隨著大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新一代信息技術(shù)的快速發(fā)展和應(yīng)用,各地高校大力發(fā)展建設(shè)數(shù)字校園、智慧校園,相關(guān)信息化應(yīng)用日益豐富。據(jù)《2020年網(wǎng)絡(luò)安全態(tài)勢(shì)洞察報(bào)告》數(shù)據(jù)顯示,教育行業(yè)泄漏事件占比高達(dá)53%,其中以高校居多,占比65.36%。2021年3月,教育部發(fā)布《高等學(xué)校數(shù)字校園建設(shè)規(guī)范(試行)》,提出“數(shù)字校園相關(guān)系統(tǒng)產(chǎn)生的數(shù)據(jù)量大,且關(guān)系到師生的隱私,因此針對(duì)數(shù)字校園相關(guān)系統(tǒng)產(chǎn)生的數(shù)據(jù)應(yīng)具備保護(hù)措施。”
基于《數(shù)據(jù)安全保護(hù)法》、《個(gè)人信息保護(hù)法》等相關(guān)法律外部監(jiān)管結(jié)合教育行業(yè)業(yè)務(wù)特點(diǎn),如何合理、合規(guī)的分析和利用高校數(shù)據(jù),保障其安全就成為了各地高校當(dāng)前亟需解決的問(wèn)題。
作為一家深耕數(shù)據(jù)安全領(lǐng)域十余年的新一代信息安全技術(shù)企業(yè),明朝萬(wàn)達(dá)安全專家認(rèn)為高校數(shù)據(jù)安全風(fēng)險(xiǎn)主要體現(xiàn)在以下方面:
1、業(yè)務(wù)系統(tǒng)復(fù)雜,泄漏風(fēng)險(xiǎn)點(diǎn)多
由于高校信息化的快速發(fā)展,高校普遍都建立教務(wù)管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、招生系統(tǒng)、圖書(shū)管理系統(tǒng)等業(yè)務(wù)系統(tǒng),系統(tǒng)中積聚了海量數(shù)據(jù),其中包括:師生身份信息(身份證號(hào)、學(xué)號(hào)、職工號(hào)等)、生物識(shí)別信息(指紋、人臉等)、一卡通信息、財(cái)務(wù)信息、科研信息等等,這些信息具有一定的價(jià)值性和某種潛在的關(guān)聯(lián)性。這些海量隱私信息一旦泄露,給高校和社會(huì)帶來(lái)難以挽回的不利影響。
2、系統(tǒng)外包普遍,第三方泄漏風(fēng)險(xiǎn)大
系統(tǒng)外包在各行各業(yè)都有,教育行業(yè)、高校也不例外,各式各樣的系統(tǒng)通過(guò)外包方式進(jìn)行開(kāi)發(fā)維護(hù),各外包公司掌握著各類系統(tǒng)的應(yīng)用程序源代碼、服務(wù)器權(quán)限、數(shù)據(jù)庫(kù)權(quán)限等核心信息。例如高校普遍使用招生就業(yè)、財(cái)務(wù)、資產(chǎn)數(shù)據(jù)等等都是不可外泄且不容篡改的數(shù)據(jù),作為核心數(shù)據(jù)載體,而第三方外包人員進(jìn)入數(shù)據(jù)庫(kù)進(jìn)行維護(hù)時(shí)是具備非常高的權(quán)限,一旦發(fā)生來(lái)自于應(yīng)用用戶越權(quán)操作、程序開(kāi)發(fā)人員和數(shù)據(jù)庫(kù)運(yùn)維人員的數(shù)據(jù)泄露和篡改,都將造成巨大的損失,必定會(huì)給學(xué)校和社會(huì)造成重大影響。
3、云端數(shù)據(jù)安全防護(hù)不足
業(yè)務(wù)上云成為當(dāng)前大數(shù)據(jù)時(shí)代發(fā)展的趨勢(shì),云存儲(chǔ)、云平臺(tái)給各行各業(yè)帶來(lái)許多便捷,同時(shí)也滋生出諸多安全問(wèn)題。高校目前基本都建立了自己的以數(shù)據(jù)存儲(chǔ)為主的私有云平臺(tái),但是這種用于數(shù)據(jù)存儲(chǔ)的私有云平臺(tái)產(chǎn)品基本都是由各廠商提供,并非各高校私有技術(shù),云服務(wù)商自身存在安全隱患及行為風(fēng)險(xiǎn)無(wú)法得到安全保證,同時(shí),云服務(wù)商可能無(wú)意間將信息流出或者惡意出售高校數(shù)據(jù),造成數(shù)據(jù)泄露高校數(shù)據(jù)也隨之面臨風(fēng)險(xiǎn)。
明朝萬(wàn)達(dá)安全專家認(rèn)為,數(shù)據(jù)安全是高校信息安全體系的重要組成部分和核心目標(biāo)之一。面對(duì)高校復(fù)雜的數(shù)據(jù)現(xiàn)狀,只通過(guò)單一技術(shù)或管理措施是遠(yuǎn)遠(yuǎn)不夠的,必須要通過(guò)整體的信息安全保障體系設(shè)計(jì)與實(shí)施方能實(shí)現(xiàn)。
基于對(duì)數(shù)據(jù)安全領(lǐng)域的深入研究,結(jié)合高校信息系統(tǒng)及數(shù)據(jù)使用的特點(diǎn),依托自主研發(fā)的數(shù)據(jù)安全系列產(chǎn)品,明朝萬(wàn)達(dá)在綜合考慮了高校數(shù)據(jù)管理和技術(shù)應(yīng)用,提出了構(gòu)建校園統(tǒng)一數(shù)據(jù)安全統(tǒng)一管理平臺(tái),集合云、網(wǎng)、端一體化的數(shù)據(jù)安全管控體系及數(shù)據(jù)安全動(dòng)態(tài)防御集中管控體系。
△ 架構(gòu)圖
管理層面
1、確定安全負(fù)責(zé)人,落實(shí)安全
無(wú)論是數(shù)據(jù)安全保活動(dòng)的開(kāi)展還是法律義務(wù)的承擔(dān),“責(zé)任人”的落地必不可少。根據(jù)法律的規(guī)定,在高校處理重要數(shù)據(jù)的情形下,還應(yīng)當(dāng)明確數(shù)據(jù)管理機(jī)構(gòu)。除了應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)之外,還應(yīng)當(dāng)對(duì)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。另外,對(duì)于業(yè)務(wù)系統(tǒng)由第三方企業(yè)平臺(tái)維護(hù)的。學(xué)校需和第三方企業(yè)、平臺(tái)簽訂保密協(xié)議,從數(shù)據(jù)保密義務(wù)和數(shù)據(jù)安全管理等層面進(jìn)行操作規(guī)范約束。明確維護(hù)人員的責(zé)任和義務(wù),防止數(shù)據(jù)泄露。
2、加強(qiáng)宣傳教育,培養(yǎng)數(shù)據(jù)安全思維
對(duì)各單位的數(shù)據(jù)管理員進(jìn)行數(shù)據(jù)安全宣傳和培訓(xùn),宣傳國(guó)家數(shù)據(jù)安全政策,加強(qiáng)數(shù)據(jù)管理員數(shù)據(jù)安全意識(shí),提高數(shù)據(jù)使用方的數(shù)據(jù)安全技術(shù)。同時(shí)可通過(guò)在高校師生中開(kāi)展“網(wǎng)絡(luò)安全日”和“數(shù)據(jù)安全宣傳周”等宣傳活動(dòng),普及《數(shù)據(jù)安全法》及相關(guān)知識(shí),提高高校數(shù)據(jù)安全保護(hù)意識(shí)和水平,形成高校共同維護(hù)數(shù)據(jù)安全和促進(jìn)發(fā)展的良好環(huán)境。
技術(shù)層面
1、分類分級(jí)管理,建立健全完善的數(shù)據(jù)安全管理制度
高校內(nèi)部的數(shù)據(jù)覆蓋面廣、數(shù)據(jù)量大、涉及用戶多,包括教職工信息、學(xué)生信息、教學(xué)信息、科研信息、財(cái)務(wù)信息等。為做好數(shù)據(jù)安全防護(hù),應(yīng)根據(jù)我國(guó)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī),根據(jù)數(shù)據(jù)對(duì)于學(xué)校的重要程度,對(duì)數(shù)據(jù)進(jìn)行安全級(jí)別劃分,使數(shù)據(jù)能夠得到適當(dāng)?shù)陌踩雷o(hù)。建立數(shù)據(jù)分級(jí)策略需要考慮如下幾個(gè)方面的問(wèn)題:
· 數(shù)據(jù)分類分級(jí)管理
數(shù)據(jù)在保密性、完整性、可用性方面的需求進(jìn)行安全級(jí)別劃分,借鑒國(guó)外高校及國(guó)內(nèi)其他行業(yè)的數(shù)據(jù)分級(jí)策略,考慮到可操作性,建議高校數(shù)據(jù)分為三個(gè)或四個(gè)安全級(jí)別,如可劃分為公開(kāi)數(shù)據(jù)、一般業(yè)務(wù)數(shù)據(jù)、內(nèi)部敏感數(shù)據(jù)、機(jī)密數(shù)據(jù)四個(gè)安全級(jí)別。
· 數(shù)據(jù)管理與操作的各個(gè)角色設(shè)置
根據(jù)數(shù)據(jù)的擁有者、管理者、使用者三個(gè)角色,明確各角色對(duì)于數(shù)據(jù)的安全責(zé)任和操作權(quán)限。各級(jí)別數(shù)據(jù)的防護(hù)措施等方面的內(nèi)容。對(duì)于不同級(jí)別的數(shù)據(jù),還要明確其在數(shù)據(jù)訪問(wèn)控制、存儲(chǔ)、傳輸、備份、審計(jì)等方面的要求。
2、評(píng)估敏感數(shù)據(jù)分布,制定數(shù)據(jù)安全防護(hù)策略
數(shù)據(jù)是信息系統(tǒng)的核心,對(duì)于數(shù)據(jù)的訪問(wèn)可能來(lái)自于多個(gè)途徑,基于數(shù)據(jù)分類分級(jí)梳理高校數(shù)據(jù)資產(chǎn)狀況,明確數(shù)據(jù)由誰(shuí)產(chǎn)生、如何存儲(chǔ)、如何傳輸、被哪些對(duì)象使用、如何使用、可能被哪些業(yè)務(wù)系統(tǒng)訪問(wèn)、訪問(wèn)路徑以及敏感數(shù)據(jù)分布情況,并按照數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換和銷毀整個(gè)生命周期的各個(gè)階段對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估。結(jié)合校園網(wǎng)絡(luò)、數(shù)據(jù)中心、業(yè)務(wù)系統(tǒng)、辦公終端等多個(gè)業(yè)務(wù)場(chǎng)景方面,制定相應(yīng)數(shù)據(jù)安全防護(hù)策略。
· 終端層面防護(hù)
加強(qiáng)終端數(shù)據(jù)安全管理,通過(guò)終端監(jiān)控方式監(jiān)控來(lái)自多種網(wǎng)絡(luò)通道的外發(fā)數(shù)據(jù),幫助高校保護(hù)敏感數(shù)據(jù)通過(guò)Web、終端外設(shè)、打印、刻錄、IM通訊、遠(yuǎn)程連接、FTP、文件共享等諸多渠道的敏感文件外發(fā)控制、審批,同時(shí)對(duì)終端上存儲(chǔ)的靜態(tài)文件實(shí)時(shí)監(jiān)控與周期性掃描,進(jìn)而實(shí)現(xiàn)對(duì)通過(guò)各種方式泄露的敏感信息進(jìn)行監(jiān)控,發(fā)現(xiàn)并記錄網(wǎng)絡(luò)外發(fā)的敏感數(shù)據(jù)泄露事件。
· 網(wǎng)絡(luò)層面防護(hù)
加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)防泄漏防護(hù),對(duì)網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⑦M(jìn)行安全審計(jì)和管控,利用關(guān)鍵字、正則表達(dá)式、文件指紋、自然語(yǔ)言處理等規(guī)則,對(duì)高校外發(fā)數(shù)據(jù)進(jìn)行解析與掃描,實(shí)時(shí)識(shí)別、監(jiān)控、保護(hù)高校敏感數(shù)據(jù)。對(duì)即將發(fā)生、正在發(fā)生的泄漏敏感數(shù)據(jù)行為按照預(yù)置策略及時(shí)阻斷并告警,防止高校敏感數(shù)據(jù)傳輸?shù)叫@外部,實(shí)現(xiàn)對(duì)高校外發(fā)敏感數(shù)據(jù)的可知、可見(jiàn)、可控。其次,針對(duì)校園與第三方公司合作開(kāi)發(fā)新系統(tǒng)或新功能,可以使用脫敏數(shù)據(jù)產(chǎn)品,對(duì)數(shù)據(jù)中的證件號(hào)、聯(lián)系方式、地址等比較敏感的數(shù)據(jù)進(jìn)行屏蔽、替換、隨機(jī)化、加密等處理,防止真實(shí)數(shù)據(jù)泄漏。此外,校內(nèi)人員使用數(shù)據(jù)時(shí),比如學(xué)校師生在項(xiàng)目、科研實(shí)驗(yàn)中需要調(diào)用到學(xué)校的人員信息數(shù)據(jù),教務(wù)處或信息中心等部門需要授權(quán)相關(guān)的數(shù)據(jù)信息,可通過(guò)走校園內(nèi)部審批流程進(jìn)行申請(qǐng),最終分管校長(zhǎng)審批通過(guò),才能使用數(shù)據(jù),保證數(shù)據(jù)在校園內(nèi)部使用的合規(guī)性。
· 云端層面防護(hù)
增加云訪問(wèn)安全代理,當(dāng)高校將自己的服務(wù)部署在云端時(shí),時(shí)常會(huì)遇到服務(wù)被非法入侵或數(shù)據(jù)被窺視的現(xiàn)象,使用CASB反向代理將服務(wù)真實(shí)地址隱藏,加上CASB內(nèi)置的安全模塊,可有效保障高校的服務(wù)及數(shù)據(jù)的安全。當(dāng)高校使用云存儲(chǔ)服務(wù)時(shí),存儲(chǔ)的數(shù)據(jù)或文件被大數(shù)據(jù)引擎窺視分析,甚至被暴力入侵,此時(shí)CASB的正向代理服務(wù)內(nèi)置的安全服務(wù)可對(duì)上云文件進(jìn)行密級(jí)加密或DLP掃描,有效保障上云文件安全的同時(shí)確保高校敏感信息外泄。
3、建立統(tǒng)一安全集中監(jiān)控與審計(jì)平臺(tái),實(shí)時(shí)監(jiān)管數(shù)據(jù)流動(dòng)安全
大數(shù)據(jù)時(shí)代的快速發(fā)展,高校都不斷在擴(kuò)大內(nèi)部業(yè)務(wù)系統(tǒng)和建設(shè)自己對(duì)應(yīng)的數(shù)據(jù)中臺(tái),數(shù)據(jù)也在不斷地發(fā)生變化。為快速發(fā)現(xiàn)、處理數(shù)據(jù)安全風(fēng)險(xiǎn),可以通過(guò)部署安全集中監(jiān)控與審計(jì)平臺(tái)管理數(shù)據(jù)資產(chǎn)狀況,以數(shù)據(jù)視角對(duì)整個(gè)數(shù)據(jù)生命周期過(guò)程進(jìn)行全方位的實(shí)時(shí)監(jiān)視,記錄數(shù)據(jù)活動(dòng)和用戶行為,及時(shí)發(fā)現(xiàn)數(shù)據(jù)存在的風(fēng)險(xiǎn)、威脅、漏洞以及數(shù)據(jù)的異常訪問(wèn)、用戶的異常操作等事件,并生成數(shù)據(jù)合規(guī)報(bào)告,保證入侵、破壞、泄露、篡改敏感數(shù)據(jù)的行為事前能被發(fā)現(xiàn),事中能被攔截和監(jiān)查,事后能被審計(jì)追溯,確保數(shù)據(jù)全生命周期的安全。
