今年3月,教育部發(fā)布《關(guān)于加強(qiáng)新時(shí)代教育管理信息化工作的通知》,教育數(shù)據(jù)價(jià)值與日俱增,而數(shù)據(jù)安全威脅與挑戰(zhàn)也日趨嚴(yán)重。今年6月10日,《數(shù)據(jù)安全法》表決通過,很好地填補(bǔ)了國(guó)內(nèi)數(shù)據(jù)安全根本法律的空白,國(guó)家和行業(yè)監(jiān)管層面對(duì)數(shù)據(jù)安全的保護(hù)要求愈發(fā)嚴(yán)格。美創(chuàng)科技針對(duì)高校數(shù)據(jù)安全尚存的諸多風(fēng)險(xiǎn)與日趨嚴(yán)格的合規(guī)要求,“三力五步”助力高校數(shù)據(jù)安全建設(shè)。
一、高校亟待提升數(shù)據(jù)安全防護(hù)力
我國(guó)高校信息化建設(shè)已歷經(jīng)40余年發(fā)展,但一直以來(lái),數(shù)據(jù)安全在高校傳統(tǒng)認(rèn)識(shí)中,仍是網(wǎng)絡(luò)信息安全的組成部分,絕大部分學(xué)校對(duì)數(shù)據(jù)安全工作缺乏重點(diǎn)關(guān)注,加之信息系統(tǒng)在建設(shè)初期缺少頂層的標(biāo)準(zhǔn)規(guī)范以及在數(shù)據(jù)安全方面考慮不足,導(dǎo)致當(dāng)前高校數(shù)據(jù)安全能力普遍不高。
無(wú)論是2016年徐玉玉案、2018年常州大學(xué)懷德學(xué)院大規(guī)模學(xué)生信息泄露案,還是2020年的鄭州西亞斯學(xué)院近兩萬(wàn)名學(xué)生信息遭泄露事件,我國(guó)高校數(shù)據(jù)安全事件屢見不鮮。
2020年,全國(guó)人大常委會(huì)先后發(fā)布了《數(shù)據(jù)安全法(草案)》和《個(gè)人信息保護(hù)法(草案)》,今年6月10日,《數(shù)據(jù)安全法》表決通過,很好地填補(bǔ)了國(guó)內(nèi)數(shù)據(jù)安全根本法律的空白,同時(shí)一系列地方法規(guī)和行業(yè)標(biāo)準(zhǔn)等相繼出臺(tái)也表明國(guó)家和行業(yè)監(jiān)管層面對(duì)數(shù)據(jù)安全的保護(hù)要求日趨嚴(yán)格。
目前,大多數(shù)高校已逐步意識(shí)到數(shù)據(jù)安全與個(gè)人隱私保護(hù)的重要性,并制定了相關(guān)的安全制度,采取了一定的技術(shù)防護(hù)手段,但這遠(yuǎn)遠(yuǎn)不足以消除現(xiàn)有隱患。日趨嚴(yán)格的合規(guī)要求下,高校數(shù)據(jù)安全尚存諸多風(fēng)險(xiǎn):
1、數(shù)據(jù)資產(chǎn)不清
高校數(shù)據(jù)資產(chǎn)數(shù)量眾多,且散落在校園內(nèi)各個(gè)信息系統(tǒng)中,摸清資產(chǎn)家底,進(jìn)行數(shù)據(jù)分類分級(jí)成首要任務(wù)。但目前,高校缺少統(tǒng)一的分類分級(jí)標(biāo)準(zhǔn),人才、技術(shù)、方法支撐不足,且高校在數(shù)據(jù)分類分級(jí)過程中 “先梳理現(xiàn)有數(shù)據(jù),再結(jié)合人工方式進(jìn)行分類分級(jí)”的思路,這種方式既不夠全面,又效率低下、周期長(zhǎng),且主觀性比較強(qiáng)。
2、數(shù)據(jù)管控手段弱
由內(nèi)部導(dǎo)致的數(shù)據(jù)泄露事件連年升高,不少高校仍靠流程、制度約定,缺少相應(yīng)的技術(shù)手段進(jìn)行管控。以第三方運(yùn)維人員、研發(fā)人員、數(shù)據(jù)庫(kù)管理員為例,由于過粗的管理顆粒度,這些特權(quán)用戶可以通過超級(jí)賬戶直接訪問核心敏感數(shù)據(jù)庫(kù),造成數(shù)據(jù)盜竊、職工賄賂和售賣信息倒賣、運(yùn)維人員報(bào)復(fù)性/誤刪除操作事件,影響惡劣。
數(shù)據(jù)管控手段弱
3、外部風(fēng)險(xiǎn)防護(hù)手段弱
高校個(gè)人和科研信息價(jià)值不斷瘋長(zhǎng),也引起外部威脅的覬覦,近年來(lái)黑產(chǎn)猖獗,以竊取和篡改數(shù)據(jù)為目的的攻擊日趨增加,攻擊手段有系統(tǒng)漏洞、SQL注入、勒索病毒、采用社會(huì)工程學(xué)撞庫(kù)等等,技術(shù)復(fù)雜性和攻擊隱蔽性越來(lái)越高,防范難度越來(lái)越難。
4、數(shù)據(jù)共享難平衡
隨著越來(lái)越多高校建立統(tǒng)一數(shù)據(jù)共享交換平臺(tái)/大數(shù)據(jù)平臺(tái),在數(shù)據(jù)采集階段,是否存在過度收集?在數(shù)據(jù)交換共享階段,數(shù)據(jù)面臨不同角色、不同部門、不同單位的獲取,是否存在轉(zhuǎn)售、轉(zhuǎn)賣行為?是否存在違規(guī)使用?在數(shù)據(jù)安全保護(hù)與開放獲取的博弈中,這無(wú)疑是高校又一個(gè)迫切需要解決的新問題。
5、數(shù)據(jù)上云的泄露風(fēng)險(xiǎn)
伴隨著互聯(lián)網(wǎng)+教育的進(jìn)程的加速,特別是本次新冠疫情期間,大量在線教育模式的應(yīng)用,越來(lái)越多高校也在探索教育上云,因此大量的教育數(shù)據(jù)正在往云端遷移,但上云意味更多風(fēng)險(xiǎn)的發(fā)生,數(shù)據(jù)以明文方式保存, 平臺(tái)自身漏洞、以及云端數(shù)據(jù)被超級(jí)權(quán)限D(zhuǎn)BA 訪問,都極易導(dǎo)致數(shù)據(jù)被竊取,防止云數(shù)據(jù)丟失和泄露以及對(duì)訪問授權(quán)進(jìn)行規(guī)范管理,高校需要采取更為有效的防御手段。
二、“三力五步”落地高校數(shù)據(jù)安全建設(shè)
針對(duì)高校數(shù)據(jù)安全建設(shè)當(dāng)前面臨的問題難點(diǎn),美創(chuàng)科技經(jīng)過多年在數(shù)據(jù)安全治理的專注研究和探索實(shí)踐,以“三力五步” 落地高校數(shù)據(jù)安全建設(shè)體系。
“三力五步” 落地高校數(shù)據(jù)安全建設(shè)體系
三大數(shù)據(jù)安全能力
美創(chuàng)科技在實(shí)踐整個(gè)數(shù)據(jù)安全治理體系建設(shè)過程中,貫通數(shù)據(jù)安全咨詢能力、數(shù)據(jù)安全架構(gòu)能力、數(shù)據(jù)安全技戰(zhàn)能力三類能力,從現(xiàn)狀梳理、風(fēng)險(xiǎn)評(píng)估,再到數(shù)據(jù)安全架構(gòu)與產(chǎn)品技術(shù)保障,美創(chuàng)提供一站式數(shù)據(jù)安全能力建設(shè)服務(wù),幫助高校用戶依據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》要求建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力。
1、數(shù)據(jù)安全咨詢能力:采用敏捷咨詢規(guī)劃和方案設(shè)計(jì),幫助高校從組織、制度、技術(shù)、人員四個(gè)維度厘清數(shù)據(jù)安全現(xiàn)狀、差距和風(fēng)險(xiǎn),為數(shù)據(jù)安全建設(shè)奠定基礎(chǔ)。
2、數(shù)據(jù)安全架構(gòu)能力:結(jié)合前期咨詢所獲結(jié)果,規(guī)劃數(shù)據(jù)安全整體建設(shè)架構(gòu),制定符合組織戰(zhàn)略的數(shù)據(jù)安全架構(gòu),同時(shí)根據(jù)實(shí)際情況制定短期、長(zhǎng)期建設(shè)規(guī)劃。
3、數(shù)據(jù)安全技戰(zhàn)能力:不僅涵蓋數(shù)據(jù)全生命周期技術(shù)工具,還包含安全設(shè)計(jì)、制度建設(shè)、人員能力提升等,根據(jù)數(shù)據(jù)安全體系架構(gòu),有計(jì)劃提升數(shù)據(jù)安全治理能力。
五大建設(shè)實(shí)施步驟
基于多年沉淀,美創(chuàng)科技從明現(xiàn)狀、立組織、定制度、建標(biāo)準(zhǔn)、訂規(guī)劃五個(gè)方面幫助高校建立健全數(shù)據(jù)安全治理體系,助力高校具備保障持續(xù)安全狀態(tài)的能力。
1、現(xiàn)狀梳理:
基于組織現(xiàn)狀完成其數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級(jí)、基于現(xiàn)狀完成數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,為數(shù)據(jù)安全建設(shè)提供奠定基礎(chǔ)。
厘清資產(chǎn)家底,進(jìn)行分類分級(jí):通過調(diào)研訪談、文件分析、工具探查,多維度了解數(shù)據(jù)資產(chǎn),明確數(shù)據(jù)資產(chǎn)構(gòu)成、特征、范圍及流轉(zhuǎn)情況。根據(jù)國(guó)家行業(yè)標(biāo)準(zhǔn)及組織實(shí)際情況,對(duì)數(shù)據(jù)進(jìn)行分類定級(jí)。基于自研的暗數(shù)據(jù)發(fā)現(xiàn)和分類分級(jí)系統(tǒng),實(shí)現(xiàn)數(shù)據(jù)掃描、識(shí)別、定位、解析、分析、分類,同時(shí)為用戶生成完整、全面、直觀的可視化發(fā)現(xiàn)報(bào)告(包括:數(shù)據(jù)分級(jí)分類報(bào)告、數(shù)據(jù)質(zhì)量報(bào)告、數(shù)據(jù)資產(chǎn)報(bào)告等),讓用戶更快、更全地認(rèn)識(shí)數(shù)據(jù)。
安全風(fēng)險(xiǎn)評(píng)估,識(shí)別合規(guī)情況:美創(chuàng)科技從兩大視角出發(fā),按照風(fēng)險(xiǎn)分析的方法,分析組織內(nèi)數(shù)據(jù)相關(guān)活動(dòng)或數(shù)據(jù)資產(chǎn)所存在的安全風(fēng)險(xiǎn),以生成數(shù)據(jù)資產(chǎn)的全面風(fēng)險(xiǎn)清單和風(fēng)險(xiǎn)預(yù)估、并基于評(píng)估結(jié)果給出風(fēng)險(xiǎn)處置建議的服務(wù)方案。
安全風(fēng)險(xiǎn)評(píng)估
2、 組織構(gòu)建
依據(jù)數(shù)據(jù)安全法要求,幫助高校用戶建立健全數(shù)據(jù)安全團(tuán)隊(duì)組織,明確數(shù)據(jù)安全責(zé)任人及具體責(zé)任要求,包括部門職責(zé)與人員角色確定,以及動(dòng)態(tài)協(xié)同機(jī)制。如:在了解部門信息,明確敏感信息組成、特征、范圍及流轉(zhuǎn)情況的基礎(chǔ)上,建設(shè)完善的動(dòng)態(tài)協(xié)同機(jī)制,明確數(shù)據(jù)訪問人員、數(shù)據(jù)生產(chǎn)人員、數(shù)據(jù)維護(hù)人員等目標(biāo)對(duì)象,對(duì)于數(shù)據(jù)資產(chǎn)使用角色進(jìn)行規(guī)范限定。
組織合規(guī)框架示例
3、制度建設(shè)
根據(jù)數(shù)據(jù)安全治理的內(nèi)容,建立相應(yīng)的流程,以及組織數(shù)據(jù)安全治理的制度規(guī)范,如規(guī)章制度、管控辦法、獎(jiǎng)懲機(jī)制、技術(shù)規(guī)范等制度建設(shè),為數(shù)據(jù)安全管理和保障提供依據(jù)。
目前數(shù)據(jù)安全教育已成為安全建設(shè)中不可或缺的內(nèi)容,美創(chuàng)在深度研究國(guó)內(nèi)外法律法規(guī)、政策標(biāo)準(zhǔn)、行業(yè)發(fā)文等基礎(chǔ)上,形成矩陣式的數(shù)據(jù)安全教育培訓(xùn)內(nèi)容,并根據(jù)組織具體情況提供針對(duì)性宣貫和培訓(xùn),覆蓋數(shù)據(jù)安全基礎(chǔ)、安全意識(shí)、安全技術(shù)、安全事件、合規(guī)解讀等多個(gè)方向。
4、 標(biāo)準(zhǔn)制定
數(shù)據(jù)安全法規(guī)定“相關(guān)行業(yè)組織按照章程,依法制定數(shù)據(jù)安全行為規(guī)范和團(tuán)體標(biāo)準(zhǔn),加強(qiáng)行業(yè)自律。”美創(chuàng)科技參與多項(xiàng)國(guó)家、行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)制定工作,可協(xié)助高校進(jìn)行內(nèi)部數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范的制定
5、 安全建設(shè)規(guī)劃
以業(yè)務(wù)需求為導(dǎo)向,設(shè)計(jì)數(shù)據(jù)安全規(guī)劃路徑,進(jìn)行階段性、體系化的安全建設(shè),包括數(shù)據(jù)內(nèi)控合規(guī)、數(shù)據(jù)全域可管、數(shù)據(jù)全局可視,整個(gè)防護(hù)體系,覆蓋數(shù)據(jù)全生命周期管控、風(fēng)險(xiǎn)控制和資產(chǎn)保護(hù),幫助組織建立數(shù)據(jù)安全能力。如:
數(shù)據(jù)內(nèi)控合規(guī)建設(shè)
基于法律法規(guī)及數(shù)據(jù)分類分級(jí)結(jié)果,采用敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)分級(jí)分類、數(shù)據(jù)動(dòng)/靜態(tài)脫敏、數(shù)據(jù)庫(kù)日志審計(jì)、權(quán)限管控和數(shù)據(jù)資產(chǎn)保護(hù)、身份鑒別(人、終端、應(yīng)用)、高危操作防護(hù)、訪問控制、特權(quán)管理等產(chǎn)品技術(shù)手段,加強(qiáng)內(nèi)部安全管控。
數(shù)據(jù)全域可管
基于現(xiàn)有網(wǎng)絡(luò)安全和內(nèi)控安全保障體系,防御外部和數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn),采用入侵防護(hù)、漏洞防御、訪問控制、誤操作恢復(fù)、數(shù)據(jù)加密、溯源管理、數(shù)據(jù)加密等技術(shù),通過數(shù)據(jù)安全管理平臺(tái)整體實(shí)現(xiàn)數(shù)據(jù)全域管理。
風(fēng)險(xiǎn)全局可視
基于數(shù)據(jù)安全管理平臺(tái),對(duì)各類數(shù)據(jù)安全產(chǎn)品進(jìn)行統(tǒng)一管理,從全局視角提升對(duì)數(shù)據(jù)安全威脅的發(fā)現(xiàn)識(shí)別、理解、分析和響應(yīng)能力,實(shí)現(xiàn)資產(chǎn)全域可管、風(fēng)險(xiǎn)全域可視、策略全域聯(lián)動(dòng),充分盤活用戶整體數(shù)據(jù)安全防護(hù)能力,最終實(shí)現(xiàn)有序、快速響應(yīng)的數(shù)據(jù)安全運(yùn)營(yíng)能力。
美創(chuàng)科技安全態(tài)勢(shì)感知中心
——本文為成都市教育城域網(wǎng) 2021年主任工作會(huì)美創(chuàng)科技資深數(shù)據(jù)安全顧問王彥翔分享《高校數(shù)據(jù)安全建設(shè)賦能—數(shù)據(jù)安全法之下的建設(shè)路徑》演講紀(jì)要。
