当前位置: 首页 > 信息动态 > 正文
【经验分享】众议:高校数据安全保护规划与策略

来源/编辑: 中国教育网络 发布日期:2021年04月02日 16:55 浏览次数:[]

 

  目前,国内大多数高校都逐步意识到数据安全保护的重要性,并制定了相应的管理制度、采取了必要的技术防护手段,在数据安全保护工作上有了一定基础。想了解不同高校是如何推进数据安全保护吗?它们又是如何制定规划与策略的?一起来听听主任们怎么说。

数据安全保护策略

  不同的高校具有不同的实际情况,在数据安全和隐私保护方面的措施、进展程度以及侧重点各有不同。但可以肯定的趋势是,学校越来越重视数据安全,并逐渐加大投入力度。

  陆以勤:开发和运行分开进行,防止不合理权限

  数据安全涉及很多方面,总的来说分为技术和管理两个方面,华南理工大学可以和其他高校分享的经验有:

  1.建立了信息化和网络安全的同步机制,即新建信息化项目整个生命周期都由网信办进行网络安全的指导和检查,这样可及时发现和处理网络安全的隐患;

  2.分清开发和运行的界面,并分别由两个不同的部门负责,防止开发者获取数据访问的不合理权限;

  3.完善数据访问的监控和审计,对日志实时进行异地存储,严格管理和定期检查管理员的密码;

  4.做好数据的异地容灾备份;

  5.建立应急响应机制。

  学校正在建立数据中台,拟对校园各专业系统和业务系统数据进行融合,形成主题库,并通过对数据进行封装,以API方式提供给第三方使用,亦即数据中台和应用层是解耦的;

  如果API不能满足第三方的分析需求,则可以由第三方提供给分析软件,经过测试,放到后台脱敏数据上运行,向第三方输出分析结果,原则上数据不能离开后台提供给第三方。

  王新:成立安全中心制定相关制度和标准

  复旦大学当前采取了以下数据安全相关保护策略:

  1.信息办成立了安全中心及预研与数据服务中心,梳理制定数据安全相关规章制度和标准等,并进行数据安全日常的管理工作。

  2.对数据资产进行梳理,对敏感数据进行定位,通过统计访问频次确定访问基线。

  3.强制要求信息系统在上线之前实施第三方机构的安全渗透测试,明确数据生产、责任、管理、使用主体部门的责任权利。

  4.在传统安全防护的基础上,对敏感数据实施最小化授权访问,对关键数据进行脱敏处理和加密传输,做好数据安全日志管理和数据审计。

  5.通过多个渠道定期进行网络安全宣传活动,提升学校管理者和用户的数据安全意识和素养。

  针对有第三方参与的信息系统,复旦大学在隐私保护方面有如下几项管理措施:

  1.制定第三方数据保密规范和协议。

  2.推进信息化应用的网络信息安全等级保护测评,并聘请第三方机构实施安全渗透测试。另外,定期进行管理巡查,修改密码,审计堡垒机日志等。第三方对学校信息数据的采集及应用进行私有化部署,数据原则上不上云。

  3.数据使用最小化原则,并对隐私信息和特定类型的数据进行脱敏、加密等数据安全保护措施。构建数据安全相关技术平台,提供数据安全相关保护能力。

  葛连升:摸清资产,梳理风险,制定策略

  山东大学在数据安全与隐私保护方面的工作包括:

  第一,网络安全和信息化的体系建设上,山东大学从组织体系、管理体系、制度体系、应急体系,还包括技术系统,教育培训等方面进行了全方位的顶层设计。

  第二,在梳理好安全风险,摸清资产的基础上制定了相应策略。山东大学制定了校级的整体策略和行动指南,细化到从学校层面,到二级单位层面,再到个人层面,都有可指导性可操作性的规范。

  第三,在制度建设方面,我们主要是做安全检查,目前是信息化部门的专项检查。下一步,我们希望把安全考核做起来,包括网站安全的制度,信息系统管理的制度,与厂商签订相关的安全协议,以及内部数据管理制度等,都要进行完善。

  此外,加强信息化的安全措施,也就是对技术体系也要形成顶层设计,加强合规性建设。山东大学通过ISO20000和ISO27000体系的认证,将运维管理和安全体系建立起来。此外,我们还实施了像审计、容灾备灾等等技术措施。

  针对校企合作中的第三方,我们要求和相关合作企业签订保密协议,比如在外部人员进入档案馆工作时,要使用馆内的机器,不能带出去。对于校企合作开发的平台,要坚持自主运维,把底层数据留在学校内,对需要提供给第三方的数据进行脱敏处理等。

  侯孟书:定期开展安全自查,加强意识培训

  电子科技大学在数据安全和隐私保护方面的工作包括:

  1.制定相关规章制度,按照“谁主管谁负责、谁采集谁负责、谁使用谁负责”的原则,规范数据的采集、存储、使用、审核发布与共享;

  2.加强技术手段监督与管理,具体包括机房物理安全管理、网络与主机安全防护、数据备份与冗余机制、强制SSL证书实现网页数据加密、统一身份认证访问控制管理、采取动态应用防护手段监测数据库异常访问、拖库等行为;

  3.定期开展安全自查,加强安全意识培训。关于数据安全的检查项包括:数据库权限配置、数据查询方式、身份认证与访问控制策略、密码复杂度、敏感数据加密存放等。

  学校目前主要从管理和技术两个层面保护隐私信息。

  首先在管理层面,实行数据共享实行审批制度,并与第三方签订保密协议规范操作过程,以保护隐私信息。

  1.数据共享实行审批制度。由责任人提出申请,按要求填写信息或数据的应用场景和范围,经过相关部门负责人逐层审批后,才能共享数据。

  2.签订保密协议并规范操作过程。学校和第三方企业、平台签订保密协议,从数据保密义务和数据安全管理等层面进行操作规范约束。明确维护人员的责任和义务,防止数据泄露。

  其次在技术层面,通过实行数据唯一的交互方式、数据最小化授权原则、数据最小化存储原则和数据安全接口控制,以保护隐私信息。

  1.数据唯一的交互方式。第三方系统、平台或校内自建应用系统的数据交互只能通过数据共享平台,不允许应用系统之间的直接对接。

  2.数据最小化授权原则。在数据共享授权时,根据应用的自身需求,实行最小化原则。

  3.数据最小化存储原则。数据共享平台有两种数据对接方式——ETL和API。若无特别的应用需求,如选课等并发量较大的具体应用场景,均选择API的方式进行数据交互。

  4.数据接口安全控制。不同应用系统访问的数据接口不同,每个接口配置数据权限及ACL访问策略,并且访问时需进行身份校验和核查。

  刘昕:部署华中地区高校首个数据泄露防护系统

  武汉大学非常重视数据安全。首先,在物理安全方面,2011年就建设了数据中心各数据库的数据容灾和容灾集群,2018年又升级了数据中心软硬件系统,2019年更新了数据中心灾备系统,通过Web方式管理和监控容灾情况,实现了数据备份的集中管理和可靠恢复。

  其次,在数据访问方面,为了做好个人敏感信息的保护工作,2020年部署了华中地区高校首个数据泄露防护系统。系统上线运行后,监测到多起敏感信息泄露,我们提前进行了有效处理。

  第三,对数据的访问也制定了一系列规范,通过IP限制,访问方式限制等方式,最小化可以直接访问数据库的设备。并根据使用者的范围、使用场景等开放使用授权。目前,我们正在推进人员和机构管理系统,就是要把学校师生员工和岗位梳理清楚,从而对应数据的使用权限。同时,我们会以一定的方式对数据进行“脱敏”后才提供使用。

  在制度建设层面,2020年出台《武汉大学数据资源管理办法》,由信息中心负责数据中心的数据安全保障,根据网络安全等级保护要求明确各类数据的安全级别,并建立相应的安全管理制度和技术保护方案,对数据操作实行痕迹管理。

  此外,在和第三方合作过程中,我们采取以下措施来保护隐私信息:

  1.要求参与学校信息化建设的第三方,均须严格保障所涉及的数据安全。凡涉及重要数据信息的,须与信息中心签订《数据安全责任保证书》,同时也在合同中规定如出现任何可能导致数据安全的违规操作,学校可追究其法律责任的权利。

  2.重要系统要求本地化部署。

  3.系统上线试运行前,先进行初步检测,包括漏洞扫描,弱密码检测等。

  4.第三方在前期部署和后期运维时,要求通过VPN,并经过堡垒机审计。

  5.部署威胁感知系统,主动发现安全威胁。

从顶层设计出发规划数据安全

  如何建立高校数据安全和隐私保护体系?这是各高校在进行信息化规划时无法回避的问题,那么“十四五”期间学校应重点关注哪些方面?

  陆以勤:应用层和数据层应该进行解耦

  “十四五”期间,高校数据将会海量增加,除了业务系统的数据,还有大量物联网数据和各类智能化系统的数据,如网络系统、楼宇自动化(BA)系统、安保系统、一卡通系统、能源管理系统、智慧课室、位置数据等,对这些数据的有效应用可以提高学校的核心竞争力,因此这些数据将形成学校的核心资产,而如何保证这些核心资产的安全是一个基础的课题。

  在整个智慧校园的框架结构中,应该有一个数据处理的技术层面,包括数据的清洗、分析、存储、关联、融合、使能和安全;而应用这些数据资产则是另外一个技术层面的问题,一般可称之为应用层。

  为了保证数据安全和应用的方便,应用层和数据层应该进行解耦,就是应该有一个数据中台,对数据进行封装、脱敏或者解密保护,避免原始数据直接被推出使用。

  侯孟书:提升面向新技术的数据安全防护能力

  学校应依据国家和教育部出台的相关法律法规,结合学校实际情况,从基础设施安全、平台运行安全、数据安全、隐私安全等多个层次出发,提供立体化的安全防护手段,包括数据备份与恢复、访问控制与鉴别、数据加密与隔离、敏感数据识别与数据脱敏等,实现学校数据在存储、交换、计算、应用中的安全防护和隐私信息保护。

  首先,健全数据安全和隐私的保护机制。制定高校数据安全管理办法、数据分级分类管理办法、数据开放共享标准、网络安全应急处理办法等规章制度,建立数据安全和隐私保护的问责机制,形成学校统一、自上而下的数据安全和隐私保护链条。

  其次,提升面向新技术的数据安全防护能力。随着云计算、大数据分析、5G等新技术的应用,给传统的数据安全和隐私保护带来了挑战,学校应采取数据备份、数据加密、数据脱敏和细粒度访问控制等措施,加强数据安全和隐私保护能力。

  第三,加强数据安全教育和师生隐私保护素养培训。安全问题,三分技术七分管理,因此,应加大数据安全与隐私保护方面的宣传,不断提升高校师生的信息化素养。

  葛连升:要制定切实可靠的绩效考核制度

  首先,数据安全和隐私保护,是整个网络安全和信息化工作的一个组成部分,或者说是很小的一部分。应该对整个网络安全和信息化体系进行顶层设计,包括管理、制度、技术,应急处置、教育培训、考核等各方面,形成一个链条。

  因为高校的每项工作,其实都不同程度地掌握着师生的敏感信息,都有可能是造成数据安全和隐私问题的隐患。因此,数据安全和隐私保护,一定要纳入网络安全和信息化工作的整个管理体系中,进行全链条、全要素、全过程的管理,这是最核心的部分。

  第二,要有安全策略和行动指南。有策略,还要有能落地的措施,要有“该怎么做”的具体指导。

  第三,要通过技术,通过信息化的手段来保障安全。如何将安全策略通过技术,通过系统来实现非常重要。比如安全审计,弱密码禁止等,都可以通过技术去实现。再比如,对外发布信息常常涉及到隐私保护的问题,我们可以在信息发布系统上用技术手段来防止隐私泄露,比如系统会提醒“学生学号不能显示”等。

  第四,就是要进行相关的教育培训,提升师生员工的安全意识是最重要的,要把网络安全和信息化工作,以及保密工作等一起考虑,统筹管理。在安全观方面,要坚持国家总体安全观,不仅要考虑网络安全,还要统筹各类安全,有“综合安全”的意识。

  最后,一定要把绩效考核做起来。在数据安全和隐私保护上,已经有法律基础,但如何在高校具体执行,一定要制定详细的规章制度。

(信息来源:中国教育网络 )