隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能等新技術(shù)的發(fā)展，網(wǎng)絡(luò)邊界被不斷打破，數(shù)字孿生、敏捷創(chuàng)新、安全合規(guī)驅(qū)動(dòng)快速轉(zhuǎn)型，各高校正面臨著數(shù)字化轉(zhuǎn)型帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)。

近年來(lái)數(shù)據(jù)泄露的安全事件頻發(fā)，國(guó)家和相關(guān)主管單位對(duì)數(shù)據(jù)安全的重視程度不斷提高，數(shù)據(jù)安全已經(jīng)與關(guān)鍵信息基礎(chǔ)設(shè)施一并成為影響國(guó)家穩(wěn)定、民生安全及社會(huì)安全的關(guān)鍵因素。

當(dāng)前，高校在數(shù)據(jù)安全體系建設(shè)方面，主要有以下幾方面的工作難點(diǎn)：

【資料圖】

傳統(tǒng)信息安全體系無(wú)法有效保護(hù)數(shù)據(jù)安全

有別與傳統(tǒng)信息安全防護(hù)體系，由于數(shù)據(jù)安全防護(hù)體系將保護(hù)對(duì)象聚焦在“數(shù)據(jù)資產(chǎn)”等無(wú)形資產(chǎn)上，數(shù)據(jù)資產(chǎn)的機(jī)密性、完整性以及可用性與硬件資產(chǎn)存在著巨大差別，這導(dǎo)致傳統(tǒng)信息安全防護(hù)體系通常無(wú)法對(duì)數(shù)據(jù)安全提供有效保護(hù)能力。

靜態(tài)防護(hù)策略無(wú)法保護(hù)數(shù)據(jù)安全

傳統(tǒng)信息安全體系安全策略的設(shè)計(jì)思路往往是靜態(tài)的。而隨著大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，以及移動(dòng)互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展，高校數(shù)據(jù)存儲(chǔ)、處理平臺(tái)所承載的數(shù)據(jù)量正在以極快的速度增長(zhǎng)。若仍以靜態(tài)的視角看待數(shù)據(jù)資產(chǎn)，將無(wú)法應(yīng)對(duì)由數(shù)據(jù)量急劇增長(zhǎng)所帶來(lái)的數(shù)據(jù)泄露、數(shù)據(jù)損壞、數(shù)據(jù)篡改以及對(duì)數(shù)據(jù)主體造成影響等安全問(wèn)題。

數(shù)據(jù)資產(chǎn)的權(quán)責(zé)不一致

數(shù)據(jù)通常來(lái)自于高校不同的業(yè)務(wù)部門(mén)和群體，數(shù)據(jù)安全防護(hù)體系的建設(shè)常常受到來(lái)自不同部門(mén)的阻力，為推動(dòng)數(shù)據(jù)安全體系建設(shè)工作增加了難度。

缺少安全事件異常告警機(jī)制

當(dāng)發(fā)生安全事件時(shí)，需要及時(shí)告警反饋，才能進(jìn)入應(yīng)急響應(yīng)流程。如果缺少安全事件異常告警機(jī)制，發(fā)生安全事件時(shí)就無(wú)法及時(shí)采取措施。安全事件越晚被發(fā)現(xiàn)，造成的損失也將越大。

近年來(lái)，綠盟科技（300369）持續(xù)深耕教育行業(yè)與數(shù)據(jù)安全領(lǐng)域，開(kāi)展了大量創(chuàng)新研究、技術(shù)探索與落地實(shí)踐工作。基于對(duì)教育行業(yè)與數(shù)據(jù)安全治理工作的深入理解，參考Gartner數(shù)據(jù)安全治理框架（DSG），提出了“一個(gè)中心、四個(gè)領(lǐng)域、五個(gè)階段”的頂層設(shè)計(jì)思路。

一個(gè)中心是指以數(shù)據(jù)安全防護(hù)為中心，四個(gè)領(lǐng)域是指的數(shù)據(jù)安全建設(shè)的四個(gè)領(lǐng)域：組織建設(shè)、制度流程，技術(shù)工具和人員能力，五個(gè)階段是指的數(shù)據(jù)安全建設(shè)的五個(gè)階段：業(yè)務(wù)梳理，分級(jí)分類，策略制定，技術(shù)管控，優(yōu)化改進(jìn)。

在數(shù)據(jù)安全體系化建設(shè)方面，綠盟科技通過(guò)對(duì)國(guó)內(nèi)網(wǎng)絡(luò)安全工作和各安全事件的分析與理解，總結(jié)提煉出了“知”、“識(shí)”、“控”、“察”、“行”數(shù)據(jù)安全方法論，以指導(dǎo)和幫助教育行業(yè)客戶有序開(kāi)展數(shù)據(jù)安全工作。

★ 知

分析理解數(shù)據(jù)安全相關(guān)政策法規(guī)，梳理系統(tǒng)業(yè)務(wù)及人員對(duì)數(shù)據(jù)的使用規(guī)范，定義敏感數(shù)據(jù)。

★ 識(shí)

利用技術(shù)工具對(duì)教育業(yè)務(wù)系統(tǒng)信息和個(gè)人信息等敏感數(shù)據(jù)進(jìn)行掃描，對(duì)發(fā)現(xiàn)的數(shù)據(jù)進(jìn)行定位、分類和分級(jí)。

★ 控

根據(jù)敏感數(shù)據(jù)的級(jí)別，設(shè)定數(shù)據(jù)在全生命周期中的可用范圍，通過(guò)制度規(guī)范和技術(shù)措施對(duì)數(shù)據(jù)進(jìn)行有效細(xì)粒度的權(quán)限管控。

★ 察

對(duì)數(shù)據(jù)的流轉(zhuǎn)、使用和開(kāi)放共享進(jìn)行監(jiān)督，確保數(shù)據(jù)在合理可控的范圍內(nèi)正常使用時(shí)，對(duì)非法數(shù)據(jù)行為記錄并為溯源取證提供支撐。

★ 行

對(duì)流轉(zhuǎn)數(shù)據(jù)動(dòng)態(tài)跟蹤和管理，從合規(guī)監(jiān)管、風(fēng)險(xiǎn)管控、策略優(yōu)化等方面提供可持續(xù)運(yùn)營(yíng)能力。

高校數(shù)據(jù)安全體系化建設(shè)

根據(jù)“知、識(shí)、控、察、行”方法論，重點(diǎn)圍繞高校業(yè)務(wù)數(shù)據(jù)梳理、敏感數(shù)據(jù)定義與識(shí)別、數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)的縱深安全防護(hù)、敏感數(shù)據(jù)監(jiān)察分析、優(yōu)化改進(jìn)與持續(xù)運(yùn)營(yíng)等幾方面，開(kāi)展數(shù)據(jù)安全體系化建設(shè)工作。

業(yè)務(wù)數(shù)據(jù)梳理

高校各業(yè)務(wù)系統(tǒng)眾多，且同時(shí)存儲(chǔ)有大量重要的數(shù)據(jù)和信息。因此，業(yè)務(wù)部門(mén)要深入?yún)⑴c數(shù)據(jù)資產(chǎn)梳理以及分級(jí)分類工作之中，并配合信息安全管理團(tuán)隊(duì)、數(shù)據(jù)業(yè)務(wù)管理團(tuán)隊(duì)，建立并完善數(shù)據(jù)安全管理組織架構(gòu)和責(zé)任落實(shí)機(jī)制，加強(qiáng)組織建設(shè)、以制度和標(biāo)準(zhǔn)為管理手段，抓好數(shù)據(jù)安全制度的修訂、完善與落實(shí)工作，并逐步形成層次化的管理制度規(guī)范文件。穩(wěn)步構(gòu)建安全管理部門(mén)統(tǒng)籌整體數(shù)據(jù)安全工作、業(yè)務(wù)部門(mén)深度參與、行政主管部門(mén)做好數(shù)據(jù)安全監(jiān)管與審計(jì)的協(xié)同聯(lián)動(dòng)機(jī)制，打造合理有效的組織保障體系。

敏感數(shù)據(jù)的定義與識(shí)別

安全管理部門(mén)應(yīng)事先定義和識(shí)別業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)，基于業(yè)務(wù)特點(diǎn)進(jìn)行數(shù)據(jù)的識(shí)別、分類、分級(jí)。數(shù)據(jù)分類分級(jí)的準(zhǔn)確清晰，是后續(xù)數(shù)據(jù)保護(hù)的基礎(chǔ)。由于高校數(shù)據(jù)類型不同，對(duì)業(yè)務(wù)的影響程度也不同，建議根據(jù)數(shù)據(jù)安全相關(guān)法律與規(guī)范，對(duì)個(gè)人信息和重要數(shù)據(jù)分開(kāi)進(jìn)行評(píng)估與定級(jí)，再遵循就高不就低的原則對(duì)數(shù)據(jù)條目進(jìn)行整體定級(jí)。

數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)評(píng)估

在完成敏感數(shù)據(jù)分類分級(jí)后，就需要對(duì)風(fēng)險(xiǎn)進(jìn)行梳理和評(píng)估。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估可以從數(shù)據(jù)的生存周期角度進(jìn)行考慮，即數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全。

同時(shí)，數(shù)據(jù)生存周期安全風(fēng)險(xiǎn)評(píng)估應(yīng)從通用安全和各階段安全兩個(gè)方面進(jìn)行數(shù)據(jù)環(huán)境風(fēng)險(xiǎn)檢查，了解信息系統(tǒng)總體安全風(fēng)險(xiǎn)狀況，對(duì)脆弱性進(jìn)行統(tǒng)一分析和評(píng)估，以建立快速響應(yīng)機(jī)制，及時(shí)有效完成數(shù)據(jù)安全風(fēng)險(xiǎn)修復(fù)工作。

數(shù)據(jù)的縱深安全防護(hù)

針對(duì)數(shù)據(jù)安全的風(fēng)險(xiǎn)，應(yīng)以數(shù)據(jù)為中心，向外對(duì)業(yè)務(wù)、網(wǎng)絡(luò)、設(shè)備、用戶采取“零信任”的態(tài)度。用戶側(cè)、終端側(cè)、網(wǎng)絡(luò)側(cè)、業(yè)務(wù)側(cè)，以及數(shù)據(jù)中心，都應(yīng)做好安全防護(hù)措施，外向內(nèi)防攻擊防入侵防篡改，內(nèi)向外防濫用防偽造防泄露。不僅如此，還應(yīng)對(duì)全部縱深防護(hù)環(huán)節(jié)進(jìn)行整體控制，實(shí)現(xiàn)環(huán)境感知，可信控制和全面審計(jì)。整合多層次的縱深防御，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)阻止安全問(wèn)題。

敏感數(shù)據(jù)監(jiān)察分析

以用戶、資產(chǎn)和數(shù)據(jù)行為模式出發(fā)，利用5W1H分析模型進(jìn)行敏感數(shù)據(jù)行為分析，基于行為模式發(fā)現(xiàn)數(shù)據(jù)異常事件。在數(shù)據(jù)安全領(lǐng)域，傳統(tǒng)的安全分析方法存在信息量大，有效信息少的問(wèn)題，用戶行為分析與機(jī)器學(xué)習(xí)技術(shù)能夠優(yōu)秀的解決上述問(wèn)題幫助使用者更好的識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)。

基于歷史的可信訪問(wèn)行為提取訪問(wèn)規(guī)則，利用各類算法進(jìn)行行為聚類，形成可劃分的訪問(wèn)行為簇并可視化呈現(xiàn)。通過(guò)這種圖譜分析與可視化展示讓管理者對(duì)于敏感數(shù)據(jù)訪問(wèn)情況，由一無(wú)所知轉(zhuǎn)變?yōu)榭梢暱晒堋?/p>

優(yōu)化改進(jìn)與持續(xù)運(yùn)營(yíng)

安全是一個(gè)不斷變化的過(guò)程。為了應(yīng)對(duì)變化，應(yīng)對(duì)數(shù)據(jù)安全進(jìn)行持續(xù)優(yōu)化改進(jìn)與運(yùn)營(yíng)。合規(guī)要求指導(dǎo)安全策略的設(shè)置，安全策略支撐合規(guī)治理要求的落地，二者相輔相成，配合持續(xù)優(yōu)化改進(jìn)運(yùn)營(yíng)的“知識(shí)控察行”體系，實(shí)現(xiàn)持續(xù)自適應(yīng)的數(shù)據(jù)安全防護(hù)能力。

數(shù)據(jù)安全建設(shè)是一個(gè)長(zhǎng)期和持續(xù)的過(guò)程，如何更好地進(jìn)行數(shù)據(jù)安全建設(shè)，利用一套科學(xué)的、系統(tǒng)的數(shù)據(jù)安全建設(shè)體系對(duì)于高校來(lái)說(shuō)十分重要且必要。數(shù)據(jù)安全建設(shè)需要技術(shù)和管理雙管齊下，在建設(shè)的過(guò)程和環(huán)節(jié)中，需充分利用和發(fā)揮好各種關(guān)鍵技術(shù)的作用，在優(yōu)化改進(jìn)環(huán)節(jié)中，引入新技術(shù)來(lái)優(yōu)化技術(shù)和管理流程。同時(shí)，也希望通過(guò)數(shù)據(jù)安全的體系化建設(shè)，能夠?yàn)榻逃畔⒒l(fā)展提供重要支撐，助力我國(guó)教育現(xiàn)代化的發(fā)展。