事件回顧 近期,南昌公安網(wǎng)安部門工作發(fā)現(xiàn),南昌某高校3萬余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣。經(jīng)查,涉案高校在開展數(shù)據(jù)處理活動(dòng)中,未建立全流程數(shù)據(jù)安全管理制度,未采取技術(shù)措施保障數(shù)據(jù)安全,未履行數(shù)據(jù)安全保護(hù)義務(wù),導(dǎo)致學(xué)校存儲(chǔ)教職工信息、學(xué)生信息、繳費(fèi)信息等3000余萬條信息的數(shù)據(jù)庫(kù)被黑客非法入侵,其中3萬余條教職工、學(xué)生個(gè)人敏感信息數(shù)據(jù)被非法兜售。 南昌公安網(wǎng)安部門根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條的規(guī)定,對(duì)該學(xué)校作出責(zé)令改正、警告并處80萬元人民幣罰款的處罰,對(duì)主要責(zé)任人作出人民幣5萬元罰款的處罰。
高校由于掌握大量個(gè)人信息通常是黑客進(jìn)行網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象,近年來高校因網(wǎng)絡(luò)安全防護(hù)不力導(dǎo)致大量數(shù)據(jù)泄露或被非法使用的情況屢見不鮮。 ● 2020年,鄭州新鄭市某中等專業(yè)學(xué)校因不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)而被處罰。經(jīng)查,該校未制定內(nèi)部安全管理制度和操作規(guī)程,未按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志六個(gè)月。新鄭警方對(duì)該校及其網(wǎng)絡(luò)安全負(fù)責(zé)人分別處以1萬元和5000元罰款。 ● 貴陽某地警方根據(jù)《網(wǎng)絡(luò)安全法》對(duì)一高校及其負(fù)責(zé)人分別處以10萬元和5萬元的行政罰款。原因是該高校網(wǎng)站主頁遭遇黑客攻擊,登錄頁面被非法篡改為違法有害信息,影響惡劣。 ● 2022年,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360聯(lián)合發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告。調(diào)查發(fā)現(xiàn),攻擊源頭是美國(guó)國(guó)家安全局(NSA)下屬的特定入侵行動(dòng)辦公室(TAO),對(duì)方疑似竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。 頻頻上演的內(nèi)部數(shù)據(jù)泄漏風(fēng)波,也揭示了目前高校數(shù)據(jù)管理水平不足、數(shù)據(jù)安全防范能力不夠、數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患突出的困境與痛點(diǎn),在數(shù)字化轉(zhuǎn)型的道路上及時(shí)筑牢數(shù)據(jù)安全防線,是當(dāng)下每個(gè)高校應(yīng)該重點(diǎn)關(guān)注的工作。 高校數(shù)據(jù)安全目前面臨的困境 ●數(shù)據(jù)量龐大且敏感級(jí)別不斷提升:包括高校師生個(gè)人和家庭數(shù)據(jù),重點(diǎn)實(shí)驗(yàn)室、科研項(xiàng)目等核心數(shù)據(jù),財(cái)務(wù)數(shù)據(jù)、學(xué)生考評(píng)等數(shù)據(jù),數(shù)據(jù)量級(jí)不斷增大,數(shù)據(jù)一量泄漏可能造成巨大影響; ●數(shù)據(jù)安全精細(xì)化管控措施不到位:業(yè)務(wù)系統(tǒng)眾多,安全歸口管理部門不一,敏感數(shù)據(jù)散落各處,安全防護(hù)力度不足,數(shù)據(jù)訪問權(quán)限難梳理,未落實(shí)精細(xì)化安全管控措施; ●數(shù)據(jù)安全管理制度體系不完善 :高校管理鏈條較長(zhǎng),數(shù)據(jù)安全管理組織架構(gòu)不健全,數(shù)據(jù)安全責(zé)任人不明確,數(shù)據(jù)安全管理制度缺失,數(shù)據(jù)安全操作流程和規(guī)范沒有明確要求; ●內(nèi)部數(shù)據(jù)共享安全風(fēng)險(xiǎn)難把控:對(duì)敏感數(shù)據(jù)流向和數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和管理,難以感知數(shù)據(jù)濫用、數(shù)據(jù)竊取等風(fēng)險(xiǎn)。缺少數(shù)據(jù)溯源手段,無法對(duì)數(shù)據(jù)泄露事件進(jìn)行應(yīng)急處理。 敏捷方案鑄造數(shù)據(jù)安全的“定海神針” 針對(duì)這樣的數(shù)據(jù)安全現(xiàn)狀,高校該如何做好數(shù)據(jù)安全建設(shè)呢?敏捷科技認(rèn)為需要技術(shù)和管理雙管齊下,以數(shù)據(jù)分類分級(jí)為起點(diǎn),以管理制度為依據(jù),在具體建設(shè)過程和環(huán)節(jié)中,利用終端數(shù)據(jù)安全防護(hù)技術(shù),逐步構(gòu)建覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全防護(hù)體系,實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)與統(tǒng)一管理的持續(xù)優(yōu)化和逐步提升。 在管理制度方面 高校應(yīng)結(jié)合法律法規(guī)、部門規(guī)章、行業(yè)標(biāo)準(zhǔn),制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn),梳理出高校信息系統(tǒng)重要的數(shù)據(jù)目錄,明確個(gè)人隱私和敏感數(shù)據(jù)保護(hù)范圍。 比如,在制定數(shù)據(jù)安全管理與隱私保護(hù)相關(guān)辦法中,高校需明確數(shù)據(jù)收集、存儲(chǔ)、處理、共享等關(guān)鍵環(huán)節(jié)的操作規(guī)范、管理部門職責(zé)分工、應(yīng)急管理與安全檢查機(jī)制,充分發(fā)揮各部門和各類人員在數(shù)據(jù)安全保障工作中的作用,共同遵守和執(zhí)行安全規(guī)章制度,保障數(shù)據(jù)安全策略的貫徹落實(shí)。 在防護(hù)技術(shù)方面 >>> 數(shù)據(jù)存儲(chǔ):對(duì)師生敏感數(shù)據(jù)或重要數(shù)據(jù)進(jìn)行加密存儲(chǔ),防止黑客竊取、設(shè)備損壞、文件被盜等原因造成信息泄漏;對(duì)電腦終端、應(yīng)用服務(wù)器、文件服務(wù)器等重要系統(tǒng)部署勒索軟件防范勒索攻擊。 >>> 數(shù)據(jù)訪問:通過對(duì)核心數(shù)據(jù)定密,結(jié)合對(duì)內(nèi)部人員的權(quán)限進(jìn)行細(xì)粒度的操作權(quán)限控制,防止“高密低流”。通過與業(yè)務(wù)系統(tǒng)集成,實(shí)現(xiàn)上傳解密和下載加密,使得重要數(shù)據(jù)始終處于加密管控狀態(tài)。 >>> 數(shù)據(jù)交互:采用DLP數(shù)據(jù)防泄漏系統(tǒng)對(duì)重要文件的處理、傳輸進(jìn)行管控;配合多層級(jí)的外發(fā)審核和水印溯源技術(shù),加強(qiáng)數(shù)據(jù)流動(dòng)場(chǎng)景下的安全保障和風(fēng)險(xiǎn)監(jiān)測(cè),實(shí)現(xiàn)數(shù)據(jù)可控流動(dòng)。
敏捷科技基于多年數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn),結(jié)合《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)的要求和高校數(shù)據(jù)安全風(fēng)險(xiǎn)場(chǎng)景,為高校數(shù)據(jù)安全建設(shè)提供全生命周期的數(shù)據(jù)防泄密解決方案,助力高校數(shù)據(jù)使用變得更加合法合規(guī)、安全高效。