案例|美創(chuàng)科技“三步”推進數(shù)據(jù)安全體系化升級,守護教育數(shù)字化美好發(fā)展

  • 人閱讀
  • 2023-12-12 15:15:06

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

在教育數(shù)字化戰(zhàn)略行動開展下,教育數(shù)據(jù)的潛在價值不斷被重視,國家對教育行業(yè)數(shù)據(jù)安全提出了更明確要求,遵守法律法規(guī)要求,建立全流程數(shù)據(jù)安全管理制度,采取技術(shù)措施保障數(shù)據(jù)安全,履行好數(shù)據(jù)安全保護義務(wù),成為與教育數(shù)字化發(fā)展同步的主線。

位于一線數(shù)字經(jīng)濟強市,某教育部門負責(zé)全市教育信息化工作規(guī)劃、指導(dǎo)工作。近年來,部門貫徹執(zhí)行黨和國家的教育方針、政策,持續(xù)助力教育治理體系和治理能力現(xiàn)代化,“互聯(lián)網(wǎng)+教育”、“教育云”等數(shù)字化成果相繼落地。隨著教育大數(shù)據(jù)匯聚和共享開放水平不斷提升,教育系統(tǒng)數(shù)據(jù)的重要性越來越高,新風(fēng)險新挑戰(zhàn)更加復(fù)雜,在國家對數(shù)據(jù)安全的重視度持續(xù)加強的背景下,進一步實現(xiàn)數(shù)據(jù)安全升級提上了議程。

2022年9月,教育部印發(fā)《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認定工作指南(試行)》,要求教育各級部門按指南要求梳理部門數(shù)據(jù)資產(chǎn),并識別、上報核心重要數(shù)據(jù)清單。

此外,省教育廳辦公室轉(zhuǎn)發(fā)教育部等七部門《關(guān)于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》,要求:加強數(shù)據(jù)安全管理,明確安全責(zé)任,開展等級保護。其次完善數(shù)據(jù)安全防護措施,定期開展風(fēng)險評估與數(shù)據(jù)安全評估,嚴格訪問控制策略。同時健全數(shù)據(jù)安全監(jiān)測預(yù)警機制,建立數(shù)據(jù)安全監(jiān)測機制。進一步完善數(shù)據(jù)安全應(yīng)急處置機制,制訂數(shù)據(jù)安全應(yīng)急預(yù)案,定期開展數(shù)據(jù)安全應(yīng)急演練,提高應(yīng)對數(shù)據(jù)安全事件的能力。

一系列教育數(shù)據(jù)安全保護的政策法規(guī),為數(shù)據(jù)安全建設(shè)提供了重要指導(dǎo),在此背景下,該教育部門選擇美創(chuàng)科技,根據(jù)文件精神要求,進行數(shù)據(jù)安全體系化升級體系化建設(shè)。通過對重要系統(tǒng)數(shù)據(jù)資產(chǎn)進行梳理、風(fēng)險評估,深入排查薄弱環(huán)節(jié)和風(fēng)險隱患,進而提升第三方運維安全管控,API數(shù)據(jù)流轉(zhuǎn)監(jiān)測預(yù)警能力,實現(xiàn)數(shù)據(jù)安全運營常態(tài)化落地。

第一步

開展安全風(fēng)險評估 健全數(shù)據(jù)安全管理制度

加強數(shù)據(jù)安全建設(shè),需要明確資產(chǎn)風(fēng)險有哪些,在哪里。美創(chuàng)科技以滿足業(yè)務(wù)開展需要、落實細化合規(guī)監(jiān)管要求為目標,結(jié)合部門實際情況,開展數(shù)據(jù)安全風(fēng)險評估工作,通過對數(shù)據(jù)資產(chǎn)情況、數(shù)據(jù)處理活動的梳理分析,排查突出問題和薄弱環(huán)節(jié),形成《數(shù)據(jù)安全風(fēng)險評估報告》,為后續(xù)數(shù)據(jù)安全建設(shè)提升科學(xué)有序地開展提供充分依據(jù)。

同時,對標數(shù)據(jù)安全建設(shè)目標及法律法規(guī)合規(guī)要求,美創(chuàng)咨詢服務(wù)團隊助力該部門補充完善數(shù)據(jù)安全配套管理制度,包括《數(shù)據(jù)安全管理制度》、《數(shù)據(jù)安全應(yīng)急演練預(yù)案》等,以更好地指導(dǎo)數(shù)據(jù)安全管理工作的具體落實。

第二步

實施分類分級,厘清重點數(shù)據(jù) 工具輔助實現(xiàn)分類分級常態(tài)化

遵循《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認定工作指南(試行)》等標準規(guī)范,通過暗數(shù)據(jù)發(fā)現(xiàn)和分類分級系統(tǒng),對核心教育數(shù)據(jù)倉進行敏感數(shù)據(jù)探查和智能化分類分級作業(yè),最終以“智能識別+人工審核修改”的方式實現(xiàn)數(shù)據(jù)分類分級標簽體系閉環(huán),實現(xiàn)分類分級常態(tài)化運營,同時暗數(shù)據(jù)發(fā)現(xiàn)和分類分級系統(tǒng)多維呈現(xiàn)數(shù)據(jù)資產(chǎn)目錄與分類分級結(jié)果報告,幫助用戶更全面的感知數(shù)據(jù)價值和安全現(xiàn)狀。

圖片

暗數(shù)據(jù)發(fā)現(xiàn)和分類分級系統(tǒng)

第三步

完善數(shù)據(jù)安全技術(shù)防護措施 構(gòu)建常態(tài)化安全運營機制

結(jié)合數(shù)據(jù)安全風(fēng)險評估以及分類分級成果,美創(chuàng)科技助力該部門現(xiàn)有的安全能力進行完善提高,同時重點加強數(shù)據(jù)運營能力的建設(shè)。

??針對第三方運維管控、API數(shù)據(jù)流動風(fēng)險等薄弱場景,完善數(shù)據(jù)安全防護措施

部署數(shù)據(jù)庫防水壩,防范敏感數(shù)據(jù)危險操作,限制特權(quán)賬戶隨意訪問敏感數(shù)據(jù),利用身份管理、授權(quán)等機制對運維人員進行合規(guī)管理,協(xié)助運維人員實現(xiàn)工單管理和免密登陸ce,實現(xiàn)敏感數(shù)據(jù)資產(chǎn)可管、用戶訪問行為可控、返回結(jié)果可脫敏的數(shù)據(jù)庫運維安全管控。

圖片

數(shù)據(jù)庫防水壩系統(tǒng)

部署API安全監(jiān)測與訪問控制系統(tǒng),基于API資產(chǎn)治理、身份治理、流量管控、訪問鑒權(quán)、機器學(xué)習(xí)等多種核心技術(shù),梳理龐雜的應(yīng)用及接口,監(jiān)測敏感數(shù)據(jù)共享接口安全風(fēng)險,識別接口調(diào)用的異常用戶行為,加強數(shù)據(jù)使用側(cè)以及數(shù)據(jù)流動時的安全常態(tài)化監(jiān)測和智能風(fēng)險預(yù)警,提升數(shù)據(jù)流動時的安全防護能力。

圖片

API安全監(jiān)測與訪問控制系統(tǒng)

?? 通過數(shù)據(jù)安全運營服務(wù),形成常態(tài)化數(shù)據(jù)安全運營保障機制,推動數(shù)據(jù)安全體系持續(xù)完善

通過“自動化工具配合人工檢查”方式,定期對該部門的核心訪問賬號體系審查,及時發(fā)現(xiàn)、確認、排查風(fēng)險;開展針對性數(shù)據(jù)安全培訓(xùn),覆蓋數(shù)據(jù)安全法規(guī)宣貫、數(shù)據(jù)安全知識分享、數(shù)據(jù)安全制度普及等,提高組織和個人對數(shù)據(jù)安全的認知;定期開展設(shè)備巡檢和維護;定期組織開展各類數(shù)據(jù)安全事件處理場景下的模擬預(yù)演,迭代提升組織、檢測、研判、響應(yīng)和處置能力。

在科技與教育領(lǐng)域不斷拓展融合下,大數(shù)據(jù)、人工智能等技術(shù)正不斷更新教育形式,推進智慧教育縱深發(fā)展,數(shù)據(jù)作為核心要素,應(yīng)用范圍的不斷擴大,作用的不斷凸顯,構(gòu)建高質(zhì)量的數(shù)據(jù)安全防線是教育數(shù)字化進程的重要基礎(chǔ)。

多年來,美創(chuàng)科技深耕教育行業(yè)與數(shù)據(jù)安全領(lǐng)域,憑借領(lǐng)先的數(shù)據(jù)安全、運行安全產(chǎn)品體系以及數(shù)據(jù)安全運維服務(wù),形成數(shù)據(jù)分類分級、數(shù)據(jù)加密安全存儲、數(shù)據(jù)開發(fā)靜態(tài)脫敏、前端業(yè)務(wù)訪問動態(tài)脫敏、數(shù)據(jù)容災(zāi)備份、數(shù)據(jù)庫智能運維等多場景數(shù)據(jù)安全解決方案,為全國多所知名高校、職業(yè)院校和市縣區(qū)教育局、電教館提供產(chǎn)品與技術(shù)服務(wù)。

圖片

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )