“知、识、控、察、行”五步法铸就高校数据安全堡垒
高校信息化在发展过程中,常常会出现业务系统数量多、规模大、复杂度高,业务数据增长迅猛等情况。大数据及数据集中化虽然方便了管理,但也带来了风险的集中化。在利益驱动下,针对数据安全的内外部攻击层出不穷。
2021年4月,教育部发布了《关于加强教育系统数据安全工作的通知》,国家层面也相继出台了《数据安全法》《个人信息保护法》等法律法规,为教育行业数据安全治理提供了重要的指导和参考,对于用户个人信息的保护要求空前严格。
当前,高校在数据安全方面,普遍存在以下几方面的问题:
- 数据跨学院、跨部门流转,涉及不同院系、部门。缺乏统一团队、专业人员牵头,无法形成统一数据安全防护体系;
- 数据流通性强,涉及多个院系、部门的人员,数据安全事件发生后,难以有效溯源,缺乏认责依据,无法认责造成部分人员无所顾忌;
- 校园内部敏感信息泄露、以及敏感信息数据使用情况、违规访问和泄漏分析的日志记录,缺乏统一分析去溯源;
- 对于运维人员、开发测试人员使用数据流程和方法缺乏监控;
- 数据库没有厂家运维,或数据库过低不能升级新版本,容易被攻击;缺乏数据识别、审计能力。
在高校数据安全建设方面,可围绕“一个中心,四个领域,五个阶段”构建数据安全体系顶层设计。“一个中心”,即以数据安全防护为中心;“四个领域”,即数据安全建设的四个领域,包括组织建设、制度流程,技术工具和人员能力;“五个阶段”是指数据安全建设的五个阶段,分别为业务梳理、分级分类、策略制定、技术管控、优化改进。
在数据安全建设体系中,组织建设、制度流程、技术工具、人员能力四个领域,均需同步开展建设工作。同时,应做好对数据安全的相关管理工作,管理是技术的运营依据、技术是管理的落地保障,两者相辅相成,缺一不可。
绿盟科技借鉴Gartner的数据安全治理框架,定义了数据安全建设的五个阶段。形成了绿盟科技的数据安全方法论,即“知”“识”“控”“察”“行”。
- 知:分析政策法规、梳理业务及人员对数据的使用规范,定义敏感数据;
- 识:根据定义好的敏感数据,利用工具对全网进行敏感数据扫描发现,对发现的数据进行数据定位、数据分类、数据分级;
- 控:根据敏感数据的级别,设定数据在全生命周期中的可用范围,利用规范和工具对数据进行细粒度的权限管控;
- 察:对数据进行监督监察,保障数据在可控范围内正常使用的同时,也对非法的数据行为进行了记录,为事后取证留下了清晰准确的日志信息;
- 行:对不断变化的数据做持续性的跟踪,提供策略优化与持续运营的服务。
五步法——铸就高校数据安全堡垒
1. 业务数据梳理与敏感数据识别
在组织与制度设计方面,应自上而下形成由学校高层牵头,横跨学校业务部门与安全部门的组织架构。由信息安全管理团队和数据业务管理团队共同商讨建立数据安全制度流程体系。制定好的制度体系应以文档化的方式进行落地管理,并严格执行。
在敏感数据识别与定义方面,应基于业务特点进行数据的识别、数据分类、数据分级。可根据《中华人民共和国网络安全法》要求对个人信息和重要数据分开进行评估与定级,再按照就高不就低的原则对数据条目进行整体定级。
2. 数据全生存周期安全风险评估
在高校数据安全进行风险评估方面,可以从数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等数据的生存周期角度进行考虑。
绿盟科技敏感数据发现与风险评估系统,可以实现智能数据分类分级、全网数据资产测绘、实时数据流转测绘、大数据平台风险扫描的能力。同时,结合绿盟数据安全评估服务,从数据生存周期各个阶段评估数据安全风险,应该可以帮助您解决很大部分的敏感数据发现与风险评估问题。
3. 高校数据安全纵深防护
对于数据安全的风险,应以数据为中心,由内而外对业务、网络、设备、用户采取“零信任”的态度,管控手段覆盖全部环节,任意环节失信后都能实现熔断保护。
用户侧、终端侧、网络侧、业务侧,以及数据中心,均应做好安全防护措施,由外向内防攻击防入侵防篡改,由内向外防滥用防伪造防泄露。同时,对全部纵深防护环节进行整体控制,实现环境感知、可信控制和全面审计。整合多层次的纵深防御,及时发现、阻止安全问题。
4. 敏感数据监察分析
敏感数据监察分析、发现安全问题与异常事件。应从用户、资产和数据行为模式出发,依托5W1H分析模型进行敏感数据行为分析,基于行为模式发现数据异常事件。
同时,还应基于历史的可信访问行为提取访问规则,利用各类算法进行行为聚类,形成可划分的访问行为簇并可视化呈现。通过这种图谱分析与可视化展示让管理者对于敏感数据访问情况,由一无所知转变为可视可管。
5. 优化改进与持续运营
业务与数据都处在不断变化的过程中,还应对数据安全进行持续的优化改进与运营。合规要求指导安全策略的设置,安全策略支撑合规治理要求的落地,二者相辅相成,配合持续优化改进运营的“知识控察行”体系,实现持续自适应的数据安全防护能力。
高校数据安全建设优势
1. 满足合规要求
进一步加强数据安全监管机制,完善数据安全管理制度,提升大数据环境下数据合规使用能力。
2. 数据安全集中管控、智能分析
实现数据安全集中管控,实现对云环境下的整体信息资产、安全事件、安全风险、访问行为等的统一分析与监管,通过关联分析技术,使系统管理人员能够迅速发现问题,定位问题,有效应对安全事件的发生。
3. 数据生命周期全面掌控
掌握数据的全生命周期是对数据风险的提前预知,利用本方案对数据的生命周期中各个环节做监控,掌握数据的动态,了解数据的流向,提前对可能发生的数据泄露风险进行预警,保障数据在安全的可控范围内流转、使用与存储。
4. 降低个人信息泄露风险
通过对个人信息的扫描与跟踪,利用内容识别、UEBA、机器学习等技术,及时发现个人信息所承载的系统、业务、网络、终端中的安全威胁,提前做好防范措施,让泄密风险看得见、使个人信息泄漏防得住。
5. 提高个人信息使用者安全意识
数据安全解决方案的应用,让数据使用者了解数据的重要程度,规范数据使用者的操作行为,从潜意识里指导与帮助人们正确使用资源,合理利用资源,保护数据的安全。
