隨著大數(shù)據(jù)、云計算、移動互聯(lián)網、物聯(lián)網等新一代信息技術的快速發(fā)展和應用,各地高校大力發(fā)展建設數(shù)字校園、智慧校園,相關信息化應用日益豐富。據(jù)《2020年網絡安全態(tài)勢洞察報告》數(shù)據(jù)顯示,教育行業(yè)泄漏事件占比高達53%,其中以高校居多,占比65.36%。2021年3月,教育部發(fā)布《高等學校數(shù)字校園建設規(guī)范(試行)》,提出“數(shù)字校園相關系統(tǒng)產生的數(shù)據(jù)量大,且關系到師生的隱私,因此針對數(shù)字校園相關系統(tǒng)產生的數(shù)據(jù)應具備保護措施。”
基于《數(shù)據(jù)安全保護法》、《個人信息保護法》等相關法律外部監(jiān)管結合教育行業(yè)業(yè)務特點,如何合理、合規(guī)的分析和利用高校數(shù)據(jù),保障其安全就成為了各地高校當前亟需解決的問題。
作為一家深耕數(shù)據(jù)安全領域十余年的新一代信息安全技術企業(yè),明朝萬達安全專家認為高校數(shù)據(jù)安全風險主要體現(xiàn)在以下方面:
1、業(yè)務系統(tǒng)復雜,泄漏風險點多
由于高校信息化的快速發(fā)展,高校普遍都建立教務管理系統(tǒng)、財務系統(tǒng)、招生系統(tǒng)、圖書管理系統(tǒng)等業(yè)務系統(tǒng),系統(tǒng)中積聚了海量數(shù)據(jù),其中包括:師生身份信息(身份證號、學號、職工號等)、生物識別信息(指紋、人臉等)、一卡通信息、財務信息、科研信息等等,這些信息具有一定的價值性和某種潛在的關聯(lián)性。這些海量隱私信息一旦泄露,給高校和社會帶來難以挽回的不利影響。
2、系統(tǒng)外包普遍,第三方泄漏風險大
系統(tǒng)外包在各行各業(yè)都有,教育行業(yè)、高校也不例外,各式各樣的系統(tǒng)通過外包方式進行開發(fā)維護,各外包公司掌握著各類系統(tǒng)的應用程序源代碼、服務器權限、數(shù)據(jù)庫權限等核心信息。例如高校普遍使用招生就業(yè)、財務、資產數(shù)據(jù)等等都是不可外泄且不容篡改的數(shù)據(jù),作為核心數(shù)據(jù)載體,而第三方外包人員進入數(shù)據(jù)庫進行維護時是具備非常高的權限,一旦發(fā)生來自于應用用戶越權操作、程序開發(fā)人員和數(shù)據(jù)庫運維人員的數(shù)據(jù)泄露和篡改,都將造成巨大的損失,必定會給學校和社會造成重大影響。
3、云端數(shù)據(jù)安全防護不足
業(yè)務上云成為當前大數(shù)據(jù)時代發(fā)展的趨勢,云存儲、云平臺給各行各業(yè)帶來許多便捷,同時也滋生出諸多安全問題。高校目前基本都建立了自己的以數(shù)據(jù)存儲為主的私有云平臺,但是這種用于數(shù)據(jù)存儲的私有云平臺產品基本都是由各廠商提供,并非各高校私有技術,云服務商自身存在安全隱患及行為風險無法得到安全保證,同時,云服務商可能無意間將信息流出或者惡意出售高校數(shù)據(jù),造成數(shù)據(jù)泄露高校數(shù)據(jù)也隨之面臨風險。
明朝萬達安全專家認為,數(shù)據(jù)安全是高校信息安全體系的重要組成部分和核心目標之一。面對高校復雜的數(shù)據(jù)現(xiàn)狀,只通過單一技術或管理措施是遠遠不夠的,必須要通過整體的信息安全保障體系設計與實施方能實現(xiàn)。
基于對數(shù)據(jù)安全領域的深入研究,結合高校信息系統(tǒng)及數(shù)據(jù)使用的特點,依托自主研發(fā)的數(shù)據(jù)安全系列產品,明朝萬達在綜合考慮了高校數(shù)據(jù)管理和技術應用,提出了構建校園統(tǒng)一數(shù)據(jù)安全統(tǒng)一管理平臺,集合云、網、端一體化的數(shù)據(jù)安全管控體系及數(shù)據(jù)安全動態(tài)防御集中管控體系。
△ 架構圖
管理層面
1、確定安全負責人,落實安全
無論是數(shù)據(jù)安全保活動的開展還是法律義務的承擔,“責任人”的落地必不可少。根據(jù)法律的規(guī)定,在高校處理重要數(shù)據(jù)的情形下,還應當明確數(shù)據(jù)管理機構。除了應當設置專門安全管理機構之外,還應當對負責人和關鍵崗位人員進行安全背景審查。另外,對于業(yè)務系統(tǒng)由第三方企業(yè)平臺維護的。學校需和第三方企業(yè)、平臺簽訂保密協(xié)議,從數(shù)據(jù)保密義務和數(shù)據(jù)安全管理等層面進行操作規(guī)范約束。明確維護人員的責任和義務,防止數(shù)據(jù)泄露。
2、加強宣傳教育,培養(yǎng)數(shù)據(jù)安全思維
對各單位的數(shù)據(jù)管理員進行數(shù)據(jù)安全宣傳和培訓,宣傳國家數(shù)據(jù)安全政策,加強數(shù)據(jù)管理員數(shù)據(jù)安全意識,提高數(shù)據(jù)使用方的數(shù)據(jù)安全技術。同時可通過在高校師生中開展“網絡安全日”和“數(shù)據(jù)安全宣傳周”等宣傳活動,普及《數(shù)據(jù)安全法》及相關知識,提高高校數(shù)據(jù)安全保護意識和水平,形成高校共同維護數(shù)據(jù)安全和促進發(fā)展的良好環(huán)境。
技術層面
1、分類分級管理,建立健全完善的數(shù)據(jù)安全管理制度
高校內部的數(shù)據(jù)覆蓋面廣、數(shù)據(jù)量大、涉及用戶多,包括教職工信息、學生信息、教學信息、科研信息、財務信息等。為做好數(shù)據(jù)安全防護,應根據(jù)我國《網絡安全法》《數(shù)據(jù)安全法》等法律法規(guī),根據(jù)數(shù)據(jù)對于學校的重要程度,對數(shù)據(jù)進行安全級別劃分,使數(shù)據(jù)能夠得到適當?shù)陌踩雷o。建立數(shù)據(jù)分級策略需要考慮如下幾個方面的問題:
· 數(shù)據(jù)分類分級管理
數(shù)據(jù)在保密性、完整性、可用性方面的需求進行安全級別劃分,借鑒國外高校及國內其他行業(yè)的數(shù)據(jù)分級策略,考慮到可操作性,建議高校數(shù)據(jù)分為三個或四個安全級別,如可劃分為公開數(shù)據(jù)、一般業(yè)務數(shù)據(jù)、內部敏感數(shù)據(jù)、機密數(shù)據(jù)四個安全級別。
· 數(shù)據(jù)管理與操作的各個角色設置
根據(jù)數(shù)據(jù)的擁有者、管理者、使用者三個角色,明確各角色對于數(shù)據(jù)的安全責任和操作權限。各級別數(shù)據(jù)的防護措施等方面的內容。對于不同級別的數(shù)據(jù),還要明確其在數(shù)據(jù)訪問控制、存儲、傳輸、備份、審計等方面的要求。
2、評估敏感數(shù)據(jù)分布,制定數(shù)據(jù)安全防護策略
數(shù)據(jù)是信息系統(tǒng)的核心,對于數(shù)據(jù)的訪問可能來自于多個途徑,基于數(shù)據(jù)分類分級梳理高校數(shù)據(jù)資產狀況,明確數(shù)據(jù)由誰產生、如何存儲、如何傳輸、被哪些對象使用、如何使用、可能被哪些業(yè)務系統(tǒng)訪問、訪問路徑以及敏感數(shù)據(jù)分布情況,并按照數(shù)據(jù)采集、傳輸、存儲、處理、交換和銷毀整個生命周期的各個階段對數(shù)據(jù)安全風險進行分析評估。結合校園網絡、數(shù)據(jù)中心、業(yè)務系統(tǒng)、辦公終端等多個業(yè)務場景方面,制定相應數(shù)據(jù)安全防護策略。
· 終端層面防護
加強終端數(shù)據(jù)安全管理,通過終端監(jiān)控方式監(jiān)控來自多種網絡通道的外發(fā)數(shù)據(jù),幫助高校保護敏感數(shù)據(jù)通過Web、終端外設、打印、刻錄、IM通訊、遠程連接、FTP、文件共享等諸多渠道的敏感文件外發(fā)控制、審批,同時對終端上存儲的靜態(tài)文件實時監(jiān)控與周期性掃描,進而實現(xiàn)對通過各種方式泄露的敏感信息進行監(jiān)控,發(fā)現(xiàn)并記錄網絡外發(fā)的敏感數(shù)據(jù)泄露事件。
· 網絡層面防護
加強網絡數(shù)據(jù)防泄漏防護,對網絡中傳輸?shù)拿舾行畔⑦M行安全審計和管控,利用關鍵字、正則表達式、文件指紋、自然語言處理等規(guī)則,對高校外發(fā)數(shù)據(jù)進行解析與掃描,實時識別、監(jiān)控、保護高校敏感數(shù)據(jù)。對即將發(fā)生、正在發(fā)生的泄漏敏感數(shù)據(jù)行為按照預置策略及時阻斷并告警,防止高校敏感數(shù)據(jù)傳輸?shù)叫@外部,實現(xiàn)對高校外發(fā)敏感數(shù)據(jù)的可知、可見、可控。其次,針對校園與第三方公司合作開發(fā)新系統(tǒng)或新功能,可以使用脫敏數(shù)據(jù)產品,對數(shù)據(jù)中的證件號、聯(lián)系方式、地址等比較敏感的數(shù)據(jù)進行屏蔽、替換、隨機化、加密等處理,防止真實數(shù)據(jù)泄漏。此外,校內人員使用數(shù)據(jù)時,比如學校師生在項目、科研實驗中需要調用到學校的人員信息數(shù)據(jù),教務處或信息中心等部門需要授權相關的數(shù)據(jù)信息,可通過走校園內部審批流程進行申請,最終分管校長審批通過,才能使用數(shù)據(jù),保證數(shù)據(jù)在校園內部使用的合規(guī)性。
· 云端層面防護
增加云訪問安全代理,當高校將自己的服務部署在云端時,時常會遇到服務被非法入侵或數(shù)據(jù)被窺視的現(xiàn)象,使用CASB反向代理將服務真實地址隱藏,加上CASB內置的安全模塊,可有效保障高校的服務及數(shù)據(jù)的安全。當高校使用云存儲服務時,存儲的數(shù)據(jù)或文件被大數(shù)據(jù)引擎窺視分析,甚至被暴力入侵,此時CASB的正向代理服務內置的安全服務可對上云文件進行密級加密或DLP掃描,有效保障上云文件安全的同時確保高校敏感信息外泄。
3、建立統(tǒng)一安全集中監(jiān)控與審計平臺,實時監(jiān)管數(shù)據(jù)流動安全
大數(shù)據(jù)時代的快速發(fā)展,高校都不斷在擴大內部業(yè)務系統(tǒng)和建設自己對應的數(shù)據(jù)中臺,數(shù)據(jù)也在不斷地發(fā)生變化。為快速發(fā)現(xiàn)、處理數(shù)據(jù)安全風險,可以通過部署安全集中監(jiān)控與審計平臺管理數(shù)據(jù)資產狀況,以數(shù)據(jù)視角對整個數(shù)據(jù)生命周期過程進行全方位的實時監(jiān)視,記錄數(shù)據(jù)活動和用戶行為,及時發(fā)現(xiàn)數(shù)據(jù)存在的風險、威脅、漏洞以及數(shù)據(jù)的異常訪問、用戶的異常操作等事件,并生成數(shù)據(jù)合規(guī)報告,保證入侵、破壞、泄露、篡改敏感數(shù)據(jù)的行為事前能被發(fā)現(xiàn),事中能被攔截和監(jiān)查,事后能被審計追溯,確保數(shù)據(jù)全生命周期的安全。
