隨著大數據、云計算、移動互聯網、物聯網等新一代信息技術的快速發展和應用,各地高校大力發展建設數字校園、智慧校園,相關信息化應用日益豐富。據《2020年網絡安全態勢洞察報告》數據顯示,教育行業泄漏事件占比高達53%,其中以高校居多,占比65.36%。2021年3月,教育部發布《高等學校數字校園建設規范(試行)》,提出“數字校園相關系統產生的數據量大,且關系到師生的隱私,因此針對數字校園相關系統產生的數據應具備保護措施。”
基于《數據安全保護法》、《個人信息保護法》等相關法律外部監管結合教育行業業務特點,如何合理、合規的分析和利用高校數據,保障其安全就成為了各地高校當前亟需解決的問題。
作為一家深耕數據安全領域十余年的新一代信息安全技術企業,明朝萬達安全專家認為高校數據安全風險主要體現在以下方面:
1、業務系統復雜,泄漏風險點多
由于高校信息化的快速發展,高校普遍都建立教務管理系統、財務系統、招生系統、圖書管理系統等業務系統,系統中積聚了海量數據,其中包括:師生身份信息(身份證號、學號、職工號等)、生物識別信息(指紋、人臉等)、一卡通信息、財務信息、科研信息等等,這些信息具有一定的價值性和某種潛在的關聯性。這些海量隱私信息一旦泄露,給高校和社會帶來難以挽回的不利影響。
2、系統外包普遍,第三方泄漏風險大
系統外包在各行各業都有,教育行業、高校也不例外,各式各樣的系統通過外包方式進行開發維護,各外包公司掌握著各類系統的應用程序源代碼、服務器權限、數據庫權限等核心信息。例如高校普遍使用招生就業、財務、資產數據等等都是不可外泄且不容篡改的數據,作為核心數據載體,而第三方外包人員進入數據庫進行維護時是具備非常高的權限,一旦發生來自于應用用戶越權操作、程序開發人員和數據庫運維人員的數據泄露和篡改,都將造成巨大的損失,必定會給學校和社會造成重大影響。
3、云端數據安全防護不足
業務上云成為當前大數據時代發展的趨勢,云存儲、云平臺給各行各業帶來許多便捷,同時也滋生出諸多安全問題。高校目前基本都建立了自己的以數據存儲為主的私有云平臺,但是這種用于數據存儲的私有云平臺產品基本都是由各廠商提供,并非各高校私有技術,云服務商自身存在安全隱患及行為風險無法得到安全保證,同時,云服務商可能無意間將信息流出或者惡意出售高校數據,造成數據泄露高校數據也隨之面臨風險。
明朝萬達安全專家認為,數據安全是高校信息安全體系的重要組成部分和核心目標之一。面對高校復雜的數據現狀,只通過單一技術或管理措施是遠遠不夠的,必須要通過整體的信息安全保障體系設計與實施方能實現。
基于對數據安全領域的深入研究,結合高校信息系統及數據使用的特點,依托自主研發的數據安全系列產品,明朝萬達在綜合考慮了高校數據管理和技術應用,提出了構建校園統一數據安全統一管理平臺,集合云、網、端一體化的數據安全管控體系及數據安全動態防御集中管控體系。
△ 架構圖
管理層面
1、確定安全負責人,落實安全
無論是數據安全保活動的開展還是法律義務的承擔,“責任人”的落地必不可少。根據法律的規定,在高校處理重要數據的情形下,還應當明確數據管理機構。除了應當設置專門安全管理機構之外,還應當對負責人和關鍵崗位人員進行安全背景審查。另外,對于業務系統由第三方企業平臺維護的。學校需和第三方企業、平臺簽訂保密協議,從數據保密義務和數據安全管理等層面進行操作規范約束。明確維護人員的責任和義務,防止數據泄露。
2、加強宣傳教育,培養數據安全思維
對各單位的數據管理員進行數據安全宣傳和培訓,宣傳國家數據安全政策,加強數據管理員數據安全意識,提高數據使用方的數據安全技術。同時可通過在高校師生中開展“網絡安全日”和“數據安全宣傳周”等宣傳活動,普及《數據安全法》及相關知識,提高高校數據安全保護意識和水平,形成高校共同維護數據安全和促進發展的良好環境。
技術層面
1、分類分級管理,建立健全完善的數據安全管理制度
高校內部的數據覆蓋面廣、數據量大、涉及用戶多,包括教職工信息、學生信息、教學信息、科研信息、財務信息等。為做好數據安全防護,應根據我國《網絡安全法》《數據安全法》等法律法規,根據數據對于學校的重要程度,對數據進行安全級別劃分,使數據能夠得到適當的安全防護。建立數據分級策略需要考慮如下幾個方面的問題:
· 數據分類分級管理
數據在保密性、完整性、可用性方面的需求進行安全級別劃分,借鑒國外高校及國內其他行業的數據分級策略,考慮到可操作性,建議高校數據分為三個或四個安全級別,如可劃分為公開數據、一般業務數據、內部敏感數據、機密數據四個安全級別。
· 數據管理與操作的各個角色設置
根據數據的擁有者、管理者、使用者三個角色,明確各角色對于數據的安全責任和操作權限。各級別數據的防護措施等方面的內容。對于不同級別的數據,還要明確其在數據訪問控制、存儲、傳輸、備份、審計等方面的要求。
2、評估敏感數據分布,制定數據安全防護策略
數據是信息系統的核心,對于數據的訪問可能來自于多個途徑,基于數據分類分級梳理高校數據資產狀況,明確數據由誰產生、如何存儲、如何傳輸、被哪些對象使用、如何使用、可能被哪些業務系統訪問、訪問路徑以及敏感數據分布情況,并按照數據采集、傳輸、存儲、處理、交換和銷毀整個生命周期的各個階段對數據安全風險進行分析評估。結合校園網絡、數據中心、業務系統、辦公終端等多個業務場景方面,制定相應數據安全防護策略。
· 終端層面防護
加強終端數據安全管理,通過終端監控方式監控來自多種網絡通道的外發數據,幫助高校保護敏感數據通過Web、終端外設、打印、刻錄、IM通訊、遠程連接、FTP、文件共享等諸多渠道的敏感文件外發控制、審批,同時對終端上存儲的靜態文件實時監控與周期性掃描,進而實現對通過各種方式泄露的敏感信息進行監控,發現并記錄網絡外發的敏感數據泄露事件。
· 網絡層面防護
加強網絡數據防泄漏防護,對網絡中傳輸的敏感信息進行安全審計和管控,利用關鍵字、正則表達式、文件指紋、自然語言處理等規則,對高校外發數據進行解析與掃描,實時識別、監控、保護高校敏感數據。對即將發生、正在發生的泄漏敏感數據行為按照預置策略及時阻斷并告警,防止高校敏感數據傳輸到校園外部,實現對高校外發敏感數據的可知、可見、可控。其次,針對校園與第三方公司合作開發新系統或新功能,可以使用脫敏數據產品,對數據中的證件號、聯系方式、地址等比較敏感的數據進行屏蔽、替換、隨機化、加密等處理,防止真實數據泄漏。此外,校內人員使用數據時,比如學校師生在項目、科研實驗中需要調用到學校的人員信息數據,教務處或信息中心等部門需要授權相關的數據信息,可通過走校園內部審批流程進行申請,最終分管校長審批通過,才能使用數據,保證數據在校園內部使用的合規性。
· 云端層面防護
增加云訪問安全代理,當高校將自己的服務部署在云端時,時常會遇到服務被非法入侵或數據被窺視的現象,使用CASB反向代理將服務真實地址隱藏,加上CASB內置的安全模塊,可有效保障高校的服務及數據的安全。當高校使用云存儲服務時,存儲的數據或文件被大數據引擎窺視分析,甚至被暴力入侵,此時CASB的正向代理服務內置的安全服務可對上云文件進行密級加密或DLP掃描,有效保障上云文件安全的同時確保高校敏感信息外泄。
3、建立統一安全集中監控與審計平臺,實時監管數據流動安全
大數據時代的快速發展,高校都不斷在擴大內部業務系統和建設自己對應的數據中臺,數據也在不斷地發生變化。為快速發現、處理數據安全風險,可以通過部署安全集中監控與審計平臺管理數據資產狀況,以數據視角對整個數據生命周期過程進行全方位的實時監視,記錄數據活動和用戶行為,及時發現數據存在的風險、威脅、漏洞以及數據的異常訪問、用戶的異常操作等事件,并生成數據合規報告,保證入侵、破壞、泄露、篡改敏感數據的行為事前能被發現,事中能被攔截和監查,事后能被審計追溯,確保數據全生命周期的安全。
