“內(nèi)憂外患”的復(fù)雜局面,在政策層面,2021年教育部等七部門印發(fā)《關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》,讓數(shù)據(jù)安全建設(shè)有章可循。現(xiàn)如今,如何加強(qiáng)敏感數(shù)據(jù)保護(hù),彌補(bǔ)差距,已成為每個(gè)高校重點(diǎn)關(guān)注的工作。
針對(duì)高校數(shù)據(jù)安全現(xiàn)狀與安全需求,如何加強(qiáng)高校數(shù)據(jù)安全建設(shè),提升防入侵、防泄漏、防濫用、防竊取能力?安恒信息提出了數(shù)據(jù)安全的建設(shè)思路:“管理+技術(shù)+運(yùn)營”三位一體,管理體系為基礎(chǔ),技術(shù)體系為支撐,構(gòu)建常態(tài)化數(shù)據(jù)安全運(yùn)營體系,實(shí)現(xiàn)有人管,有技術(shù),有運(yùn)營的全方位數(shù)據(jù)安全保障。
一、有人管
建設(shè)數(shù)據(jù)安全管理體系
數(shù)據(jù)安全責(zé)任到人
學(xué)校應(yīng)成立專項(xiàng)數(shù)據(jù)安全組織機(jī)構(gòu),健全數(shù)據(jù)安全組織體系,數(shù)據(jù)安全管理責(zé)任制切實(shí)落實(shí)各部門,明確政策、執(zhí)行和監(jiān)督各個(gè)版塊的長期責(zé)任人,以推進(jìn)數(shù)據(jù)安全工作在校內(nèi)跨部門協(xié)同配合,最終確保數(shù)據(jù)安全工作能夠得到長期有效的執(zhí)行。
數(shù)據(jù)安全管理規(guī)章制度示例
二、有技術(shù)
完善數(shù)據(jù)安全技術(shù)體系
為數(shù)據(jù)防護(hù)提供有效支撐
高校數(shù)據(jù)安全實(shí)踐面臨問題多、影響大、落地難等現(xiàn)狀,安恒信息認(rèn)為高校應(yīng)該分階段逐步提升數(shù)據(jù)安全能力:
第一步、分類分級(jí):摸清數(shù)據(jù)資產(chǎn),制定數(shù)據(jù)安全分類分級(jí)邏輯框架,開展數(shù)據(jù)安全分類分級(jí)工作,明確敏感數(shù)據(jù)保護(hù)范圍,為后續(xù)的數(shù)據(jù)管控埋下基礎(chǔ);
第二步、建設(shè)技術(shù)能力:結(jié)合數(shù)據(jù)重要性與所處業(yè)務(wù)場景,制定數(shù)據(jù)安全管控手段,有效控制數(shù)據(jù)安全風(fēng)險(xiǎn)。
數(shù)據(jù)分類分級(jí)是分級(jí)管控的基礎(chǔ)
學(xué)校有多少數(shù)據(jù),數(shù)據(jù)如何分布?什么是重要數(shù)據(jù),重要數(shù)據(jù)如何管控?這些問題都需要通過開展數(shù)據(jù)分類分級(jí)工作,才能夠更清晰的解答。數(shù)據(jù)分類分級(jí)可以幫助學(xué)校看清全校數(shù)據(jù)的概況,是數(shù)據(jù)按重要性分級(jí)管控的基礎(chǔ)。
安恒信息認(rèn)為在數(shù)據(jù)保護(hù)過程中,應(yīng)堅(jiān)持兩個(gè)原則:
重要數(shù)據(jù)安全優(yōu)先
一般數(shù)據(jù)效率優(yōu)先
數(shù)據(jù)分類分級(jí)流程示例
此外,數(shù)據(jù)分類分級(jí)的結(jié)果可以復(fù)用到多個(gè)場景,比如:
在數(shù)據(jù)共享場景下:可以結(jié)合學(xué)校自身對(duì)數(shù)據(jù)安全的需求,對(duì)數(shù)據(jù)制定不同的分級(jí)管控策略,更健康、更安全地進(jìn)行數(shù)據(jù)共享。
在數(shù)據(jù)防控、脫敏等場景下:數(shù)據(jù)分類分級(jí)成果可輸出給數(shù)據(jù)庫安全網(wǎng)關(guān)、數(shù)據(jù)脫敏系統(tǒng)、數(shù)據(jù)安全管控平臺(tái)等數(shù)據(jù)安全設(shè)備,以便于高校更靈活、更高效地制定差異化數(shù)據(jù)管控策略。
數(shù)據(jù)安全建設(shè)需覆蓋全場景、全流程
高校敏感數(shù)據(jù)分散在不同的數(shù)據(jù)庫中,且數(shù)據(jù)隨時(shí)在流轉(zhuǎn)、被調(diào)用。要想保障高校的數(shù)據(jù)安全,需要在統(tǒng)一的數(shù)據(jù)安全建設(shè)目標(biāo)指引下分階段,逐步構(gòu)建覆蓋學(xué)校全場景、全流程的數(shù)據(jù)安全保護(hù)體系。
安恒信息認(rèn)為高校在數(shù)據(jù)安全能力建設(shè)的過程中,需要結(jié)合數(shù)據(jù)安全所處的業(yè)務(wù)場景,評(píng)估該場景下面臨的數(shù)據(jù)安全威脅,在已有的網(wǎng)絡(luò)安全技術(shù)手段下,進(jìn)一步彌補(bǔ)數(shù)據(jù)安全的技術(shù)差距。
依據(jù)多年數(shù)據(jù)安全實(shí)戰(zhàn)經(jīng)驗(yàn),安恒信息總結(jié)了高校在數(shù)據(jù)安全維度上最重要的六個(gè)業(yè)務(wù)場景,黑客在進(jìn)行數(shù)據(jù)竊取時(shí),往往最先盯上的就是它們。因此,建設(shè)數(shù)據(jù)安全防護(hù)體系的核心,是保障這些業(yè)務(wù)場景中的數(shù)據(jù)安全:
高校數(shù)據(jù)安全安全防護(hù)體系建設(shè)架構(gòu)圖
API交換場景:
洞悉信息系統(tǒng)API接口上存在的脆弱性風(fēng)險(xiǎn),如學(xué)工系統(tǒng)學(xué)生姓名接口存在明文傳輸風(fēng)險(xiǎn),為API接口收斂、暴露面整治提供方向。
數(shù)據(jù)庫運(yùn)維場景:
對(duì)數(shù)據(jù)庫運(yùn)維人員權(quán)限進(jìn)行細(xì)粒度控制,并結(jié)合字段級(jí)授權(quán)、動(dòng)態(tài)脫敏等技術(shù),確保運(yùn)維過程符合學(xué)校安全運(yùn)維要求。
數(shù)據(jù)開放場景:
針對(duì)學(xué)校部分環(huán)境需使用真實(shí)敏感數(shù)據(jù)的場景,在不影響業(yè)務(wù)的前提下,對(duì)敏感數(shù)據(jù)匿名化處理,既可支撐業(yè)務(wù)順利開展,同時(shí)避免數(shù)據(jù)過度開放。
數(shù)據(jù)存儲(chǔ)場景:
對(duì)學(xué)生數(shù)據(jù)、教師數(shù)據(jù)、報(bào)名數(shù)據(jù)等敏感數(shù)據(jù)執(zhí)行數(shù)據(jù)加密操作,即使數(shù)據(jù)泄露,黑客也不能讀懂?dāng)?shù)據(jù)含義,防止對(duì)數(shù)據(jù)造成實(shí)質(zhì)性的損害。
數(shù)據(jù)庫防護(hù)場景:
通過技術(shù)手段,對(duì)數(shù)據(jù)庫的SQL注入、數(shù)據(jù)庫漏洞等攻擊進(jìn)行主動(dòng)防御,以防范黑客的惡意攻擊與數(shù)據(jù)竊取行為。
網(wǎng)絡(luò)數(shù)據(jù)防泄漏場景:
將學(xué)籍?dāng)?shù)據(jù)、姓名數(shù)據(jù)、銀行賬號(hào)等重要數(shù)據(jù)作為監(jiān)測對(duì)象,從網(wǎng)絡(luò)流量側(cè)識(shí)別是否存在敏感數(shù)據(jù)泄露行為,并實(shí)現(xiàn)預(yù)警、阻斷。
三、有運(yùn)營
構(gòu)建常態(tài)化數(shù)據(jù)安全運(yùn)營體系
保障風(fēng)險(xiǎn)可視可控
數(shù)據(jù)的動(dòng)態(tài)性要求數(shù)據(jù)安全必須通過持續(xù)運(yùn)營,才能夠從根本上做好安全工作,體現(xiàn)安全效果。
安恒信息認(rèn)為,學(xué)校應(yīng)從全局?jǐn)?shù)據(jù)安全戰(zhàn)略高度,全方位監(jiān)控?cái)?shù)據(jù)中心內(nèi)部所有數(shù)據(jù)資產(chǎn)的采集、處理等全流動(dòng)過程,讓數(shù)據(jù)安全威脅從不可視到可視,從不可知到可知,從不可控到可控,實(shí)現(xiàn)學(xué)校數(shù)據(jù)安全統(tǒng)一運(yùn)營。
常態(tài)化數(shù)據(jù)安全運(yùn)營建設(shè)效果
同時(shí),在數(shù)據(jù)安全運(yùn)營工作中,應(yīng)著重提升運(yùn)營人員的數(shù)據(jù)安全素養(yǎng)與技術(shù)。
學(xué)校信息化管理部門參照學(xué)校已發(fā)布的數(shù)據(jù)安全管理文檔、管理制度等要求,組織相關(guān)人員提升數(shù)據(jù)安全意識(shí)、數(shù)據(jù)安全技術(shù)能力、實(shí)戰(zhàn)演練等維度的專業(yè)素養(yǎng),執(zhí)行學(xué)校數(shù)據(jù)安全相關(guān)要求,增強(qiáng)人員的數(shù)據(jù)安全防范能力,發(fā)揮數(shù)據(jù)安全建設(shè)的最大價(jià)值。
隨著教育數(shù)字化戰(zhàn)略行動(dòng)的開展,高校信息化、智能化與教育教學(xué)將進(jìn)一步融合,數(shù)據(jù)的重要性也將得到質(zhì)的提升,因此構(gòu)建高質(zhì)量的數(shù)據(jù)安全防線不僅是履行數(shù)據(jù)安全保護(hù)義務(wù),更是教育教學(xué)業(yè)務(wù)能否正常開展的關(guān)鍵。
安恒信息深耕數(shù)據(jù)安全領(lǐng)域16載,具備體系化的數(shù)據(jù)安全產(chǎn)品與咨詢服務(wù)能力,能夠更好地為高校數(shù)據(jù)安全建設(shè)提供全場景、全流程的產(chǎn)品、服務(wù)與解決方案。
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
