這兩天,一則#盜學(xué)生信息人大畢業(yè)生被刑拘#新聞沖上熱搜,引發(fā)熱議。
中國人民大學(xué)畢業(yè)生馬某,在讀碩士研究生期間通過非法技術(shù)手段,盜取了近幾屆學(xué)生的個(gè)人信息,并制作成網(wǎng)頁供任何人隨意瀏覽,甚至能夠給該校女學(xué)生的顏值打分。
*據(jù)網(wǎng)上爆料,這個(gè)名叫“RUC IR FACE”的顏值打分網(wǎng)站疑似包含了該校從2014級(jí)到2022級(jí)學(xué)生的個(gè)人資料,甚至可以從身高、星座、籍貫、所在學(xué)院等多個(gè)維度進(jìn)行精確篩選,估計(jì)波及超過5萬名學(xué)生。
網(wǎng)絡(luò)不是法外之地,目前,中國人民大學(xué)已第一時(shí)間聯(lián)系警方,該畢業(yè)生被依法刑事拘留,案件正在進(jìn)一步調(diào)查中。
從鹽城7萬余條學(xué)生信息被售賣獲利,到學(xué)習(xí)通1.7億條用戶數(shù)據(jù)被泄露,再到今天畢業(yè)生竊取全校學(xué)生信息公之網(wǎng)絡(luò)·····
近年來,在高校頻頻上演的隱私數(shù)據(jù)泄漏風(fēng)波,也揭示了目前高校數(shù)據(jù)管理水平不足、數(shù)據(jù)安全防范能力不夠、數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患突出的現(xiàn)實(shí)短板,彌補(bǔ)差距,強(qiáng)化能力,需成為每個(gè)高校重點(diǎn)關(guān)注的工作。
01
高校數(shù)據(jù)安全
應(yīng)重點(diǎn)關(guān)注六個(gè)問題
《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等數(shù)據(jù)安全法律法規(guī)的頒布和實(shí)施,高校對數(shù)據(jù)安全保護(hù)工作逐步重視。但整體來看,高校數(shù)據(jù)安全能力還在起步階段,伴隨數(shù)字化的深入開展,威脅手段的持續(xù)升級(jí),新問題、新風(fēng)險(xiǎn)交織,高校數(shù)據(jù)安全這六個(gè)問題需要重點(diǎn)關(guān)注:
1、數(shù)字化轉(zhuǎn)型造成數(shù)據(jù)敏感級(jí)別不斷提升
高校師生個(gè)人和家庭數(shù)據(jù)真實(shí)性強(qiáng)且不可逆性、數(shù)據(jù)量級(jí)不斷增大,數(shù)據(jù)一量泄漏可能造成巨大影響;
重點(diǎn)實(shí)驗(yàn)室、科研項(xiàng)目等核心數(shù)據(jù),財(cái)務(wù)數(shù)據(jù)、學(xué)生考評等數(shù)據(jù),是竊取/篡改重點(diǎn)目標(biāo)。
2、數(shù)據(jù)安全管理制度體系不夠完善
高校管理鏈條較長,數(shù)據(jù)安全管理組織架構(gòu)不健全,數(shù)據(jù)安全責(zé)任人不明確,信息中心有心無力,業(yè)務(wù)部門無的放矢,數(shù)據(jù)安全工作推進(jìn)困難;
數(shù)據(jù)安全管理制度缺失,數(shù)據(jù)安全操作流程和規(guī)范沒有明確要求,數(shù)據(jù)安全考核和效果評價(jià)沒標(biāo)準(zhǔn)。
3、工作人員缺乏數(shù)據(jù)安全意識(shí)
安全法律法規(guī)不了解,數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)低下,數(shù)據(jù)風(fēng)險(xiǎn)防范能力不足,敏感數(shù)據(jù)隨便私存和分發(fā);
難以均衡安全與便利性矛盾,對數(shù)據(jù)安全管控方案不理解、不支持,安全管控措施難有效推進(jìn)。
4、數(shù)據(jù)安全精細(xì)化管控措施普遍缺位
業(yè)務(wù)系統(tǒng)眾多,安全歸口管理部門不一,敏感數(shù)據(jù)散落各處,安全防護(hù)力度不足,數(shù)據(jù)風(fēng)險(xiǎn)敞口大;
數(shù)據(jù)訪問權(quán)限難梳理,數(shù)據(jù)流向不清晰,未開展數(shù)據(jù)分類分級(jí),未落實(shí)差異化、精細(xì)化安全管控措施。
5、系統(tǒng)運(yùn)維特權(quán)賬號(hào)缺少管控措施
信息中心數(shù)據(jù)安全能力不足,過度依賴于第三方或兼職學(xué)生,并賦予特權(quán)賬號(hào),存在嚴(yán)重安全隱患;
運(yùn)維人員受黑市誘惑、好奇心驅(qū)動(dòng)、人情請托等因素,利用工作便利條件達(dá)到竊取數(shù)據(jù)、篡改數(shù)據(jù)。
6、API數(shù)據(jù)共享安全風(fēng)險(xiǎn)難感知
業(yè)務(wù)系統(tǒng)數(shù)據(jù)抽取和交換,多是通過API接口進(jìn)行數(shù)據(jù)讀取,未對敏感數(shù)據(jù)流向和數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和管理,難以感知數(shù)據(jù)濫用、數(shù)據(jù)竊取等風(fēng)險(xiǎn);
缺少安全審計(jì)手段,無法對數(shù)據(jù)使用情況進(jìn)行審查。
02
高校數(shù)據(jù)安全
需牢牢把握三個(gè)關(guān)鍵
針對高校數(shù)據(jù)安全現(xiàn)狀和主要問題,如何做好數(shù)據(jù)安全建設(shè)?美創(chuàng)科技認(rèn)為需要技術(shù)和管理雙管齊下,以數(shù)據(jù)分類分級(jí)為起點(diǎn),以管理制度為依據(jù),在具體建設(shè)過程和環(huán)節(jié)中,充分利用和發(fā)揮好各種關(guān)鍵技術(shù)的作用,分段實(shí)施,體系規(guī)劃,逐步構(gòu)建覆蓋數(shù)據(jù)全流程、全鏈路的數(shù)據(jù)安全防護(hù)技術(shù)體系,最后構(gòu)建數(shù)據(jù)安全運(yùn)營體系,實(shí)現(xiàn)數(shù)據(jù)安全的持續(xù)優(yōu)化和提升。
分類分級(jí)是建設(shè)基礎(chǔ)
經(jīng)過多年信息化建設(shè),高校已積累了規(guī)模龐大的數(shù)據(jù)資產(chǎn),且涉及的信息量及群體規(guī)模十分復(fù)雜,數(shù)據(jù)資產(chǎn)有哪些?怎么分布?有哪些類型?借助技術(shù)手段摸清資產(chǎn)家底,進(jìn)行數(shù)據(jù)分類分級(jí)成為數(shù)據(jù)安全建設(shè)的首要任務(wù)。
高校應(yīng)結(jié)合法律法規(guī)、部門規(guī)章、行業(yè)標(biāo)準(zhǔn)(如:《教育部等七部門關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全的通知》、《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識(shí)別認(rèn)定工作指南(試行)的通知》等),制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn),梳理出高校信息系統(tǒng)重要的數(shù)據(jù)目錄,明確個(gè)人隱私和敏感數(shù)據(jù)保護(hù)范圍。
管理制度是建設(shè)依據(jù)
《教育部等七部門關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全的通知》中明確,應(yīng)健全覆蓋數(shù)據(jù)收集、傳輸存儲(chǔ)、使用處理、開放共享等全生命周期的數(shù)據(jù)安全保障制度。
對此,高校在制定數(shù)據(jù)安全管理與隱私保護(hù)相關(guān)辦法中,需明確數(shù)據(jù)收集、存儲(chǔ)、處理、共享等關(guān)鍵環(huán)節(jié)的操作規(guī)范、管理部門職責(zé)分工、應(yīng)急管理與安全檢查機(jī)制,充分發(fā)揮各部門和各類人員在數(shù)據(jù)安全保障工作中的作用,共同遵守和執(zhí)行安全規(guī)章制度,保障數(shù)據(jù)安全策略的貫徹落實(shí)。
數(shù)據(jù)安全需全鏈路建設(shè)
數(shù)據(jù)在流動(dòng)中創(chuàng)造價(jià)值,對數(shù)據(jù)的保護(hù)就是對流動(dòng)過程的數(shù)據(jù)全鏈路分級(jí)保護(hù)。在數(shù)據(jù)安全建設(shè)中,高校需梳理數(shù)據(jù)應(yīng)用重要業(yè)務(wù)場景,評估其數(shù)據(jù)安全現(xiàn)狀,在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上,分段實(shí)施、體系規(guī)劃、面向數(shù)據(jù)訪問域、存儲(chǔ)域、流動(dòng)域,落實(shí)覆蓋數(shù)據(jù)全鏈路的數(shù)據(jù)安全技術(shù)防護(hù)體系。
在數(shù)據(jù)存儲(chǔ)域: 對師生敏感數(shù)據(jù)或重要數(shù)據(jù)進(jìn)行加密存儲(chǔ),防止黑客拖庫、磁盤丟失、備份文件被盜等原因造成敏感信息泄漏;對重要啞終端、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、文件服務(wù)器等重要系統(tǒng)部署勒索軟件防范勒索攻擊;同時(shí)借用數(shù)據(jù)災(zāi)備保障業(yè)務(wù)連續(xù)。
在數(shù)據(jù)訪問域: 通過數(shù)據(jù)庫防水壩對運(yùn)維人員的權(quán)限進(jìn)行細(xì)粒度的操作權(quán)限控制,實(shí)現(xiàn)DBA權(quán)限分離控制、防止越權(quán),實(shí)現(xiàn)DML/DDL操作指令控制,防止誤操作;通過數(shù)據(jù)庫防火墻防范黑客通過SQL注入漏洞和數(shù)據(jù)庫漏洞進(jìn)行網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取;采用DLP數(shù)據(jù)防泄漏系統(tǒng)對重要文件的處理、傳輸進(jìn)行管控;通過數(shù)據(jù)庫審計(jì)實(shí)現(xiàn)數(shù)據(jù)庫訪問的各類操作行為的監(jiān)控和記錄、審計(jì)溯源。
在數(shù)據(jù)流動(dòng)域: 通過靜態(tài)脫敏、水印溯源、API監(jiān)測與訪問控制等能力,加強(qiáng)數(shù)據(jù)流動(dòng)場景下的安全保障和風(fēng)險(xiǎn)監(jiān)測,實(shí)現(xiàn)數(shù)據(jù)可控流動(dòng)。
安全是一個(gè)不斷變化的過程。為了應(yīng)對變化,高校應(yīng)對數(shù)據(jù)安全進(jìn)行持續(xù)優(yōu)化改進(jìn)與運(yùn)營,以看見驅(qū)動(dòng)安全,從全局視角提升對數(shù)據(jù)安全威脅的發(fā)現(xiàn)識(shí)別、理解、分析和響應(yīng)能力,實(shí)現(xiàn)資產(chǎn)全域可管、風(fēng)險(xiǎn)全域可視、策略全域聯(lián)動(dòng),充分盤活整體數(shù)據(jù)安全防護(hù)能力,最終形成一體化的數(shù)據(jù)安全管理、安全監(jiān)控和安全運(yùn)營體系,實(shí)現(xiàn)數(shù)據(jù)安全統(tǒng)一運(yùn)營。
在數(shù)字化轉(zhuǎn)型的持續(xù)推動(dòng)下,越來越多的高校以數(shù)據(jù)為驅(qū)動(dòng)力,利用新一代信息技術(shù)提升教育管理數(shù)字化、網(wǎng)絡(luò)化、智能化水平的建設(shè)。數(shù)據(jù)驅(qū)動(dòng)教育高質(zhì)量創(chuàng)新發(fā)展,守好數(shù)據(jù)安全防線更是關(guān)鍵!
美創(chuàng)科技基于多年數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn),結(jié)合《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)的要求和高校實(shí)際的數(shù)據(jù)安全風(fēng)險(xiǎn)場景,為高校數(shù)據(jù)安全建設(shè)提供全方位的產(chǎn)品、服務(wù)、解決方案,讓高校數(shù)據(jù)使用變得更加合規(guī)、安全。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!