今年3月,株洲某軟件學(xué)校網(wǎng)站存在短文件名泄露漏洞;網(wǎng)站系統(tǒng)中存在大量敏感信息,未對前述數(shù)據(jù)采取應(yīng)有的技術(shù)保護(hù)措施,未履行數(shù)據(jù)安全保護(hù)義務(wù),株洲市公安局荷塘分局根據(jù)《數(shù)據(jù)安全法》給予該學(xué)校警告,并責(zé)令限期改正。
同年7月,國內(nèi)知名高校畢業(yè)生馬某,在讀碩期間通過非法技術(shù)手段,盜取個(gè)人信息包含2014-2020級(jí)本碩博所有學(xué)生在內(nèi)的個(gè)人信息,制作成顏值打分網(wǎng)站供任何人隨意瀏覽,被海淀公安分局依法刑事拘留。
2020年,鄭州某學(xué)校兩萬學(xué)生個(gè)人信息被泄露,以表格的形式在微信、QQ等社交平臺(tái)上流傳。新鄭市公安局依據(jù)《網(wǎng)絡(luò)安全法》對該校及負(fù)有領(lǐng)導(dǎo)責(zé)任的一名副校長和直接責(zé)任人進(jìn)行行政處罰。
01
數(shù)據(jù)安全監(jiān)管常態(tài)化
高校需“合規(guī)”而行
在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》“三駕馬車”相繼落地,為數(shù)據(jù)安全管理和體系建設(shè)奠定法治基石的宏觀背景之下,我國公安網(wǎng)信等監(jiān)管部門也在不斷加強(qiáng)數(shù)據(jù)安全相關(guān)執(zhí)法力度和頻度。
根據(jù)清華大學(xué)智能法治研究院6月17日發(fā)布報(bào)告顯示,公開發(fā)布依據(jù)《數(shù)據(jù)安全法》作出行政處罰決定典型案例有34起,2021年數(shù)據(jù)安全領(lǐng)域的行政執(zhí)法案例共4起、2022年案例共7起,而僅2023年1月至6月依據(jù)《數(shù)據(jù)安全法》作出行政處罰決定案例就達(dá)23起。
今年3月,浙江某科技有限公司涉數(shù)據(jù)安全違法,當(dāng)?shù)鼐揭罁?jù)數(shù)據(jù)安全法處以100萬罰款。
而此次南昌高校80萬罰款,則成為2023年公開報(bào)道的幾起數(shù)據(jù)安全處罰事件中,為數(shù)不多的高額罰款案例!
近年來,高校因數(shù)據(jù)安全防護(hù)不力,而導(dǎo)致大量數(shù)據(jù)泄露或被非法使用的情況屢屢發(fā)生,此前徐玉玉事件導(dǎo)致的悲劇,以及多起信息泄露事件,引發(fā)社會(huì)廣泛關(guān)注。
數(shù)據(jù)安全相關(guān)的立法、執(zhí)法行動(dòng)正日益交織成了一張細(xì)密的大網(wǎng),高校作為我國高層次人才培養(yǎng)與科學(xué)研究的重要基地,掌握著大量個(gè)人信息、科研數(shù)據(jù),更需全面提升數(shù)據(jù)安全防護(hù)意識(shí),層層壓實(shí)責(zé)任,切實(shí)履行數(shù)據(jù)安全保護(hù)義務(wù),建立健全全流程數(shù)據(jù)安全管理制度,采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全。
02
進(jìn)行數(shù)據(jù)安全合規(guī)建設(shè)
六個(gè)問題成主要挑戰(zhàn)
目前大多數(shù)高校已完成信息管理系統(tǒng)和公共數(shù)據(jù)平臺(tái)建設(shè),并圍繞教育數(shù)據(jù)的共享、挖掘和利用開展多維度的創(chuàng)新工作,但傳統(tǒng)的信息安全建設(shè)無法覆蓋現(xiàn)有的數(shù)據(jù)安全問題,新問題、新風(fēng)險(xiǎn)交織:
數(shù)字化轉(zhuǎn)型造成數(shù)據(jù)敏感級(jí)別不斷提升
多年信息化、數(shù)字化建設(shè),目前高校數(shù)據(jù)海量增長。高校師生個(gè)人和家庭數(shù)據(jù)真實(shí)性強(qiáng)且不可逆性、數(shù)據(jù)量級(jí)不斷增大;而重點(diǎn)實(shí)驗(yàn)室、科研項(xiàng)目等核心數(shù)據(jù),財(cái)務(wù)數(shù)據(jù)、學(xué)生考評等數(shù)據(jù),因其高敏感高價(jià)值,成為竊取/篡改重點(diǎn)目標(biāo)。
數(shù)據(jù)安全管理制度體系不夠完善
高校數(shù)據(jù)信息涉及部門眾多,涉及較廣,普遍存在鏈條較長,數(shù)據(jù)安全管理組織架構(gòu)不健全,數(shù)據(jù)安全責(zé)任人不明確的普遍存在,導(dǎo)致數(shù)據(jù)安全管理制度缺失,數(shù)據(jù)安全操作流程和規(guī)范沒有明確要求,數(shù)據(jù)安全考核和效果評價(jià)沒標(biāo)準(zhǔn)。
工作人員缺乏數(shù)據(jù)安全意識(shí)
數(shù)據(jù)安全在高校傳統(tǒng)認(rèn)識(shí)中,仍是網(wǎng)絡(luò)信息安全的一部分,對數(shù)據(jù)安全工作缺乏重點(diǎn)關(guān)注,對安全法律法規(guī)不了解,數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)低下,數(shù)據(jù)風(fēng)險(xiǎn)防范能力不足,存在敏感數(shù)據(jù)隨便私存和分發(fā)等問題。
數(shù)據(jù)安全精細(xì)化管控措施普遍缺位
高校的業(yè)務(wù)系統(tǒng)眾多,安全歸口管理部門不一,這導(dǎo)致敏感數(shù)據(jù)散落各處,數(shù)據(jù)訪問角色復(fù)雜,系統(tǒng)漏洞百出;而由于大多高校未開展數(shù)據(jù)分類分級(jí),不清晰數(shù)據(jù)流向,難摸清數(shù)據(jù)底賬,導(dǎo)致無法差異化、精細(xì)化落實(shí)安全管控措施。
系統(tǒng)運(yùn)維特權(quán)賬號(hào)缺少管控措施
高校信息中心因人員不足的問題,會(huì)引入第三方或兼職學(xué)生進(jìn)行響相關(guān)的運(yùn)維工作,并賦予訪問權(quán)限,這存在嚴(yán)重安全隱患;運(yùn)維人員極易受黑市誘惑、好奇心驅(qū)動(dòng)、人情請托等因素,利用便利條件達(dá)到竊取數(shù)據(jù)、篡改數(shù)據(jù)。
API數(shù)據(jù)共享安全風(fēng)險(xiǎn)難感知
高校業(yè)務(wù)系統(tǒng)數(shù)據(jù)抽取和交換,多是通過API接口進(jìn)行數(shù)據(jù)讀取,但由于缺少相應(yīng)措施,對敏感數(shù)據(jù)流向和數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控、管理和審計(jì)溯源,高校難以感知數(shù)據(jù)濫用、數(shù)據(jù)竊取等風(fēng)險(xiǎn)。
03
守好數(shù)據(jù)安全合規(guī)底線
制度、技術(shù)、運(yùn)營是關(guān)鍵
針對高校數(shù)據(jù)安全現(xiàn)狀和主要問題,如何做好數(shù)據(jù)安全建設(shè)?
美創(chuàng)科技認(rèn)為需要從制度、技術(shù)和運(yùn)營著手,以數(shù)據(jù)分類分級(jí)為起點(diǎn),以管理制度為依據(jù),在具體建設(shè)過程和環(huán)節(jié)中,充分利用和發(fā)揮好各種關(guān)鍵技術(shù)的作用,分段實(shí)施,體系規(guī)劃,逐步構(gòu)建覆蓋數(shù)據(jù)全流程、全鏈路的數(shù)據(jù)安全防護(hù)技術(shù)體系,最后構(gòu)建數(shù)據(jù)安全運(yùn)營體系,實(shí)現(xiàn)數(shù)據(jù)安全的持續(xù)優(yōu)化和提升。
分類分級(jí)是建設(shè)基礎(chǔ)
《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施保護(hù)網(wǎng)絡(luò)安全?!稊?shù)據(jù)安全法》則進(jìn)一步規(guī)定,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,對數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。
高校應(yīng)結(jié)合法律法規(guī)、部門規(guī)章、行業(yè)標(biāo)準(zhǔn)(如:《教育部等七部門關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全的通知》、《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識(shí)別認(rèn)定工作指南(試行)的通知》等),制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn),梳理出高校信息系統(tǒng)重要的數(shù)據(jù)目錄,明確個(gè)人隱私和敏感數(shù)據(jù)保護(hù)范圍,達(dá)到分類分級(jí)保護(hù)的效果。其中達(dá)到秘密級(jí)的數(shù)據(jù)應(yīng)當(dāng)遵循《保守國家秘密法》的規(guī)定。
管理制度是建設(shè)依據(jù)
《教育部等七部門關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全的通知》中明確,應(yīng)健全覆蓋數(shù)據(jù)收集、傳輸存儲(chǔ)、使用處理、開放共享等全生命周期的數(shù)據(jù)安全保障制度。
對此,高??蓮臎Q策層、管理層、執(zhí)行層、配合層、監(jiān)督層5個(gè)層面進(jìn)行組織建設(shè),明確數(shù)據(jù)安全責(zé)任人;在制定數(shù)據(jù)安全管理與隱私保護(hù)相關(guān)辦法中,明確數(shù)據(jù)收集、存儲(chǔ)、處理、共享等關(guān)鍵環(huán)節(jié)的操作規(guī)范、管理部門職責(zé)分工、應(yīng)急管理與安全檢查機(jī)制,從而充分發(fā)揮各部門和各類人員在數(shù)據(jù)安全保障工作中的作用,共同遵守和執(zhí)行安全規(guī)章制度,保障數(shù)據(jù)安全策略的貫徹落實(shí)。
數(shù)據(jù)安全需全鏈路建設(shè)
根據(jù)《數(shù)據(jù)安全法》的規(guī)定,數(shù)據(jù)安全是指通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
因此,在數(shù)據(jù)安全建設(shè)中,高校需梳理數(shù)據(jù)應(yīng)用重要業(yè)務(wù)場景,評估其數(shù)據(jù)安全現(xiàn)狀,在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上,分段實(shí)施、體系規(guī)劃、面向數(shù)據(jù)訪問域、存儲(chǔ)域、流動(dòng)域,落實(shí)覆蓋數(shù)據(jù)全鏈路的數(shù)據(jù)安全技術(shù)防護(hù)體系。
在數(shù)據(jù)存儲(chǔ)域:對師生敏感數(shù)據(jù)或重要數(shù)據(jù)進(jìn)行加密存儲(chǔ),防止黑客拖庫、磁盤丟失、備份文件被盜等原因造成敏感信息泄漏;對重要啞終端、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、文件服務(wù)器等重要系統(tǒng)部署勒索軟件防范勒索攻擊;同時(shí)借用數(shù)據(jù)災(zāi)備保障業(yè)務(wù)連續(xù)。
在數(shù)據(jù)訪問域:通過數(shù)據(jù)庫防水壩對運(yùn)維人員的權(quán)限進(jìn)行細(xì)粒度的操作權(quán)限控制,實(shí)現(xiàn)DBA權(quán)限分離控制、防止越權(quán),實(shí)現(xiàn)DML/DDL操作指令控制,防止誤操作;通過數(shù)據(jù)庫防火墻防范黑客通過SQL注入漏洞和數(shù)據(jù)庫漏洞進(jìn)行網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取;采用DLP數(shù)據(jù)防泄漏系統(tǒng)對重要文件的處理、傳輸進(jìn)行管控;通過數(shù)據(jù)庫審計(jì)實(shí)現(xiàn)數(shù)據(jù)庫訪問的各類操作行為的監(jiān)控和記錄、審計(jì)溯源。
在數(shù)據(jù)流動(dòng)域:通過靜態(tài)脫敏、水印溯源、API監(jiān)測與訪問控制等能力,加強(qiáng)數(shù)據(jù)流動(dòng)場景下的安全保障和風(fēng)險(xiǎn)監(jiān)測,實(shí)現(xiàn)數(shù)據(jù)可控流動(dòng)。
安全是一個(gè)不斷變化的過程。為了應(yīng)對變化,高校應(yīng)對數(shù)據(jù)安全進(jìn)行持續(xù)優(yōu)化改進(jìn)與運(yùn)營,以看見驅(qū)動(dòng)安全,從全局視角提升對數(shù)據(jù)安全威脅的發(fā)現(xiàn)識(shí)別、理解、分析和響應(yīng)能力,實(shí)現(xiàn)資產(chǎn)全域可管、風(fēng)險(xiǎn)全域可視、策略全域聯(lián)動(dòng),充分盤活整體數(shù)據(jù)安全防護(hù)能力,最終形成一體化的數(shù)據(jù)安全管理、安全監(jiān)控和安全運(yùn)營體系,實(shí)現(xiàn)數(shù)據(jù)安全統(tǒng)一運(yùn)營。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )