隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)����、移動互聯(lián)網(wǎng)�����、人工智能等新技術(shù)的發(fā)展��,網(wǎng)絡(luò)邊界被不斷打破�,數(shù)字孿生、敏捷創(chuàng)新����、安全合規(guī)驅(qū)動快速轉(zhuǎn)型�,各高校正面臨著數(shù)字化轉(zhuǎn)型帶來的數(shù)據(jù)安全風險�����。
近年來數(shù)據(jù)泄露的安全事件頻發(fā)��,國家和相關(guān)主管單位對數(shù)據(jù)安全的重視程度不斷提高�,數(shù)據(jù)安全已經(jīng)與關(guān)鍵信息基礎(chǔ)設(shè)施一并成為影響國家穩(wěn)定、民生安全及社會安全的關(guān)鍵因素�����。
當前���,高校在數(shù)據(jù)安全體系建設(shè)方面��,主要有以下幾方面的工作難點:
【資料圖】
傳統(tǒng)信息安全體系無法有效保護數(shù)據(jù)安全
有別與傳統(tǒng)信息安全防護體系�,由于數(shù)據(jù)安全防護體系將保護對象聚焦在“數(shù)據(jù)資產(chǎn)”等無形資產(chǎn)上����,數(shù)據(jù)資產(chǎn)的機密性、完整性以及可用性與硬件資產(chǎn)存在著巨大差別,這導(dǎo)致傳統(tǒng)信息安全防護體系通常無法對數(shù)據(jù)安全提供有效保護能力�����。
靜態(tài)防護策略無法保護數(shù)據(jù)安全
傳統(tǒng)信息安全體系安全策略的設(shè)計思路往往是靜態(tài)的��。而隨著大數(shù)據(jù)技術(shù)的廣泛應(yīng)用�,以及移動互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展�����,高校數(shù)據(jù)存儲����、處理平臺所承載的數(shù)據(jù)量正在以極快的速度增長。若仍以靜態(tài)的視角看待數(shù)據(jù)資產(chǎn)��,將無法應(yīng)對由數(shù)據(jù)量急劇增長所帶來的數(shù)據(jù)泄露����、數(shù)據(jù)損壞、數(shù)據(jù)篡改以及對數(shù)據(jù)主體造成影響等安全問題����。
數(shù)據(jù)資產(chǎn)的權(quán)責不一致
數(shù)據(jù)通常來自于高校不同的業(yè)務(wù)部門和群體,數(shù)據(jù)安全防護體系的建設(shè)常常受到來自不同部門的阻力,為推動數(shù)據(jù)安全體系建設(shè)工作增加了難度���。
缺少安全事件異常告警機制
當發(fā)生安全事件時��,需要及時告警反饋����,才能進入應(yīng)急響應(yīng)流程�����。如果缺少安全事件異常告警機制����,發(fā)生安全事件時就無法及時采取措施。安全事件越晚被發(fā)現(xiàn)�����,造成的損失也將越大���。
近年來����,綠盟科技(300369)持續(xù)深耕教育行業(yè)與數(shù)據(jù)安全領(lǐng)域,開展了大量創(chuàng)新研究�、技術(shù)探索與落地實踐工作?;趯逃袠I(yè)與數(shù)據(jù)安全治理工作的深入理解,參考Gartner數(shù)據(jù)安全治理框架(DSG)�,提出了“一個中心�、四個領(lǐng)域、五個階段”的頂層設(shè)計思路���。
一個中心是指以數(shù)據(jù)安全防護為中心�����,四個領(lǐng)域是指的數(shù)據(jù)安全建設(shè)的四個領(lǐng)域:組織建設(shè)�����、制度流程�,技術(shù)工具和人員能力��,五個階段是指的數(shù)據(jù)安全建設(shè)的五個階段:業(yè)務(wù)梳理�,分級分類,策略制定�,技術(shù)管控�����,優(yōu)化改進��。
在數(shù)據(jù)安全體系化建設(shè)方面����,綠盟科技通過對國內(nèi)網(wǎng)絡(luò)安全工作和各安全事件的分析與理解���,總結(jié)提煉出了“知”����、“識”�����、“控”�、“察”、“行”數(shù)據(jù)安全方法論�����,以指導(dǎo)和幫助教育行業(yè)客戶有序開展數(shù)據(jù)安全工作���。
★ 知
分析理解數(shù)據(jù)安全相關(guān)政策法規(guī)����,梳理系統(tǒng)業(yè)務(wù)及人員對數(shù)據(jù)的使用規(guī)范,定義敏感數(shù)據(jù)�����。
★ 識
利用技術(shù)工具對教育業(yè)務(wù)系統(tǒng)信息和個人信息等敏感數(shù)據(jù)進行掃描�,對發(fā)現(xiàn)的數(shù)據(jù)進行定位����、分類和分級。
★ 控
根據(jù)敏感數(shù)據(jù)的級別��,設(shè)定數(shù)據(jù)在全生命周期中的可用范圍�����,通過制度規(guī)范和技術(shù)措施對數(shù)據(jù)進行有效細粒度的權(quán)限管控����。
★ 察
對數(shù)據(jù)的流轉(zhuǎn)、使用和開放共享進行監(jiān)督�,確保數(shù)據(jù)在合理可控的范圍內(nèi)正常使用時�����,對非法數(shù)據(jù)行為記錄并為溯源取證提供支撐���。
★ 行
對流轉(zhuǎn)數(shù)據(jù)動態(tài)跟蹤和管理,從合規(guī)監(jiān)管����、風險管控、策略優(yōu)化等方面提供可持續(xù)運營能力����。
高校數(shù)據(jù)安全體系化建設(shè)
根據(jù)“知、識����、控、察���、行”方法論��,重點圍繞高校業(yè)務(wù)數(shù)據(jù)梳理����、敏感數(shù)據(jù)定義與識別、數(shù)據(jù)全生命周期安全風險評估����、數(shù)據(jù)的縱深安全防護、敏感數(shù)據(jù)監(jiān)察分析����、優(yōu)化改進與持續(xù)運營等幾方面,開展數(shù)據(jù)安全體系化建設(shè)工作��。
業(yè)務(wù)數(shù)據(jù)梳理
高校各業(yè)務(wù)系統(tǒng)眾多���,且同時存儲有大量重要的數(shù)據(jù)和信息。因此��,業(yè)務(wù)部門要深入?yún)⑴c數(shù)據(jù)資產(chǎn)梳理以及分級分類工作之中���,并配合信息安全管理團隊�、數(shù)據(jù)業(yè)務(wù)管理團隊�����,建立并完善數(shù)據(jù)安全管理組織架構(gòu)和責任落實機制��,加強組織建設(shè)、以制度和標準為管理手段�����,抓好數(shù)據(jù)安全制度的修訂���、完善與落實工作��,并逐步形成層次化的管理制度規(guī)范文件��。穩(wěn)步構(gòu)建安全管理部門統(tǒng)籌整體數(shù)據(jù)安全工作�、業(yè)務(wù)部門深度參與��、行政主管部門做好數(shù)據(jù)安全監(jiān)管與審計的協(xié)同聯(lián)動機制�,打造合理有效的組織保障體系。
敏感數(shù)據(jù)的定義與識別
安全管理部門應(yīng)事先定義和識別業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)���,基于業(yè)務(wù)特點進行數(shù)據(jù)的識別�、分類�����、分級。數(shù)據(jù)分類分級的準確清晰����,是后續(xù)數(shù)據(jù)保護的基礎(chǔ)。由于高校數(shù)據(jù)類型不同��,對業(yè)務(wù)的影響程度也不同��,建議根據(jù)數(shù)據(jù)安全相關(guān)法律與規(guī)范�����,對個人信息和重要數(shù)據(jù)分開進行評估與定級��,再遵循就高不就低的原則對數(shù)據(jù)條目進行整體定級���。
數(shù)據(jù)全生命周期安全風險評估
在完成敏感數(shù)據(jù)分類分級后�����,就需要對風險進行梳理和評估。數(shù)據(jù)安全風險評估可以從數(shù)據(jù)的生存周期角度進行考慮��,即數(shù)據(jù)采集安全�、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全�����、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全���、數(shù)據(jù)銷毀安全����。
同時���,數(shù)據(jù)生存周期安全風險評估應(yīng)從通用安全和各階段安全兩個方面進行數(shù)據(jù)環(huán)境風險檢查���,了解信息系統(tǒng)總體安全風險狀況,對脆弱性進行統(tǒng)一分析和評估�����,以建立快速響應(yīng)機制�,及時有效完成數(shù)據(jù)安全風險修復(fù)工作。
數(shù)據(jù)的縱深安全防護
針對數(shù)據(jù)安全的風險�,應(yīng)以數(shù)據(jù)為中心,向外對業(yè)務(wù)����、網(wǎng)絡(luò)�����、設(shè)備�����、用戶采取“零信任”的態(tài)度��。用戶側(cè)�、終端側(cè)�����、網(wǎng)絡(luò)側(cè)���、業(yè)務(wù)側(cè)�����,以及數(shù)據(jù)中心�����,都應(yīng)做好安全防護措施�����,外向內(nèi)防攻擊防入侵防篡改�,內(nèi)向外防濫用防偽造防泄露�。不僅如此,還應(yīng)對全部縱深防護環(huán)節(jié)進行整體控制����,實現(xiàn)環(huán)境感知,可信控制和全面審計��。整合多層次的縱深防御���,及時發(fā)現(xiàn)問題����,及時阻止安全問題����。
敏感數(shù)據(jù)監(jiān)察分析
以用戶、資產(chǎn)和數(shù)據(jù)行為模式出發(fā)�,利用5W1H分析模型進行敏感數(shù)據(jù)行為分析�����,基于行為模式發(fā)現(xiàn)數(shù)據(jù)異常事件�����。在數(shù)據(jù)安全領(lǐng)域�,傳統(tǒng)的安全分析方法存在信息量大�,有效信息少的問題,用戶行為分析與機器學(xué)習(xí)技術(shù)能夠優(yōu)秀的解決上述問題幫助使用者更好的識別數(shù)據(jù)安全風險�。
基于歷史的可信訪問行為提取訪問規(guī)則,利用各類算法進行行為聚類����,形成可劃分的訪問行為簇并可視化呈現(xiàn)。通過這種圖譜分析與可視化展示讓管理者對于敏感數(shù)據(jù)訪問情況����,由一無所知轉(zhuǎn)變?yōu)榭梢暱晒堋?/p>
優(yōu)化改進與持續(xù)運營
安全是一個不斷變化的過程。為了應(yīng)對變化�����,應(yīng)對數(shù)據(jù)安全進行持續(xù)優(yōu)化改進與運營��。合規(guī)要求指導(dǎo)安全策略的設(shè)置,安全策略支撐合規(guī)治理要求的落地�����,二者相輔相成��,配合持續(xù)優(yōu)化改進運營的“知識控察行”體系����,實現(xiàn)持續(xù)自適應(yīng)的數(shù)據(jù)安全防護能力�����。
數(shù)據(jù)安全建設(shè)是一個長期和持續(xù)的過程�����,如何更好地進行數(shù)據(jù)安全建設(shè)��,利用一套科學(xué)的�����、系統(tǒng)的數(shù)據(jù)安全建設(shè)體系對于高校來說十分重要且必要���。數(shù)據(jù)安全建設(shè)需要技術(shù)和管理雙管齊下����,在建設(shè)的過程和環(huán)節(jié)中,需充分利用和發(fā)揮好各種關(guān)鍵技術(shù)的作用�,在優(yōu)化改進環(huán)節(jié)中,引入新技術(shù)來優(yōu)化技術(shù)和管理流程���。同時���,也希望通過數(shù)據(jù)安全的體系化建設(shè),能夠為教育信息化發(fā)展提供重要支撐�����,助力我國教育現(xiàn)代化的發(fā)展��。
