美創(chuàng)科技如何助力高校數(shù)據(jù)安全體系化升級，標桿實踐看這里！

在高校如火如荼的數(shù)字化轉(zhuǎn)型建設(shè)中，平衡合規(guī)與發(fā)展的天平，強化數(shù)據(jù)安全保障，是不可忽視的重要工作。

關(guān)于如何有效開展，美創(chuàng)與多所國內(nèi)一流高校深入實踐，本案例作為美創(chuàng)護航高校數(shù)據(jù)安全的又一典型項目，覆蓋了組織建設(shè)、制度流程、技術(shù)工具和人員能力等各個維度，通過風險評估、數(shù)據(jù)流向分析、分類分級、安全能力搭建及運營服務(wù)等，實現(xiàn)一體化數(shù)據(jù)安全保障落地，值得參考。

浙江中醫(yī)藥大學(簡稱：浙中醫(yī)大)是浙江省重點建設(shè)高校、高水平大學建設(shè)高校，是浙江省人民政府、國家中醫(yī)藥管理局、教育部共建高校。在2023軟科世界大學學術(shù)排名1000強中，浙中醫(yī)大躋身779位(中醫(yī)藥院校第二位)，3個學科進入ESI全球排名前1%。

近年來，浙中醫(yī)大積極推進數(shù)字技術(shù)與教育管理、教育教學科研的深度融合，已搭建完成數(shù)據(jù)中臺，實現(xiàn)校域核心業(yè)務(wù)數(shù)據(jù)動態(tài)匯聚、治理、授權(quán)開放。但隨著各類業(yè)務(wù)數(shù)據(jù)互聯(lián)互通，數(shù)據(jù)安全防護壓力隨之增加。

同時，教育行業(yè)合規(guī)要求也在持續(xù)加碼，尤其自《數(shù)據(jù)安全法》和《個人信息保護法》頒布實施以來，國家與教育部及相關(guān)部門下發(fā)多項推進教育領(lǐng)域數(shù)據(jù)安全工作的政策文件，如《教育部機關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》、《關(guān)于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》、《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認定工作指南(試行)》等，對數(shù)據(jù)安全治理與建設(shè)提出更明確的合規(guī)性要求。

為此，在統(tǒng)籌發(fā)展與安全的頂層規(guī)劃下，實現(xiàn)數(shù)據(jù)利用與安全防護一體兩翼，平衡發(fā)展的目標。浙中醫(yī)大攜手美創(chuàng)，開展以數(shù)據(jù)中臺為基礎(chǔ)的數(shù)據(jù)安全風險評估工作，并以此為切入點，通過識別目前風險現(xiàn)狀，進而建立健全數(shù)據(jù)安全防護體系，具體包括：

基于以上需求，美創(chuàng)結(jié)合自身完備的數(shù)據(jù)安全“咨詢+產(chǎn)品+運營服務(wù)”，一體謀劃、分三步開展，助力浙中醫(yī)大數(shù)據(jù)安全體系化升級落地：

STEP 1

第一步

識別風險現(xiàn)狀，完善管理制度

結(jié)合法律法規(guī)及教育行業(yè)的相關(guān)規(guī)定，美創(chuàng)數(shù)據(jù)安全咨詢服務(wù)團隊對浙中醫(yī)大數(shù)據(jù)安全現(xiàn)狀進行綜合摸底，開展數(shù)據(jù)安全風險評估和分析，包括合規(guī)安全、組織建設(shè)、制度建設(shè)、技術(shù)工具等模塊，并完成輸出以下內(nèi)容：

數(shù)據(jù)業(yè)務(wù)流向圖

數(shù)據(jù)安全風險評估報告

數(shù)據(jù)安全能力差距評估結(jié)果

數(shù)據(jù)安全管理制度

在組織建設(shè)方面，協(xié)助輸出完成數(shù)據(jù)安全管理辦法，明確數(shù)據(jù)安全管理層、執(zhí)行層和監(jiān)督層，建立安全保障小組或責任人機制。

在制度建設(shè)方面，結(jié)合浙中醫(yī)大已具備的信息安全保障體系和制度，新增《浙江中醫(yī)藥大學數(shù)據(jù)安全管理規(guī)范》、《浙江中醫(yī)藥大學數(shù)據(jù)合作方管理規(guī)范》和《浙江中醫(yī)藥大學數(shù)據(jù)安全演練方案》等。

STEP 2

第二步

厘清數(shù)據(jù)底賬，實施分類分級

結(jié)合大學人員情況，建立分類分級工作組，制定內(nèi)部工作匯報流程。通過對校內(nèi)數(shù)據(jù)資產(chǎn)進行盤點，劃定本次分類分級工作范圍和工期計劃。重點參考《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認定工作指南(試行)》、《教育系統(tǒng)數(shù)據(jù)分類分級指南(草稿)》、內(nèi)部《數(shù)據(jù)目錄白皮書》等，制定分類分級標準，最終形成分類分級大綱。

實施過程，由美創(chuàng)數(shù)據(jù)安全分類分級平臺支撐，實現(xiàn)數(shù)據(jù)自動發(fā)現(xiàn)識別，并根據(jù)分類分級策略智能化處理分類分級標簽，可視化呈現(xiàn)分類分級結(jié)果。

數(shù)據(jù)分類分級大綱

數(shù)據(jù)分類分級報告

STEP 3

第三步

安全能力建設(shè)，全面保障提升

在安全技術(shù)建設(shè)方面，通過對數(shù)據(jù)中臺系統(tǒng)安全基線檢查、漏洞掃描、滲透測試等方式，發(fā)現(xiàn)數(shù)據(jù)處理環(huán)境中存在的安全漏洞，進行漏洞整改;并以人、行為、數(shù)據(jù)為中心，錨定重要場景，如數(shù)據(jù)治理、數(shù)據(jù)訪問、數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)開發(fā)場景等，落實數(shù)據(jù)全鏈路的數(shù)據(jù)安全技術(shù)防護體系，包括：

“人”的管控

通過部署數(shù)據(jù)庫防水壩進行權(quán)限細化和訪問處理數(shù)據(jù)規(guī)則細化。

·權(quán)限細化，根據(jù)運維人員身份角色不同，對其可執(zhí)行的操作進行管控。

·規(guī)則細化，根據(jù)人員不同，配置相應(yīng)的數(shù)據(jù)庫操作權(quán)限，高級權(quán)限對數(shù)據(jù)庫可進行所有操作和所有數(shù)據(jù)的查詢，中級權(quán)限能執(zhí)行非刪除操作和高級敏感數(shù)據(jù)的權(quán)限，低級權(quán)限僅能查詢非核心數(shù)據(jù)庫數(shù)據(jù)。

數(shù)據(jù)庫防水壩

“數(shù)據(jù)”管控

通過部署數(shù)據(jù)脫敏系統(tǒng)，對敏感數(shù)據(jù)匿名化處理，在不破壞數(shù)據(jù)使用價值的前提下，防止開發(fā)測試、數(shù)據(jù)共享、分析挖掘等場景中發(fā)生數(shù)據(jù)泄漏風險。

數(shù)據(jù)脫敏系統(tǒng)

通過部署存儲加密，對個人隱私數(shù)據(jù)執(zhí)行加密存儲，防止明文存儲引起的數(shù)據(jù)泄露問題。

利用數(shù)據(jù)水印系統(tǒng)，對敏感數(shù)據(jù)按需進行水印處理，確保在數(shù)據(jù)發(fā)生泄漏的情況下進行溯源。

數(shù)據(jù)水印溯源

“行為”管控

通過部署API安全監(jiān)測與訪問控制系統(tǒng)，從資產(chǎn)脆弱性、資產(chǎn)暴露面、賬戶共用、異常訪問等維度，智能監(jiān)測數(shù)據(jù)中臺API接口調(diào)用過程存在的各類風險，并進行告警阻斷、快速處置;通過數(shù)據(jù)庫防水壩-高危行為管控進行未授權(quán)用戶的操作告警阻斷。

API安全監(jiān)測與訪問控制系統(tǒng)

“一張表貫通”

場景落地

以教職工基本信息表為例，如下圖所示，通過在數(shù)據(jù)源系統(tǒng)【人事系統(tǒng)】，數(shù)據(jù)開放平臺【數(shù)據(jù)中臺】，數(shù)據(jù)使用方【E搜系統(tǒng)】進行加密、脫敏、API監(jiān)測安全能力建設(shè)，實現(xiàn)整體流轉(zhuǎn)鏈路表的數(shù)據(jù)安全防護落地。

通過對人事系統(tǒng)中的教職工基本信息表進行分類分級，按照判斷數(shù)據(jù)敏感等級為3級，基于《浙江中醫(yī)藥大學數(shù)據(jù)分類分級規(guī)范》3級要求，對教職工基本信息表進行數(shù)據(jù)訪問行為管理以及數(shù)據(jù)導出行為管控，同時對該教職工基本信息表在數(shù)據(jù)中臺API接口調(diào)用行為進行實時監(jiān)測風險和告警處置。

建設(shè)成果

1.通過完善數(shù)據(jù)安全管理制度，建立數(shù)據(jù)安全標準體系，有效規(guī)范了數(shù)據(jù)處理活動。

2.基于數(shù)據(jù)應(yīng)用和共享建立數(shù)據(jù)資源目錄的動態(tài)更新機制，全面掌握數(shù)據(jù)使用情況，按照浙中醫(yī)大數(shù)據(jù)目錄白皮書和相關(guān)標準指南，開展數(shù)據(jù)分類分級工作，落實數(shù)據(jù)分類管理分級保護。

3.按照“一數(shù)一源”的原則，根據(jù)實現(xiàn)處理目的最小范圍，規(guī)范數(shù)據(jù)收集使用范圍，優(yōu)先通過共享獲取數(shù)據(jù)，避免重復處理。

4.全面加強數(shù)據(jù)安全保障，建立覆蓋數(shù)據(jù)處理活動的全方位安全體系，實現(xiàn)廣大師生數(shù)據(jù)，特別是個人敏感隱私信息的重點保護。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）