【智慧城市网 品牌专栏】近期，南昌公安网安部门工作发现，某高校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵，其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门立即开展一案双查，成功抓获犯罪嫌疑人3名。

　　南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定，对该学校作出责令改正、警告并处80万元人民币罚款的处罚，对主要责任人作出人民币5万元罚款的处罚。
 

　　#面临问题·三大困难 #

　　近年来，高校敏感数据泄露事件频频发生，事件的背后折射了高校在数据安全上面临的诸多问题。高校数据价值高、变现快的特点导致其不断遭受内外部不法分子觊觎，而许多学校的数据安全建设仍面临三大困难：
 

　　1、管理体系不清晰，数据安全难落地
 

　　高校数据安全管理制度缺乏、数据安全组织结构不清晰，数据安全责任未能明确到具体部门、人员，导致数据安全工作落地缺少组织与制度保障。
 

　　2、防控手段不足，数据安全攻击难防护
 

　　目前高校在数据安全防护中，大部分仍依赖原有的网络安全设备，缺少针对数据流转、数据交换、数据存储等环节中专用的数据安全手段，数据安全风险看不清，防不住。
 

　　3、数据安全意识薄弱，数据外泄风险难控制
 

　　高校内部可接触敏感数据的人员类型非常复杂，既有学校内部人员，也有外部的供应商人员，对数据安全法律法规、风险意识理解参差不一，随意访问、私发敏感数据，导致数据外泄，面临较大的“人的风险”。
 

　　#建设思路·三位一体 #

　　在愈发猖獗的黑客攻击下，高校的数据安全建设正面临“内忧外患”的复杂局面，在政策层面，2021年教育部等七部门印发《关于加强教育系统数据安全工作的通知》，让数据安全建设有章可循。现如今，如何加强敏感数据保护，弥补差距，已成为每个高校重点关注的工作。
 

　　针对高校数据安全现状与安全需求，如何加强高校数据安全建设，提升防入侵、防泄漏、防滥用、防窃取能力？安恒信息提出了数据安全的建设思路：“管理+技术+运营”三位一体，管理体系为基础，技术体系为支撑，构建常态化数据安全运营体系，实现有人管，有技术，有运营的全方位数据安全保障。
 

　　一、有人管
 

　　建设数据安全管理体系
 

　　数据安全责任到人
 

　　学校应成立专项数据安全组织机构，健全数据安全组织体系，数据安全管理责任制切实落实各部门，明确政策、执行和监督各个版块的长期责任人，以推进数据安全工作在校内跨部门协同配合，最终确保数据安全工作能够得到长期有效的执行。
 

数据安全管理规章制度示例
 

　　二、有技术
 

　　完善数据安全技术体系
 

　　为数据防护提供有效支撑
 

　　高校数据安全实践面临问题多、影响大、落地难等现状，安恒信息认为高校应该分阶段逐步提升数据安全能力：
 

　　第一步、分类分级：摸清数据资产，制定数据安全分类分级逻辑框架，开展数据安全分类分级工作，明确敏感数据保护范围，为后续的数据管控埋下基础；
 

　　第二步、建设技术能力：结合数据重要性与所处业务场景，制定数据安全管控手段，有效控制数据安全风险。
 

　　数据分类分级是分级管控的基础
 

　　学校有多少数据，数据如何分布？什么是重要数据，重要数据如何管控？这些问题都需要通过开展数据分类分级工作，才能够更清晰的解答。数据分类分级可以帮助学校看清全校数据的概况，是数据按重要性分级管控的基础。
 

　　安恒信息认为在数据保护过程中，应坚持两个原则：
 

　　重要数据安全优先
 

　　一般数据效率优先
 

数据分类分级流程示例
 

　　此外，数据分类分级的结果可以复用到多个场景，比如：
 

　　在数据共享场景下：可以结合学校自身对数据安全的需求，对数据制定不同的分级管控策略，更健康、更安全地进行数据共享。
 

　　在数据防控、脱敏等场景下：数据分类分级成果可输出给数据库安全网关、数据脱敏系统、数据安全管控平台等数据安全设备，以便于高校更灵活、更高效地制定差异化数据管控策略。
 

　　数据安全建设需覆盖全场景、全流程

　　高校敏感数据分散在不同的数据库中，且数据随时在流转、被调用。要想保障高校的数据安全，需要在统一的数据安全建设目标指引下分阶段，逐步构建覆盖学校全场景、全流程的数据安全保护体系。
 

　　安恒信息认为高校在数据安全能力建设的过程中，需要结合数据安全所处的业务场景，评估该场景下面临的数据安全威胁，在已有的网络安全技术手段下，进一步弥补数据安全的技术差距。
 

　　依据多年数据安全实战经验，安恒信息总结了高校在数据安全维度上最重要的六个业务场景，黑客在进行数据窃取时，往往最先盯上的就是它们。因此，建设数据安全防护体系的核心，是保障这些业务场景中的数据安全：
 

高校数据安全安全防护体系建设架构图
 

　　API交换场景：
 

　　洞悉信息系统API接口上存在的脆弱性风险，如学工系统学生姓名接口存在明文传输风险，为API接口收敛、暴露面整治提供方向。
 

　　数据库运维场景：
 

　　对数据库运维人员权限进行细粒度控制，并结合字段级授权、动态脱敏等技术，确保运维过程符合学校安全运维要求。
 

　　数据开放场景：
 

　　针对学校部分环境需使用真实敏感数据的场景，在不影响业务的前提下，对敏感数据匿名化处理，既可支撑业务顺利开展，同时避免数据过度开放。
 

　　数据存储场景：
 

　　对学生数据、教师数据、报名数据等敏感数据执行数据加密操作，即使数据泄露，黑客也不能读懂数据含义，防止对数据造成实质性的损害。
 

　　数据库防护场景：
 

　　通过技术手段，对数据库的SQL注入、数据库漏洞等攻击进行主动防御，以防范黑客的恶意攻击与数据窃取行为。
 

　　网络数据防泄漏场景：
 

　　将学籍数据、姓名数据、银行账号等重要数据作为监测对象，从网络流量侧识别是否存在敏感数据泄露行为，并实现预警、阻断。
 

　　三、有运营
 

　　构建常态化数据安全运营体系
 

　　保障风险可视可控
 

　　数据的动态性要求数据安全必须通过持续运营，才能够从根本上做好安全工作，体现安全效果。
 

　　安恒信息认为，学校应从全局数据安全战略高度，全方位监控数据中心内部所有数据资产的采集、处理等全流动过程，让数据安全威胁从不可视到可视，从不可知到可知，从不可控到可控，实现学校数据安全统一运营。
 

常态化数据安全运营建设效果
 

　　同时，在数据安全运营工作中，应着重提升运营人员的数据安全素养与技术。
 

　　学校信息化管理部门参照学校已发布的数据安全管理文档、管理制度等要求，组织相关人员提升数据安全意识、数据安全技术能力、实战演练等维度的专业素养，执行学校数据安全相关要求，增强人员的数据安全防范能力，发挥数据安全建设的最大价值。
 

　　随着教育数字化战略行动的开展，高校信息化、智能化与教育教学将进一步融合，数据的重要性也将得到质的提升，因此构建高质量的数据安全防线不仅是履行数据安全保护义务，更是教育教学业务能否正常开展的关键。
 

　　安恒信息深耕数据安全领域16载，具备体系化的数据安全产品与咨询服务能力，能够更好地为高校数据安全建设提供全场景、全流程的产品、服务与解决方案。