首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

高校數(shù)據(jù)泄露事件頻發(fā)！教育行業(yè)數(shù)據(jù)安全建設(shè)究竟怎么做？

閱讀量：次 文章來源：安恒信息

南昌某高校數(shù)據(jù)泄露事件

近期，南昌公安網(wǎng)安部門工作發(fā)現(xiàn)，某高校存儲教職工信息、學(xué)生信息、繳費信息等3000余萬條信息的數(shù)據(jù)庫被黑客非法入侵，其中3萬余條教職工、學(xué)生個人敏感信息數(shù)據(jù)被非法兜售。南昌公安網(wǎng)安部門立即開展一案雙查，成功抓獲犯罪嫌疑人3名。

南昌公安網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條的規(guī)定，對該學(xué)校作出責(zé)令改正、警告并處80萬元人民幣罰款的處罰，對主要責(zé)任人作出人民幣5萬元罰款的處罰。

#?面臨問題·三大困難?#

近年來，高校敏感數(shù)據(jù)泄露事件頻頻發(fā)生，事件的背后折射了高校在數(shù)據(jù)安全上面臨的諸多問題。高校數(shù)據(jù)價值高、變現(xiàn)快的特點導(dǎo)致其不斷遭受內(nèi)外部不法分子覬覦，而許多學(xué)校的數(shù)據(jù)安全建設(shè)仍面臨三大困難：

1、管理體系不清晰，數(shù)據(jù)安全難落地

高校數(shù)據(jù)安全管理制度缺乏、數(shù)據(jù)安全組織結(jié)構(gòu)不清晰，數(shù)據(jù)安全責(zé)任未能明確到具體部門、人員，導(dǎo)致數(shù)據(jù)安全工作落地缺少組織與制度保障。

2、防控手段不足，數(shù)據(jù)安全攻擊難防護

目前高校在數(shù)據(jù)安全防護中，大部分仍依賴原有的網(wǎng)絡(luò)安全設(shè)備，缺少針對數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)交換、數(shù)據(jù)存儲等環(huán)節(jié)中專用的數(shù)據(jù)安全手段，數(shù)據(jù)安全風(fēng)險看不清，防不住。

3、數(shù)據(jù)安全意識薄弱，數(shù)據(jù)外泄風(fēng)險難控制

高校內(nèi)部可接觸敏感數(shù)據(jù)的人員類型非常復(fù)雜，既有學(xué)校內(nèi)部人員，也有外部的供應(yīng)商人員，對數(shù)據(jù)安全法律法規(guī)、風(fēng)險意識理解參差不一，隨意訪問、私發(fā)敏感數(shù)據(jù)，導(dǎo)致數(shù)據(jù)外泄，面臨較大的“人的風(fēng)險”。

#?建設(shè)思路·三位一體?#

在愈發(fā)猖獗的黑客攻擊下，高校的數(shù)據(jù)安全建設(shè)正面臨“內(nèi)憂外患”的復(fù)雜局面，在政策層面，2021年教育部等七部門印發(fā)《關(guān)于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》，讓數(shù)據(jù)安全建設(shè)有章可循?，F(xiàn)如今，如何加強敏感數(shù)據(jù)保護，彌補差距，已成為每個高校重點關(guān)注的工作。

針對高校數(shù)據(jù)安全現(xiàn)狀與安全需求，如何加強高校數(shù)據(jù)安全建設(shè)，提升防入侵、防泄漏、防濫用、防竊取能力？安恒信息提出了數(shù)據(jù)安全的建設(shè)思路：“管理+技術(shù)+運營”三位一體，管理體系為基礎(chǔ)，技術(shù)體系為支撐，構(gòu)建常態(tài)化數(shù)據(jù)安全運營體系，實現(xiàn)有人管，有技術(shù)，有運營的全方位數(shù)據(jù)安全保障。

一、有人管

建設(shè)數(shù)據(jù)安全管理體系

數(shù)據(jù)安全責(zé)任到人

學(xué)校應(yīng)成立專項數(shù)據(jù)安全組織機構(gòu)，健全數(shù)據(jù)安全組織體系，數(shù)據(jù)安全管理責(zé)任制切實落實各部門，明確政策、執(zhí)行和監(jiān)督各個版塊的長期責(zé)任人，以推進數(shù)據(jù)安全工作在校內(nèi)跨部門協(xié)同配合，最終確保數(shù)據(jù)安全工作能夠得到長期有效的執(zhí)行。

數(shù)據(jù)安全管理規(guī)章制度示例

二、有技術(shù)

完善數(shù)據(jù)安全技術(shù)體系

為數(shù)據(jù)防護提供有效支撐

高校數(shù)據(jù)安全實踐面臨問題多、影響大、落地難等現(xiàn)狀，安恒信息認(rèn)為高校應(yīng)該分階段逐步提升數(shù)據(jù)安全能力：

第一步、分類分級：摸清數(shù)據(jù)資產(chǎn)，制定數(shù)據(jù)安全分類分級邏輯框架，開展數(shù)據(jù)安全分類分級工作，明確敏感數(shù)據(jù)保護范圍，為后續(xù)的數(shù)據(jù)管控埋下基礎(chǔ)；

第二步、建設(shè)技術(shù)能力：結(jié)合數(shù)據(jù)重要性與所處業(yè)務(wù)場景，制定數(shù)據(jù)安全管控手段，有效控制數(shù)據(jù)安全風(fēng)險。

數(shù)據(jù)分類分級是分級管控的基礎(chǔ)

學(xué)校有多少數(shù)據(jù)，數(shù)據(jù)如何分布？什么是重要數(shù)據(jù)，重要數(shù)據(jù)如何管控？這些問題都需要通過開展數(shù)據(jù)分類分級工作，才能夠更清晰的解答。數(shù)據(jù)分類分級可以幫助學(xué)?？辞迦?shù)據(jù)的概況，是數(shù)據(jù)按重要性分級管控的基礎(chǔ)。

安恒信息認(rèn)為在數(shù)據(jù)保護過程中，應(yīng)堅持兩個原則：

重要數(shù)據(jù)安全優(yōu)先

一般數(shù)據(jù)效率優(yōu)先

數(shù)據(jù)分類分級流程示例

此外，數(shù)據(jù)分類分級的結(jié)果可以復(fù)用到多個場景，比如：

在數(shù)據(jù)共享場景下：可以結(jié)合學(xué)校自身對數(shù)據(jù)安全的需求，對數(shù)據(jù)制定不同的分級管控策略，更健康、更安全地進行數(shù)據(jù)共享。

在數(shù)據(jù)防控、脫敏等場景下：數(shù)據(jù)分類分級成果可輸出給數(shù)據(jù)庫安全網(wǎng)關(guān)、數(shù)據(jù)脫敏系統(tǒng)、數(shù)據(jù)安全管控平臺等數(shù)據(jù)安全設(shè)備，以便于高校更靈活、更高效地制定差異化數(shù)據(jù)管控策略。

數(shù)據(jù)安全建設(shè)需覆蓋全場景、全流程

高校敏感數(shù)據(jù)分散在不同的數(shù)據(jù)庫中，且數(shù)據(jù)隨時在流轉(zhuǎn)、被調(diào)用。要想保障高校的數(shù)據(jù)安全，需要在統(tǒng)一的數(shù)據(jù)安全建設(shè)目標(biāo)指引下分階段，逐步構(gòu)建覆蓋學(xué)校全場景、全流程的數(shù)據(jù)安全保護體系。

安恒信息認(rèn)為高校在數(shù)據(jù)安全能力建設(shè)的過程中，需要結(jié)合數(shù)據(jù)安全所處的業(yè)務(wù)場景，評估該場景下面臨的數(shù)據(jù)安全威脅，在已有的網(wǎng)絡(luò)安全技術(shù)手段下，進一步彌補數(shù)據(jù)安全的技術(shù)差距。

依據(jù)多年數(shù)據(jù)安全實戰(zhàn)經(jīng)驗，安恒信息總結(jié)了高校在數(shù)據(jù)安全維度上最重要的六個業(yè)務(wù)場景，黑客在進行數(shù)據(jù)竊取時，往往最先盯上的就是它們。因此，建設(shè)數(shù)據(jù)安全防護體系的核心，是保障這些業(yè)務(wù)場景中的數(shù)據(jù)安全：

高校數(shù)據(jù)安全安全防護體系建設(shè)架構(gòu)圖

API交換場景：

洞悉信息系統(tǒng)API接口上存在的脆弱性風(fēng)險，如學(xué)工系統(tǒng)學(xué)生姓名接口存在明文傳輸風(fēng)險，為API接口收斂、暴露面整治提供方向。

數(shù)據(jù)庫運維場景：

對數(shù)據(jù)庫運維人員權(quán)限進行細粒度控制，并結(jié)合字段級授權(quán)、動態(tài)脫敏等技術(shù)，確保運維過程符合學(xué)校安全運維要求。

數(shù)據(jù)開放場景：

針對學(xué)校部分環(huán)境需使用真實敏感數(shù)據(jù)的場景，在不影響業(yè)務(wù)的前提下，對敏感數(shù)據(jù)匿名化處理，既可支撐業(yè)務(wù)順利開展，同時避免數(shù)據(jù)過度開放。

數(shù)據(jù)存儲場景：

對學(xué)生數(shù)據(jù)、教師數(shù)據(jù)、報名數(shù)據(jù)等敏感數(shù)據(jù)執(zhí)行數(shù)據(jù)加密操作，即使數(shù)據(jù)泄露，黑客也不能讀懂?dāng)?shù)據(jù)含義，防止對數(shù)據(jù)造成實質(zhì)性的損害。

數(shù)據(jù)庫防護場景：

通過技術(shù)手段，對數(shù)據(jù)庫的SQL注入、數(shù)據(jù)庫漏洞等攻擊進行主動防御，以防范黑客的惡意攻擊與數(shù)據(jù)竊取行為。

網(wǎng)絡(luò)數(shù)據(jù)防泄漏場景：

將學(xué)籍?dāng)?shù)據(jù)、姓名數(shù)據(jù)、銀行賬號等重要數(shù)據(jù)作為監(jiān)測對象，從網(wǎng)絡(luò)流量側(cè)識別是否存在敏感數(shù)據(jù)泄露行為，并實現(xiàn)預(yù)警、阻斷。

三、有運營

構(gòu)建常態(tài)化數(shù)據(jù)安全運營體系

保障風(fēng)險可視可控

數(shù)據(jù)的動態(tài)性要求數(shù)據(jù)安全必須通過持續(xù)運營，才能夠從根本上做好安全工作，體現(xiàn)安全效果。

安恒信息認(rèn)為，學(xué)校應(yīng)從全局?jǐn)?shù)據(jù)安全戰(zhàn)略高度，全方位監(jiān)控數(shù)據(jù)中心內(nèi)部所有數(shù)據(jù)資產(chǎn)的采集、處理等全流動過程，讓數(shù)據(jù)安全威脅從不可視到可視，從不可知到可知，從不可控到可控，實現(xiàn)學(xué)校數(shù)據(jù)安全統(tǒng)一運營。

常態(tài)化數(shù)據(jù)安全運營建設(shè)效果

同時，在數(shù)據(jù)安全運營工作中，應(yīng)著重提升運營人員的數(shù)據(jù)安全素養(yǎng)與技術(shù)。

學(xué)校信息化管理部門參照學(xué)校已發(fā)布的數(shù)據(jù)安全管理文檔、管理制度等要求，組織相關(guān)人員提升數(shù)據(jù)安全意識、數(shù)據(jù)安全技術(shù)能力、實戰(zhàn)演練等維度的專業(yè)素養(yǎng)，執(zhí)行學(xué)校數(shù)據(jù)安全相關(guān)要求，增強人員的數(shù)據(jù)安全防范能力，發(fā)揮數(shù)據(jù)安全建設(shè)的最大價值。

隨著教育數(shù)字化戰(zhàn)略行動的開展，高校信息化、智能化與教育教學(xué)將進一步融合，數(shù)據(jù)的重要性也將得到質(zhì)的提升，因此構(gòu)建高質(zhì)量的數(shù)據(jù)安全防線不僅是履行數(shù)據(jù)安全保護義務(wù)，更是教育教學(xué)業(yè)務(wù)能否正常開展的關(guān)鍵。

安恒信息深耕數(shù)據(jù)安全領(lǐng)域16載，具備體系化的數(shù)據(jù)安全產(chǎn)品與咨詢服務(wù)能力，能夠更好地為高校數(shù)據(jù)安全建設(shè)提供全場景、全流程的產(chǎn)品、服務(wù)與解決方案。

往期精彩回顧