今年3月,对抗勒索软件。美国国土安全旗下新的Joint Cyber Defense Collaborative(JCDC)将会协调跨越机构和私营门的网络防御计划。Crowdstrike、Palo Alto Networks、FireEye、AWS、谷歌、微软、AT&T、Verizon、Lumen都会与网络安全和基础设施安全(CISA)就新项目达成合作。最开始时它们对付的主要是勒索软件,教育发布《关于加强新时代教育管理信息化工作的通知》,它们还会制定一个框架对影响云计算提供商的事件进行响应。,教育数据价值与日俱增,而数据安全威胁与挑战也日趋严重。今年6月10日,《数据安全法》表决通过,很好地填补了国内数据安全根本法律的空白,和行业监管层面对数据安全的保护要求愈发严格。美创科技针对高校数据安全尚存的诸多风险与日趋严格的合规要求,“三力五步”助力高校数据安全。
一、高校亟待提升数据安全防护力
我国高校信息化已历经40余年发展,但一直以来,数据安全在高校传统认识中,仍是网络信息安全的组成分,绝分学校对数据安全工作缺乏重点关注,加之信息系统在初期缺少顶层的标准规范以及在数据安全方面考虑不足,导致当前高校数据安全能力普遍不高。
无论是2016年徐玉玉案、2018年常州学怀德学院规模学生信息泄露案,还是2020年的郑州西亚斯学院近两万名学生信息遭泄露事件,我国高校数据安全事件屡见不鲜。
2020年,全国会先后发布了《数据安全法(草案)》和《个人信息保护法(草案)》,今年6月10日,《数据安全法》表决通过,很好地填补了国内数据安全根本法律的空白,同时一系列地方法规和行业标准等相继出台也表明和行业监管层面对数据安全的保护要求日趋严格。
目前,多数高校已逐步意识到数据安全与个人隐私保护的重要性,并制定了相关的安全制度,采取了一定的技术防护手段,但这远远不足以消除现有隐患。日趋严格的合规要求下,高校数据安全尚存诸多风险:
1、数据资产不清
高校数据资产数量众多,且散落在校园内各个信息系统中,摸清资产家底,进行数据分类分级成首要任务。但目前,高校缺少统一的分类分级标准,人才、技术、方法支撑不足,且高校在数据分类分级过程中 “先梳理现有数据,再结合人工方式进行分类分级”的思路,这种方式既不够全面,又效率低下、周期长,且主观性比较强。
2、数据管控手段弱
由内导致的数据泄露事件连年升高,不少高校仍靠流程、制度约定,缺少相应的技术手段进行管控。以第三方运维人员、研发人员、数据库管理员为例,由于过粗的管理颗粒度,这些特权用户可以通过超级账户直接访问核心敏感数据库,造成数据盗窃、职工贿赂和售卖信息倒卖、运维人员报复性/误删除操作事件,影响恶劣。
数据管控手段弱
3、外风险防护手段弱
高校个人和科研信息价值不断疯长,也引起外威胁的,近年来黑产猖獗,以窃取和篡改数据为目的的攻击日趋增加,攻击手段有系统漏洞、SQL注入、勒索病毒、采用社会工程学撞库等等,技术复杂性和攻击隐蔽性越来越高,防范难度越来越难。
4、数据共享难平衡
随着越来越多高校建立统一数据共享交换平台/数据平台,在数据采集阶段,是否存在过度收集?在数据交换共享阶段,数据面临不同角色、不同门、不同单位的获取,是否存在转售、转卖行为?是否存在违规使用?在数据安全保护与获取的博弈中,这无疑是高校又一个迫切需要解决的新问题。
5、数据上云的泄露风险
伴随着互联网+教育的进程的加速,特别是本次新冠疫情期间,量在线教育模式的应用,越来越多高校也在探索教育上云,因此量的教育数据正在往云端迁移,但上云意味更多风险的发生,数据以明文方式保存, 平台自身漏洞、以及云端数据被超级权限DBA 访问,都极易导致数据被窃取,防止云数据丢失和泄露以及对访问授权进行规范管理,高校需要采取更为有效的防御手段。
二、“三力五步”落地高校数据安全
针对高校数据安全当前面临的问题难点,美创科技经过多年在数据安全治理的专注研究和探索实践,以“三力五步” 落地高校数据安全体系。
“三力五步” 落地高校数据安全体系
数据安全能力
美创科技在实践整个数据安全治理体系过程中,贯通数据安全咨询能力、数据安全架构能力、数据安全技战能力三类能力,从现状梳理、风险评估,再到数据安全架构与产品技术保障,美创提供一站式数据安全能力服务,帮助高校用户依据《数据安全法》要求建立健全数据安全治理体系,提高数据安全保障能力。
1、数据安全咨询能力:采用敏捷咨询规划和方案设计,帮助高校从组织、制度、技术、人员四个维度厘清数据安全现状、差距和风险,为数据安全奠定基础。
2、数据安全架构能力:结合前期咨询所获结果,规划数据安全整体架构,制定符合组织的数据安全架构,同时根据实际情况制定短期、长期规划。
3、数据安全技战能力:不仅涵盖数据全生命周期技术工具,还包含安全设计、制度、人员能力提升等,根据数据安全体系架构,有计划提升数据安全治理能力。
实施步骤
基于多年沉淀,美创科技从明现状、立组织、定制度、建标准、订规划五个方面帮助高校建立健全数据安全治理体系,助力高校具备保障持续安全状态的能力。
1、现状梳理:
基于组织现状完成其数据资产梳理、数据分类分级、基于现状完成数据安全风险评估,为数据安全提供奠定基础。
厘清资产家底,进行分类分级:通过调研访谈、文件分析、工具探查,多维度了解数据资产,明确数据资产构成、特征、范围及流转情况。根据行业标准及组织实际情况,对数据进行分类定级。基于自研的暗数据发现和分类分级系统,实现数据扫描、识别、定位、解析、分析、分类,同时为用户生成完整、全面、直观的可视化发现报告(包括:数据分级分类报告、数据质量报告、数据资产报告等),让用户更快、更全地认识数据。
安全风险评估,识别合规情况:美创科技从两视角出发,按照风险分析的方法,分析组织内数据相关活动或数据资产所存在的安全风险,以生成数据资产的全面风险清单和风险预估、并基于评估结果给出风险处置建议的服务方案。
安全风险评估
2、 组织构建
依据数据安全法要求,帮助高校用户建立健全数据安全团队组织,明确数据安全责任人及具体责任要求,包括门职责与人员角色确定,以及动态协同机制。如:在了解门信息,明确敏感信息组成、特征、范围及流转情况的基础上,完善的动态协同机制,明确数据访问人员、数据生产人员、数据维护人员等目标对象,对于数据资产使用角色进行规范限定。
组织合规框架示例
3、制度
根据数据安全治理的内容,建立相应的流程,以及组织数据安全治理的制度规范,如规章制度、管控办法、奖惩机制、技术规范等制度,为数据安全管理和保障提供依据。
目前数据安全教育已成为安全中不可或缺的内容,美创在深度研究国内外法律法规、政策标准、行业发文等基础上,形成矩阵式的数据安全教育培训内容,并根据组织具体情况提供针对性宣贯和培训,覆盖数据安全基础、安全意识、安全技术、安全事件、合规解读等多个方向。
4、 标准制定
数据安全法规定“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律。”美创科技参与多项、行业数据安全标准制定工作,可协助高校进行内数据安全标准规范的制定
5、 安全规划
以业务需求为导向,设计数据安全规划路径,进行阶段性、体系化的安全,包括数据内控合规、数据全域可管、数据全可视,整个防护体系,覆盖数据全生命周期管控、风险控制和资产保护,帮助组织建立数据安全能力。如:
数据内控合规
基于法律法规及数据分类分级结果,采用敏感数据发现、数据分级分类、数据动/静态脱敏、数据库日志审计、权限管控和数据资产保护、身份鉴别(人、终端、应用)、高危操作防护、访问控制、特权管理等产品技术手段,加强内安全管控。
数据全域可管
基于现有网络安全和内控安全保障体系,防御外和数据流动风险,采用入侵防护、漏洞防御、访问控制、误操作恢复、数据加密、溯源管理、数据加密等技术,通过数据安全管理平台整体实现数据全域管理。
风险全可视
基于数据安全管理平台,对各类数据安全产品进行统一管理,从全视角提升对数据安全威胁的发现识别、理解、分析和响应能力,实现资产全域可管、风险全域可视、策略全域联动,充分盘活用户整体数据安全防护能力,最终实现有序、快速响应的数据安全运营能力。
美创科技安全态势感知中心
——本文为成都市教育城域网 2021年工作会美创科技资深数据安全顾问王彦翔分享《高校数据安全赋能—数据安全法之下的路径》演讲纪要。
标签:
