美創(chuàng)科技助力高校數(shù)據(jù)安全合規(guī)建設

  • 人閱讀
  • 2023-08-18 13:48:55

  • 來源:西盟科技資訊

  • 相關關鍵詞

今年3月,株洲某軟件學校網(wǎng)站存在短文件名泄露漏洞;網(wǎng)站系統(tǒng)中存在大量敏感信息,未對前述數(shù)據(jù)采取應有的技術保護措施,未履行數(shù)據(jù)安全保護義務,株洲市公安局荷塘分局根據(jù)《數(shù)據(jù)安全法》給予該學校警告,并責令限期改正。

同年7月,國內(nèi)知名高校畢業(yè)生馬某,在讀碩期間通過非法技術手段,盜取個人信息包含2014-2020級本碩博所有學生在內(nèi)的個人信息,制作成顏值打分網(wǎng)站供任何人隨意瀏覽,被海淀公安分局依法刑事拘留。

2020年,鄭州某學校兩萬學生個人信息被泄露,以表格的形式在微信、QQ等社交平臺上流傳。新鄭市公安局依據(jù)《網(wǎng)絡安全法》對該校及負有領導責任的一名副校長和直接責任人進行行政處罰。

01

數(shù)據(jù)安全監(jiān)管常態(tài)化

高校需“合規(guī)”而行

在《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》“三駕馬車”相繼落地,為數(shù)據(jù)安全管理和體系建設奠定法治基石的宏觀背景之下,我國公安網(wǎng)信等監(jiān)管部門也在不斷加強數(shù)據(jù)安全相關執(zhí)法力度和頻度。

根據(jù)清華大學智能法治研究院6月17日發(fā)布報告顯示,公開發(fā)布依據(jù)《數(shù)據(jù)安全法》作出行政處罰決定典型案例有34起,2021年數(shù)據(jù)安全領域的行政執(zhí)法案例共4起、2022年案例共7起,而僅2023年1月至6月依據(jù)《數(shù)據(jù)安全法》作出行政處罰決定案例就達23起。

今年3月,浙江某科技有限公司涉數(shù)據(jù)安全違法,當?shù)鼐揭罁?jù)數(shù)據(jù)安全法處以100萬罰款。

而此次南昌高校80萬罰款,則成為2023年公開報道的幾起數(shù)據(jù)安全處罰事件中,為數(shù)不多的高額罰款案例!

近年來,高校因數(shù)據(jù)安全防護不力,而導致大量數(shù)據(jù)泄露或被非法使用的情況屢屢發(fā)生,此前徐玉玉事件導致的悲劇,以及多起信息泄露事件,引發(fā)社會廣泛關注。

數(shù)據(jù)安全相關的立法、執(zhí)法行動正日益交織成了一張細密的大網(wǎng),高校作為我國高層次人才培養(yǎng)與科學研究的重要基地,掌握著大量個人信息、科研數(shù)據(jù),更需全面提升數(shù)據(jù)安全防護意識,層層壓實責任,切實履行數(shù)據(jù)安全保護義務,建立健全全流程數(shù)據(jù)安全管理制度,采取相應的技術措施和其他必要措施保障數(shù)據(jù)安全。

02

進行數(shù)據(jù)安全合規(guī)建設

六個問題成主要挑戰(zhàn)

目前大多數(shù)高校已完成信息管理系統(tǒng)和公共數(shù)據(jù)平臺建設,并圍繞教育數(shù)據(jù)的共享、挖掘和利用開展多維度的創(chuàng)新工作,但傳統(tǒng)的信息安全建設無法覆蓋現(xiàn)有的數(shù)據(jù)安全問題,新問題、新風險交織:

數(shù)字化轉(zhuǎn)型造成數(shù)據(jù)敏感級別不斷提升

多年信息化、數(shù)字化建設,目前高校數(shù)據(jù)海量增長。高校師生個人和家庭數(shù)據(jù)真實性強且不可逆性、數(shù)據(jù)量級不斷增大;而重點實驗室、科研項目等核心數(shù)據(jù),財務數(shù)據(jù)、學生考評等數(shù)據(jù),因其高敏感高價值,成為竊取/篡改重點目標。

數(shù)據(jù)安全管理制度體系不夠完善

高校數(shù)據(jù)信息涉及部門眾多,涉及較廣,普遍存在鏈條較長,數(shù)據(jù)安全管理組織架構(gòu)不健全,數(shù)據(jù)安全責任人不明確的普遍存在,導致數(shù)據(jù)安全管理制度缺失,數(shù)據(jù)安全操作流程和規(guī)范沒有明確要求,數(shù)據(jù)安全考核和效果評價沒標準。

工作人員缺乏數(shù)據(jù)安全意識

數(shù)據(jù)安全在高校傳統(tǒng)認識中,仍是網(wǎng)絡信息安全的一部分,對數(shù)據(jù)安全工作缺乏重點關注,對安全法律法規(guī)不了解,數(shù)據(jù)安全風險意識低下,數(shù)據(jù)風險防范能力不足,存在敏感數(shù)據(jù)隨便私存和分發(fā)等問題。

數(shù)據(jù)安全精細化管控措施普遍缺位

高校的業(yè)務系統(tǒng)眾多,安全歸口管理部門不一,這導致敏感數(shù)據(jù)散落各處,數(shù)據(jù)訪問角色復雜,系統(tǒng)漏洞百出;而由于大多高校未開展數(shù)據(jù)分類分級,不清晰數(shù)據(jù)流向,難摸清數(shù)據(jù)底賬,導致無法差異化、精細化落實安全管控措施。

系統(tǒng)運維特權(quán)賬號缺少管控措施

高校信息中心因人員不足的問題,會引入第三方或兼職學生進行響相關的運維工作,并賦予訪問權(quán)限,這存在嚴重安全隱患;運維人員極易受黑市誘惑、好奇心驅(qū)動、人情請托等因素,利用便利條件達到竊取數(shù)據(jù)、篡改數(shù)據(jù)。

API數(shù)據(jù)共享安全風險難感知

高校業(yè)務系統(tǒng)數(shù)據(jù)抽取和交換,多是通過API接口進行數(shù)據(jù)讀取,但由于缺少相應措施,對敏感數(shù)據(jù)流向和數(shù)據(jù)安全風險進行監(jiān)控、管理和審計溯源,高校難以感知數(shù)據(jù)濫用、數(shù)據(jù)竊取等風險。

03

守好數(shù)據(jù)安全合規(guī)底線

制度、技術、運營是關鍵

針對高校數(shù)據(jù)安全現(xiàn)狀和主要問題,如何做好數(shù)據(jù)安全建設?

美創(chuàng)科技認為需要從制度、技術和運營著手,以數(shù)據(jù)分類分級為起點,以管理制度為依據(jù),在具體建設過程和環(huán)節(jié)中,充分利用和發(fā)揮好各種關鍵技術的作用,分段實施,體系規(guī)劃,逐步構(gòu)建覆蓋數(shù)據(jù)全流程、全鏈路的數(shù)據(jù)安全防護技術體系,最后構(gòu)建數(shù)據(jù)安全運營體系,實現(xiàn)數(shù)據(jù)安全的持續(xù)優(yōu)化和提升。

分類分級是建設基礎

《網(wǎng)絡安全法》規(guī)定網(wǎng)絡運營者應當采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施保護網(wǎng)絡安全?!稊?shù)據(jù)安全法》則進一步規(guī)定,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,對數(shù)據(jù)實行分類分級保護。

高校應結(jié)合法律法規(guī)、部門規(guī)章、行業(yè)標準(如:《教育部等七部門關于加強教育系統(tǒng)數(shù)據(jù)安全的通知》、《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認定工作指南(試行)的通知》等),制定數(shù)據(jù)分類分級標準,梳理出高校信息系統(tǒng)重要的數(shù)據(jù)目錄,明確個人隱私和敏感數(shù)據(jù)保護范圍,達到分類分級保護的效果。其中達到秘密級的數(shù)據(jù)應當遵循《保守國家秘密法》的規(guī)定。

2.png

管理制度是建設依據(jù)

《教育部等七部門關于加強教育系統(tǒng)數(shù)據(jù)安全的通知》中明確,應健全覆蓋數(shù)據(jù)收集、傳輸存儲、使用處理、開放共享等全生命周期的數(shù)據(jù)安全保障制度。

對此,高??蓮臎Q策層、管理層、執(zhí)行層、配合層、監(jiān)督層5個層面進行組織建設,明確數(shù)據(jù)安全責任人;在制定數(shù)據(jù)安全管理與隱私保護相關辦法中,明確數(shù)據(jù)收集、存儲、處理、共享等關鍵環(huán)節(jié)的操作規(guī)范、管理部門職責分工、應急管理與安全檢查機制,從而充分發(fā)揮各部門和各類人員在數(shù)據(jù)安全保障工作中的作用,共同遵守和執(zhí)行安全規(guī)章制度,保障數(shù)據(jù)安全策略的貫徹落實。

數(shù)據(jù)安全需全鏈路建設

根據(jù)《數(shù)據(jù)安全法》的規(guī)定,數(shù)據(jù)安全是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。

因此,在數(shù)據(jù)安全建設中,高校需梳理數(shù)據(jù)應用重要業(yè)務場景,評估其數(shù)據(jù)安全現(xiàn)狀,在數(shù)據(jù)分類分級的基礎上,分段實施、體系規(guī)劃、面向數(shù)據(jù)訪問域、存儲域、流動域,落實覆蓋數(shù)據(jù)全鏈路的數(shù)據(jù)安全技術防護體系。

3.png

在數(shù)據(jù)存儲域:對師生敏感數(shù)據(jù)或重要數(shù)據(jù)進行加密存儲,防止黑客拖庫、磁盤丟失、備份文件被盜等原因造成敏感信息泄漏;對重要啞終端、數(shù)據(jù)庫服務器、應用服務器、文件服務器等重要系統(tǒng)部署勒索軟件防范勒索攻擊;同時借用數(shù)據(jù)災備保障業(yè)務連續(xù)。

在數(shù)據(jù)訪問域:通過數(shù)據(jù)庫防水壩對運維人員的權(quán)限進行細粒度的操作權(quán)限控制,實現(xiàn)DBA權(quán)限分離控制、防止越權(quán),實現(xiàn)DML/DDL操作指令控制,防止誤操作;通過數(shù)據(jù)庫防火墻防范黑客通過SQL注入漏洞和數(shù)據(jù)庫漏洞進行網(wǎng)絡攻擊和數(shù)據(jù)竊取;采用DLP數(shù)據(jù)防泄漏系統(tǒng)對重要文件的處理、傳輸進行管控;通過數(shù)據(jù)庫審計實現(xiàn)數(shù)據(jù)庫訪問的各類操作行為的監(jiān)控和記錄、審計溯源。

在數(shù)據(jù)流動域:通過靜態(tài)脫敏、水印溯源、API監(jiān)測與訪問控制等能力,加強數(shù)據(jù)流動場景下的安全保障和風險監(jiān)測,實現(xiàn)數(shù)據(jù)可控流動。

安全是一個不斷變化的過程。為了應對變化,高校應對數(shù)據(jù)安全進行持續(xù)優(yōu)化改進與運營,以看見驅(qū)動安全,從全局視角提升對數(shù)據(jù)安全威脅的發(fā)現(xiàn)識別、理解、分析和響應能力,實現(xiàn)資產(chǎn)全域可管、風險全域可視、策略全域聯(lián)動,充分盤活整體數(shù)據(jù)安全防護能力,最終形成一體化的數(shù)據(jù)安全管理、安全監(jiān)控和安全運營體系,實現(xiàn)數(shù)據(jù)安全統(tǒng)一運營。

4.png

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )