您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
“知、識、控、察、行”五步法鑄就高校數(shù)據(jù)安全堡壘
高校信息化在發(fā)展過程中,常常會出現(xiàn)業(yè)務系統(tǒng)數(shù)量多、規(guī)模大、復雜度高,業(yè)務數(shù)據(jù)增長迅猛等情況。大數(shù)據(jù)及數(shù)據(jù)集中化雖然方便了管理,但也帶來了風險的集中化。在利益驅動下,針對數(shù)據(jù)安全的內外部攻擊層出不窮。
2021年4月,教育部發(fā)布了《關于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》,國家層面也相繼出臺了《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī),為教育行業(yè)數(shù)據(jù)安全治理提供了重要的指導和參考,對于用戶個人信息的保護要求空前嚴格。
當前,高校在數(shù)據(jù)安全方面,普遍存在以下幾方面的問題:
● 數(shù)據(jù)跨學院、跨部門流轉,涉及不同院系、部門。缺乏統(tǒng)一團隊、專業(yè)人員牽頭,無法形成統(tǒng)一數(shù)據(jù)安全防護體系;
● 數(shù)據(jù)流通性強,涉及多個院系、部門的人員,數(shù)據(jù)安全事件發(fā)生后,難以有效溯源,缺乏認責依據(jù),無法認責造成部分人員無所顧忌;
● 校園內部敏感信息泄露、以及敏感信息數(shù)據(jù)使用情況、違規(guī)訪問和泄漏分析的日志記錄,缺乏統(tǒng)一分析去溯源;
● 對于運維人員、開發(fā)測試人員使用數(shù)據(jù)流程和方法缺乏監(jiān)控;
● 數(shù)據(jù)庫沒有廠家運維,或數(shù)據(jù)庫過低不能升級新版本,容易被攻擊;缺乏數(shù)據(jù)識別、審計能力。
在高校數(shù)據(jù)安全建設方面,可圍繞“一個中心,四個領域,五個階段”構建數(shù)據(jù)安全體系頂層設計。“一個中心”,即以數(shù)據(jù)安全防護為中心;“四個領域”,即數(shù)據(jù)安全建設的四個領域,包括組織建設、制度流程,技術工具和人員能力;“五個階段”是指數(shù)據(jù)安全建設的五個階段,分別為業(yè)務梳理、分級分類、策略制定、技術管控、優(yōu)化改進。
在數(shù)據(jù)安全建設體系中,組織建設、制度流程、技術工具、人員能力四個領域,均需同步開展建設工作。同時,應做好對數(shù)據(jù)安全的相關管理工作,管理是技術的運營依據(jù)、技術是管理的落地保障,兩者相輔相成,缺一不可。
借鑒Gartner的數(shù)據(jù)安全治理框架,定義了數(shù)據(jù)安全建設的五個階段。形成的數(shù)據(jù)安全方法論,即“知”“識”“控”“察”“行”。
● 知:分析政策法規(guī)、梳理業(yè)務及人員對數(shù)據(jù)的使用規(guī)范,定義敏感數(shù)據(jù);
● 識:根據(jù)定義好的敏感數(shù)據(jù),利用工具對全網(wǎng)進行敏感數(shù)據(jù)掃描發(fā)現(xiàn),對發(fā)現(xiàn)的數(shù)據(jù)進行數(shù)據(jù)定位、數(shù)據(jù)分類、數(shù)據(jù)分級;
● 控:根據(jù)敏感數(shù)據(jù)的級別,設定數(shù)據(jù)在全生命周期中的可用范圍,利用規(guī)范和工具對數(shù)據(jù)進行細粒度的權限管控;
● 察:對數(shù)據(jù)進行監(jiān)督監(jiān)察,保障數(shù)據(jù)在可控范圍內正常使用的同時,也對非法的數(shù)據(jù)行為進行了記錄,為事后取證留下了清晰準確的日志信息;
● 行:對不斷變化的數(shù)據(jù)做持續(xù)性的跟蹤,提供策略優(yōu)化與持續(xù)運營的服務。
五步法——鑄就高校數(shù)據(jù)安全堡壘
1. 業(yè)務數(shù)據(jù)梳理與敏感數(shù)據(jù)識別
在組織與制度設計方面,應自上而下形成由學校高層牽頭,橫跨學校業(yè)務部門與安全部門的組織架構。由信息安全管理團隊和數(shù)據(jù)業(yè)務管理團隊共同商討建立數(shù)據(jù)安全制度流程體系。制定好的制度體系應以文檔化的方式進行落地管理,并嚴格執(zhí)行。
在敏感數(shù)據(jù)識別與定義方面,應基于業(yè)務特點進行數(shù)據(jù)的識別、數(shù)據(jù)分類、數(shù)據(jù)分級。可根據(jù)《中華人民共和國網(wǎng)絡安全法》要求對個人信息和重要數(shù)據(jù)分開進行評估與定級,再按照就高不就低的原則對數(shù)據(jù)條目進行整體定級。
2. 數(shù)據(jù)全生存周期安全風險評估
在高校數(shù)據(jù)安全進行風險評估方面,可以從數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等數(shù)據(jù)的生存周期角度進行考慮。
敏感數(shù)據(jù)發(fā)現(xiàn)與風險評估系統(tǒng),可以實現(xiàn)智能數(shù)據(jù)分類分級、全網(wǎng)數(shù)據(jù)資產(chǎn)測繪、實時數(shù)據(jù)流轉測繪、大數(shù)據(jù)平臺風險掃描的能力。同時,結合數(shù)據(jù)安全評估服務,從數(shù)據(jù)生存周期各個階段評估數(shù)據(jù)安全風險,應該可以幫助您解決很大部分的敏感數(shù)據(jù)發(fā)現(xiàn)與風險評估問題。
3. 高校數(shù)據(jù)安全縱深防護
對于數(shù)據(jù)安全的風險,應以數(shù)據(jù)為中心,由內而外對業(yè)務、網(wǎng)絡、設備、用戶采取“零信任”的態(tài)度,管控手段覆蓋全部環(huán)節(jié),任意環(huán)節(jié)失信后都能實現(xiàn)熔斷保護。
用戶側、終端側、網(wǎng)絡側、業(yè)務側,以及數(shù)據(jù)中心,均應做好安全防護措施,由外向內防攻擊防入侵防篡改,由內向外防濫用防偽造防泄露。同時,對全部縱深防護環(huán)節(jié)進行整體控制,實現(xiàn)環(huán)境感知、可信控制和全面審計。整合多層次的縱深防御,及時發(fā)現(xiàn)、阻止安全問題。
4. 敏感數(shù)據(jù)監(jiān)察分析
敏感數(shù)據(jù)監(jiān)察分析、發(fā)現(xiàn)安全問題與異常事件。應從用戶、資產(chǎn)和數(shù)據(jù)行為模式出發(fā),依托5W1H分析模型進行敏感數(shù)據(jù)行為分析,基于行為模式發(fā)現(xiàn)數(shù)據(jù)異常事件。
同時,還應基于歷史的可信訪問行為提取訪問規(guī)則,利用各類算法進行行為聚類,形成可劃分的訪問行為簇并可視化呈現(xiàn)。通過這種圖譜分析與可視化展示讓管理者對于敏感數(shù)據(jù)訪問情況,由一無所知轉變?yōu)榭梢暱晒堋?/span>
5. 優(yōu)化改進與持續(xù)運營
業(yè)務與數(shù)據(jù)都處在不斷變化的過程中,還應對數(shù)據(jù)安全進行持續(xù)的優(yōu)化改進與運營。合規(guī)要求指導安全策略的設置,安全策略支撐合規(guī)治理要求的落地,二者相輔相成,配合持續(xù)優(yōu)化改進運營的“知識控察行”體系,實現(xiàn)持續(xù)自適應的數(shù)據(jù)安全防護能力。
高校數(shù)據(jù)安全建設優(yōu)勢
1. 滿足合規(guī)要求
進一步加強數(shù)據(jù)安全監(jiān)管機制,完善數(shù)據(jù)安全管理制度,提升大數(shù)據(jù)環(huán)境下數(shù)據(jù)合規(guī)使用能力。
2. 數(shù)據(jù)安全集中管控、智能分析
實現(xiàn)數(shù)據(jù)安全集中管控,實現(xiàn)對云環(huán)境下的整體信息資產(chǎn)、安全事件、安全風險、訪問行為等的統(tǒng)一分析與監(jiān)管,通過關聯(lián)分析技術,使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題,定位問題,有效應對安全事件的發(fā)生。
3. 數(shù)據(jù)生命周期全面掌控
掌握數(shù)據(jù)的全生命周期是對數(shù)據(jù)風險的提前預知,利用本方案對數(shù)據(jù)的生命周期中各個環(huán)節(jié)做監(jiān)控,掌握數(shù)據(jù)的動態(tài),了解數(shù)據(jù)的流向,提前對可能發(fā)生的數(shù)據(jù)泄露風險進行預警,保障數(shù)據(jù)在安全的可控范圍內流轉、使用與存儲。
4. 降低個人信息泄露風險
通過對個人信息的掃描與跟蹤,利用內容識別、UEBA、機器學習等技術,及時發(fā)現(xiàn)個人信息所承載的系統(tǒng)、業(yè)務、網(wǎng)絡、終端中的安全威脅,提前做好防范措施,讓泄密風險看得見、使個人信息泄漏防得住。
5. 提高個人信息使用者安全意識
數(shù)據(jù)安全解決方案的應用,讓數(shù)據(jù)使用者了解數(shù)據(jù)的重要程度,規(guī)范數(shù)據(jù)使用者的操作行為,從潛意識里指導與幫助人們正確使用資源,合理利用資源,保護數(shù)據(jù)的安全。
參考來源:https://www.sohu.com/a/529962711_476857