高校数据泄露事件频发!安恒信息告诉你教育行业数据安全建设究竟怎么做
- 来源:安恒信息
- 2023/8/18 10:23:0732424
南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
#面临问题·三大困难 #
近年来,高校敏感数据泄露事件频频发生,事件的背后折射了高校在数据安全上面临的诸多问题。高校数据价值高、变现快的特点导致其不断遭受内外部不法分子觊觎,而许多学校的数据安全建设仍面临三大困难:
1、管理体系不清晰,数据安全难落地
高校数据安全管理制度缺乏、数据安全组织结构不清晰,数据安全责任未能明确到具体部门、人员,导致数据安全工作落地缺少组织与制度保障。
2、防控手段不足,数据安全攻击难防护
目前高校在数据安全防护中,大部分仍依赖原有的网络安全设备,缺少针对数据流转、数据交换、数据存储等环节中专用的数据安全手段,数据安全风险看不清,防不住。
3、数据安全意识薄弱,数据外泄风险难控制
高校内部可接触敏感数据的人员类型非常复杂,既有学校内部人员,也有外部的供应商人员,对数据安全法律法规、风险意识理解参差不一,随意访问、私发敏感数据,导致数据外泄,面临较大的“人的风险”。
#建设思路·三位一体 #
在愈发猖獗的黑客攻击下,高校的数据安全建设正面临“内忧外患”的复杂局面,在政策层面,2021年教育部等七部门印发《关于加强教育系统数据安全工作的通知》,让数据安全建设有章可循。现如今,如何加强敏感数据保护,弥补差距,已成为每个高校重点关注的工作。
针对高校数据安全现状与安全需求,如何加强高校数据安全建设,提升防入侵、防泄漏、防滥用、防窃取能力?安恒信息提出了数据安全的建设思路:“管理+技术+运营”三位一体,管理体系为基础,技术体系为支撑,构建常态化数据安全运营体系,实现有人管,有技术,有运营的全方位数据安全保障。
一、有人管
建设数据安全管理体系
数据安全责任到人
学校应成立专项数据安全组织机构,健全数据安全组织体系,数据安全管理责任制切实落实各部门,明确政策、执行和监督各个版块的长期责任人,以推进数据安全工作在校内跨部门协同配合,最终确保数据安全工作能够得到长期有效的执行。
数据安全管理规章制度示例
二、有技术
完善数据安全技术体系
为数据防护提供有效支撑
高校数据安全实践面临问题多、影响大、落地难等现状,安恒信息认为高校应该分阶段逐步提升数据安全能力:
第一步、分类分级:摸清数据资产,制定数据安全分类分级逻辑框架,开展数据安全分类分级工作,明确敏感数据保护范围,为后续的数据管控埋下基础;
第二步、建设技术能力:结合数据重要性与所处业务场景,制定数据安全管控手段,有效控制数据安全风险。
数据分类分级是分级管控的基础
学校有多少数据,数据如何分布?什么是重要数据,重要数据如何管控?这些问题都需要通过开展数据分类分级工作,才能够更清晰的解答。数据分类分级可以帮助学校看清全校数据的概况,是数据按重要性分级管控的基础。
安恒信息认为在数据保护过程中,应坚持两个原则:
重要数据安全优先
一般数据效率优先
数据分类分级流程示例
此外,数据分类分级的结果可以复用到多个场景,比如:
在数据共享场景下:可以结合学校自身对数据安全的需求,对数据制定不同的分级管控策略,更健康、更安全地进行数据共享。
在数据防控、脱敏等场景下:数据分类分级成果可输出给数据库安全网关、数据脱敏系统、数据安全管控平台等数据安全设备,以便于高校更灵活、更高效地制定差异化数据管控策略。
数据安全建设需覆盖全场景、全流程
高校敏感数据分散在不同的数据库中,且数据随时在流转、被调用。要想保障高校的数据安全,需要在统一的数据安全建设目标指引下分阶段,逐步构建覆盖学校全场景、全流程的数据安全保护体系。
安恒信息认为高校在数据安全能力建设的过程中,需要结合数据安全所处的业务场景,评估该场景下面临的数据安全威胁,在已有的网络安全技术手段下,进一步弥补数据安全的技术差距。
依据多年数据安全实战经验,安恒信息总结了高校在数据安全维度上最重要的六个业务场景,黑客在进行数据窃取时,往往最先盯上的就是它们。因此,建设数据安全防护体系的核心,是保障这些业务场景中的数据安全:
高校数据安全安全防护体系建设架构图
API交换场景:
洞悉信息系统API接口上存在的脆弱性风险,如学工系统学生姓名接口存在明文传输风险,为API接口收敛、暴露面整治提供方向。
数据库运维场景:
对数据库运维人员权限进行细粒度控制,并结合字段级授权、动态脱敏等技术,确保运维过程符合学校安全运维要求。
数据开放场景:
针对学校部分环境需使用真实敏感数据的场景,在不影响业务的前提下,对敏感数据匿名化处理,既可支撑业务顺利开展,同时避免数据过度开放。
数据存储场景:
对学生数据、教师数据、报名数据等敏感数据执行数据加密操作,即使数据泄露,黑客也不能读懂数据含义,防止对数据造成实质性的损害。
数据库防护场景:
通过技术手段,对数据库的SQL注入、数据库漏洞等攻击进行主动防御,以防范黑客的恶意攻击与数据窃取行为。
网络数据防泄漏场景:
将学籍数据、姓名数据、银行账号等重要数据作为监测对象,从网络流量侧识别是否存在敏感数据泄露行为,并实现预警、阻断。
三、有运营
构建常态化数据安全运营体系
保障风险可视可控
数据的动态性要求数据安全必须通过持续运营,才能够从根本上做好安全工作,体现安全效果。
安恒信息认为,学校应从全局数据安全战略高度,全方位监控数据中心内部所有数据资产的采集、处理等全流动过程,让数据安全威胁从不可视到可视,从不可知到可知,从不可控到可控,实现学校数据安全统一运营。
常态化数据安全运营建设效果
同时,在数据安全运营工作中,应着重提升运营人员的数据安全素养与技术。
学校信息化管理部门参照学校已发布的数据安全管理文档、管理制度等要求,组织相关人员提升数据安全意识、数据安全技术能力、实战演练等维度的专业素养,执行学校数据安全相关要求,增强人员的数据安全防范能力,发挥数据安全建设的最大价值。
随着教育数字化战略行动的开展,高校信息化、智能化与教育教学将进一步融合,数据的重要性也将得到质的提升,因此构建高质量的数据安全防线不仅是履行数据安全保护义务,更是教育教学业务能否正常开展的关键。
安恒信息深耕数据安全领域16载,具备体系化的数据安全产品与咨询服务能力,能够更好地为高校数据安全建设提供全场景、全流程的产品、服务与解决方案。