高校信息化在發(fā)展過程中，常常會出現(xiàn)業(yè)務(wù)系統(tǒng)數(shù)量多、規(guī)模大、復(fù)雜度高，業(yè)務(wù)數(shù)據(jù)增長迅猛等情況。大數(shù)據(jù)及數(shù)據(jù)集中化雖然方便了管理，但也帶來了風(fēng)險(xiǎn)的集中化。在利益驅(qū)動(dòng)下，針對數(shù)據(jù)安全的內(nèi)外部攻擊層出不窮。

2021年4月，教育部發(fā)布了《關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》，國家層面也相繼出臺了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)，為教育行業(yè)數(shù)據(jù)安全治理提供了重要的指導(dǎo)和參考，對于用戶個(gè)人信息的保護(hù)要求空前嚴(yán)格。

當(dāng)前，高校在數(shù)據(jù)安全方面，普遍存在以下幾方面的問題：

● 數(shù)據(jù)跨學(xué)院、跨部門流轉(zhuǎn)，涉及不同院系、部門。缺乏統(tǒng)一團(tuán)隊(duì)、專業(yè)人員牽頭，無法形成統(tǒng)一數(shù)據(jù)安全防護(hù)體系;

● 數(shù)據(jù)流通性強(qiáng)，涉及多個(gè)院系、部門的人員，數(shù)據(jù)安全事件發(fā)生后，難以有效溯源，缺乏認(rèn)責(zé)依據(jù)，無法認(rèn)責(zé)造成部分人員無所顧忌;

● 校園內(nèi)部敏感信息泄露、以及敏感信息數(shù)據(jù)使用情況、違規(guī)訪問和泄漏分析的日志記錄，缺乏統(tǒng)一分析去溯源;

● 對于運(yùn)維人員、開發(fā)測試人員使用數(shù)據(jù)流程和方法缺乏監(jiān)控;

● 數(shù)據(jù)庫沒有廠家運(yùn)維，或數(shù)據(jù)庫過低不能升級新版本，容易被攻擊;缺乏數(shù)據(jù)識別、審計(jì)能力。

在高校數(shù)據(jù)安全建設(shè)方面，可圍繞“一個(gè)中心，四個(gè)領(lǐng)域，五個(gè)階段”構(gòu)建數(shù)據(jù)安全體系頂層設(shè)計(jì)?！耙粋€(gè)中心”，即以數(shù)據(jù)安全防護(hù)為中心;“四個(gè)領(lǐng)域”，即數(shù)據(jù)安全建設(shè)的四個(gè)領(lǐng)域，包括組織建設(shè)、制度流程，技術(shù)工具和人員能力;“五個(gè)階段”是指數(shù)據(jù)安全建設(shè)的五個(gè)階段，分別為業(yè)務(wù)梳理、分級分類、策略制定、技術(shù)管控、優(yōu)化改進(jìn)。

在數(shù)據(jù)安全建設(shè)體系中，組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)領(lǐng)域，均需同步開展建設(shè)工作。同時(shí)，應(yīng)做好對數(shù)據(jù)安全的相關(guān)管理工作，管理是技術(shù)的運(yùn)營依據(jù)、技術(shù)是管理的落地保障，兩者相輔相成，缺一不可。

借鑒Gartner的數(shù)據(jù)安全治理框架，定義了數(shù)據(jù)安全建設(shè)的五個(gè)階段。形成的數(shù)據(jù)安全方法論，即“知”“識”“控”“察”“行”。

● 知：分析政策法規(guī)、梳理業(yè)務(wù)及人員對數(shù)據(jù)的使用規(guī)范，定義敏感數(shù)據(jù)；

● 識：根據(jù)定義好的敏感數(shù)據(jù)，利用工具對全網(wǎng)進(jìn)行敏感數(shù)據(jù)掃描發(fā)現(xiàn)，對發(fā)現(xiàn)的數(shù)據(jù)進(jìn)行數(shù)據(jù)定位、數(shù)據(jù)分類、數(shù)據(jù)分級；

● 控：根據(jù)敏感數(shù)據(jù)的級別，設(shè)定數(shù)據(jù)在全生命周期中的可用范圍，利用規(guī)范和工具對數(shù)據(jù)進(jìn)行細(xì)粒度的權(quán)限管控；

● 察：對數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)察，保障數(shù)據(jù)在可控范圍內(nèi)正常使用的同時(shí)，也對非法的數(shù)據(jù)行為進(jìn)行了記錄，為事后取證留下了清晰準(zhǔn)確的日志信息；

● 行：對不斷變化的數(shù)據(jù)做持續(xù)性的跟蹤，提供策略優(yōu)化與持續(xù)運(yùn)營的服務(wù)。

五步法——鑄就高校數(shù)據(jù)安全堡壘

1. 業(yè)務(wù)數(shù)據(jù)梳理與敏感數(shù)據(jù)識別

在組織與制度設(shè)計(jì)方面，應(yīng)自上而下形成由學(xué)校高層牽頭，橫跨學(xué)校業(yè)務(wù)部門與安全部門的組織架構(gòu)。由信息安全管理團(tuán)隊(duì)和數(shù)據(jù)業(yè)務(wù)管理團(tuán)隊(duì)共同商討建立數(shù)據(jù)安全制度流程體系。制定好的制度體系應(yīng)以文檔化的方式進(jìn)行落地管理，并嚴(yán)格執(zhí)行。

在敏感數(shù)據(jù)識別與定義方面，應(yīng)基于業(yè)務(wù)特點(diǎn)進(jìn)行數(shù)據(jù)的識別、數(shù)據(jù)分類、數(shù)據(jù)分級?？筛鶕?jù)《中華人民共和國網(wǎng)絡(luò)安全法》要求對個(gè)人信息和重要數(shù)據(jù)分開進(jìn)行評估與定級，再按照就高不就低的原則對數(shù)據(jù)條目進(jìn)行整體定級。

2. 數(shù)據(jù)全生存周期安全風(fēng)險(xiǎn)評估

在高校數(shù)據(jù)安全進(jìn)行風(fēng)險(xiǎn)評估方面，可以從數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等數(shù)據(jù)的生存周期角度進(jìn)行考慮。

敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評估系統(tǒng)，可以實(shí)現(xiàn)智能數(shù)據(jù)分類分級、全網(wǎng)數(shù)據(jù)資產(chǎn)測繪、實(shí)時(shí)數(shù)據(jù)流轉(zhuǎn)測繪、大數(shù)據(jù)平臺風(fēng)險(xiǎn)掃描的能力。同時(shí)，結(jié)合數(shù)據(jù)安全評估服務(wù)，從數(shù)據(jù)生存周期各個(gè)階段評估數(shù)據(jù)安全風(fēng)險(xiǎn)，應(yīng)該可以幫助您解決很大部分的敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評估問題。

3. 高校數(shù)據(jù)安全縱深防護(hù)

對于數(shù)據(jù)安全的風(fēng)險(xiǎn)，應(yīng)以數(shù)據(jù)為中心，由內(nèi)而外對業(yè)務(wù)、網(wǎng)絡(luò)、設(shè)備、用戶采取“零信任”的態(tài)度，管控手段覆蓋全部環(huán)節(jié)，任意環(huán)節(jié)失信后都能實(shí)現(xiàn)熔斷保護(hù)。

用戶側(cè)、終端側(cè)、網(wǎng)絡(luò)側(cè)、業(yè)務(wù)側(cè)，以及數(shù)據(jù)中心，均應(yīng)做好安全防護(hù)措施，由外向內(nèi)防攻擊防入侵防篡改，由內(nèi)向外防濫用防偽造防泄露。同時(shí)，對全部縱深防護(hù)環(huán)節(jié)進(jìn)行整體控制，實(shí)現(xiàn)環(huán)境感知、可信控制和全面審計(jì)。整合多層次的縱深防御，及時(shí)發(fā)現(xiàn)、阻止安全問題。

4. 敏感數(shù)據(jù)監(jiān)察分析

敏感數(shù)據(jù)監(jiān)察分析、發(fā)現(xiàn)安全問題與異常事件。應(yīng)從用戶、資產(chǎn)和數(shù)據(jù)行為模式出發(fā)，依托5W1H分析模型進(jìn)行敏感數(shù)據(jù)行為分析，基于行為模式發(fā)現(xiàn)數(shù)據(jù)異常事件。

同時(shí)，還應(yīng)基于歷史的可信訪問行為提取訪問規(guī)則，利用各類算法進(jìn)行行為聚類，形成可劃分的訪問行為簇并可視化呈現(xiàn)。通過這種圖譜分析與可視化展示讓管理者對于敏感數(shù)據(jù)訪問情況，由一無所知轉(zhuǎn)變?yōu)榭梢暱晒堋?/span>

5. 優(yōu)化改進(jìn)與持續(xù)運(yùn)營

業(yè)務(wù)與數(shù)據(jù)都處在不斷變化的過程中，還應(yīng)對數(shù)據(jù)安全進(jìn)行持續(xù)的優(yōu)化改進(jìn)與運(yùn)營。合規(guī)要求指導(dǎo)安全策略的設(shè)置，安全策略支撐合規(guī)治理要求的落地，二者相輔相成，配合持續(xù)優(yōu)化改進(jìn)運(yùn)營的“知識控察行”體系，實(shí)現(xiàn)持續(xù)自適應(yīng)的數(shù)據(jù)安全防護(hù)能力。

高校數(shù)據(jù)安全建設(shè)優(yōu)勢

1. 滿足合規(guī)要求

進(jìn)一步加強(qiáng)數(shù)據(jù)安全監(jiān)管機(jī)制，完善數(shù)據(jù)安全管理制度，提升大數(shù)據(jù)環(huán)境下數(shù)據(jù)合規(guī)使用能力。

2. 數(shù)據(jù)安全集中管控、智能分析

實(shí)現(xiàn)數(shù)據(jù)安全集中管控，實(shí)現(xiàn)對云環(huán)境下的整體信息資產(chǎn)、安全事件、安全風(fēng)險(xiǎn)、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應(yīng)對安全事件的發(fā)生。

3. 數(shù)據(jù)生命周期全面掌控

掌握數(shù)據(jù)的全生命周期是對數(shù)據(jù)風(fēng)險(xiǎn)的提前預(yù)知，利用本方案對數(shù)據(jù)的生命周期中各個(gè)環(huán)節(jié)做監(jiān)控，掌握數(shù)據(jù)的動(dòng)態(tài)，了解數(shù)據(jù)的流向，提前對可能發(fā)生的數(shù)據(jù)泄露風(fēng)險(xiǎn)進(jìn)行預(yù)警，保障數(shù)據(jù)在安全的可控范圍內(nèi)流轉(zhuǎn)、使用與存儲。

4. 降低個(gè)人信息泄露風(fēng)險(xiǎn)

通過對個(gè)人信息的掃描與跟蹤，利用內(nèi)容識別、UEBA、機(jī)器學(xué)習(xí)等技術(shù)，及時(shí)發(fā)現(xiàn)個(gè)人信息所承載的系統(tǒng)、業(yè)務(wù)、網(wǎng)絡(luò)、終端中的安全威脅，提前做好防范措施，讓泄密風(fēng)險(xiǎn)看得見、使個(gè)人信息泄漏防得住。

5. 提高個(gè)人信息使用者安全意識

數(shù)據(jù)安全解決方案的應(yīng)用，讓數(shù)據(jù)使用者了解數(shù)據(jù)的重要程度，規(guī)范數(shù)據(jù)使用者的操作行為，從潛意識里指導(dǎo)與幫助人們正確使用資源，合理利用資源，保護(hù)數(shù)據(jù)的安全。

參考來源：https://www.sohu.com/a/529962711_476857