随着大数据、云计算、移动互联网、物联网等新一代信息技术的快速发展和应用,各地高校大力发展建设数字校园、智慧校园,相关信息化应用日益丰富。据《2020年网络安全态势洞察报告》数据显示,教育行业泄漏事件占比高达53%,其中以高校居多,占比65.36%。2021年3月,教育部发布《高等学校数字校园建设规范(试行)》,提出“数字校园相关系统产生的数据量大,且关系到师生的隐私,因此针对数字校园相关系统产生的数据应具备保护措施。”
基于《数据安全保护法》、《个人信息保护法》等相关法律外部监管结合教育行业业务特点,如何合理、合规的分析和利用高校数据,保障其安全就成为了各地高校当前亟需解决的问题。
作为一家深耕数据安全领域十余年的新一代信息安全技术企业,明朝万达安全专家认为高校数据安全风险主要体现在以下方面:
1、业务系统复杂,泄漏风险点多
由于高校信息化的快速发展,高校普遍都建立教务管理系统、财务系统、招生系统、图书管理系统等业务系统,系统中积聚了海量数据,其中包括:师生身份信息(身份证号、学号、职工号等)、生物识别信息(指纹、人脸等)、一卡通信息、财务信息、科研信息等等,这些信息具有一定的价值性和某种潜在的关联性。这些海量隐私信息一旦泄露,给高校和社会带来难以挽回的不利影响。
2、系统外包普遍,第三方泄漏风险大
系统外包在各行各业都有,教育行业、高校也不例外,各式各样的系统通过外包方式进行开发维护,各外包公司掌握着各类系统的应用程序源代码、服务器权限、数据库权限等核心信息。例如高校普遍使用招生就业、财务、资产数据等等都是不可外泄且不容篡改的数据,作为核心数据载体,而第三方外包人员进入数据库进行维护时是具备非常高的权限,一旦发生来自于应用用户越权操作、程序开发人员和数据库运维人员的数据泄露和篡改,都将造成巨大的损失,必定会给学校和社会造成重大影响。
3、云端数据安全防护不足
业务上云成为当前大数据时代发展的趋势,云存储、云平台给各行各业带来许多便捷,同时也滋生出诸多安全问题。高校目前基本都建立了自己的以数据存储为主的私有云平台,但是这种用于数据存储的私有云平台产品基本都是由各厂商提供,并非各高校私有技术,云服务商自身存在安全隐患及行为风险无法得到安全保证,同时,云服务商可能无意间将信息流出或者恶意出售高校数据,造成数据泄露高校数据也随之面临风险。
明朝万达安全专家认为,数据安全是高校信息安全体系的重要组成部分和核心目标之一。面对高校复杂的数据现状,只通过单一技术或管理措施是远远不够的,必须要通过整体的信息安全保障体系设计与实施方能实现。
基于对数据安全领域的深入研究,结合高校信息系统及数据使用的特点,依托自主研发的数据安全系列产品,明朝万达在综合考虑了高校数据管理和技术应用,提出了构建校园统一数据安全统一管理平台,集合云、网、端一体化的数据安全管控体系及数据安全动态防御集中管控体系。
△ 架构图
管理层面
1、确定安全负责人,落实安全
无论是数据安全保活动的开展还是法律义务的承担,“责任人”的落地必不可少。根据法律的规定,在高校处理重要数据的情形下,还应当明确数据管理机构。除了应当设置专门安全管理机构之外,还应当对负责人和关键岗位人员进行安全背景审查。另外,对于业务系统由第三方企业平台维护的。学校需和第三方企业、平台签订保密协议,从数据保密义务和数据安全管理等层面进行操作规范约束。明确维护人员的责任和义务,防止数据泄露。
2、加强宣传教育,培养数据安全思维
对各单位的数据管理员进行数据安全宣传和培训,宣传国家数据安全政策,加强数据管理员数据安全意识,提高数据使用方的数据安全技术。同时可通过在高校师生中开展“网络安全日”和“数据安全宣传周”等宣传活动,普及《数据安全法》及相关知识,提高高校数据安全保护意识和水平,形成高校共同维护数据安全和促进发展的良好环境。
技术层面
1、分类分级管理,建立健全完善的数据安全管理制度
高校内部的数据覆盖面广、数据量大、涉及用户多,包括教职工信息、学生信息、教学信息、科研信息、财务信息等。为做好数据安全防护,应根据我国《网络安全法》《数据安全法》等法律法规,根据数据对于学校的重要程度,对数据进行安全级别划分,使数据能够得到适当的安全防护。建立数据分级策略需要考虑如下几个方面的问题:
· 数据分类分级管理
数据在保密性、完整性、可用性方面的需求进行安全级别划分,借鉴国外高校及国内其他行业的数据分级策略,考虑到可操作性,建议高校数据分为三个或四个安全级别,如可划分为公开数据、一般业务数据、内部敏感数据、机密数据四个安全级别。
· 数据管理与操作的各个角色设置
根据数据的拥有者、管理者、使用者三个角色,明确各角色对于数据的安全责任和操作权限。各级别数据的防护措施等方面的内容。对于不同级别的数据,还要明确其在数据访问控制、存储、传输、备份、审计等方面的要求。
2、评估敏感数据分布,制定数据安全防护策略
数据是信息系统的核心,对于数据的访问可能来自于多个途径,基于数据分类分级梳理高校数据资产状况,明确数据由谁产生、如何存储、如何传输、被哪些对象使用、如何使用、可能被哪些业务系统访问、访问路径以及敏感数据分布情况,并按照数据采集、传输、存储、处理、交换和销毁整个生命周期的各个阶段对数据安全风险进行分析评估。结合校园网络、数据中心、业务系统、办公终端等多个业务场景方面,制定相应数据安全防护策略。
· 终端层面防护
加强终端数据安全管理,通过终端监控方式监控来自多种网络通道的外发数据,帮助高校保护敏感数据通过Web、终端外设、打印、刻录、IM通讯、远程连接、FTP、文件共享等诸多渠道的敏感文件外发控制、审批,同时对终端上存储的静态文件实时监控与周期性扫描,进而实现对通过各种方式泄露的敏感信息进行监控,发现并记录网络外发的敏感数据泄露事件。
· 网络层面防护
加强网络数据防泄漏防护,对网络中传输的敏感信息进行安全审计和管控,利用关键字、正则表达式、文件指纹、自然语言处理等规则,对高校外发数据进行解析与扫描,实时识别、监控、保护高校敏感数据。对即将发生、正在发生的泄漏敏感数据行为按照预置策略及时阻断并告警,防止高校敏感数据传输到校园外部,实现对高校外发敏感数据的可知、可见、可控。其次,针对校园与第三方公司合作开发新系统或新功能,可以使用脱敏数据产品,对数据中的证件号、联系方式、地址等比较敏感的数据进行屏蔽、替换、随机化、加密等处理,防止真实数据泄漏。此外,校内人员使用数据时,比如学校师生在项目、科研实验中需要调用到学校的人员信息数据,教务处或信息中心等部门需要授权相关的数据信息,可通过走校园内部审批流程进行申请,最终分管校长审批通过,才能使用数据,保证数据在校园内部使用的合规性。
· 云端层面防护
增加云访问安全代理,当高校将自己的服务部署在云端时,时常会遇到服务被非法入侵或数据被窥视的现象,使用CASB反向代理将服务真实地址隐藏,加上CASB内置的安全模块,可有效保障高校的服务及数据的安全。当高校使用云存储服务时,存储的数据或文件被大数据引擎窥视分析,甚至被暴力入侵,此时CASB的正向代理服务内置的安全服务可对上云文件进行密级加密或DLP扫描,有效保障上云文件安全的同时确保高校敏感信息外泄。
3、建立统一安全集中监控与审计平台,实时监管数据流动安全
大数据时代的快速发展,高校都不断在扩大内部业务系统和建设自己对应的数据中台,数据也在不断地发生变化。为快速发现、处理数据安全风险,可以通过部署安全集中监控与审计平台管理数据资产状况,以数据视角对整个数据生命周期过程进行全方位的实时监视,记录数据活动和用户行为,及时发现数据存在的风险、威胁、漏洞以及数据的异常访问、用户的异常操作等事件,并生成数据合规报告,保证入侵、破坏、泄露、篡改敏感数据的行为事前能被发现,事中能被拦截和监查,事后能被审计追溯,确保数据全生命周期的安全。
