首頁 > 關于我們 > 安恒動態 > 2023 > 正文

高校數據泄露事件頻發！教育行業數據安全建設究竟怎么做？

閱讀量：次 文章來源：安恒信息

南昌某高校數據泄露事件

近期，南昌公安網安部門工作發現，某高校存儲教職工信息、學生信息、繳費信息等3000余萬條信息的數據庫被黑客非法入侵，其中3萬余條教職工、學生個人敏感信息數據被非法兜售。南昌公安網安部門立即開展一案雙查，成功抓獲犯罪嫌疑人3名。

南昌公安網安部門根據《中華人民共和國數據安全法》第四十五條的規定，對該學校作出責令改正、警告并處80萬元人民幣罰款的處罰，對主要責任人作出人民幣5萬元罰款的處罰。

#?面臨問題·三大困難?#

近年來，高校敏感數據泄露事件頻頻發生，事件的背后折射了高校在數據安全上面臨的諸多問題。高校數據價值高、變現快的特點導致其不斷遭受內外部不法分子覬覦，而許多學校的數據安全建設仍面臨三大困難：

1、管理體系不清晰，數據安全難落地

高校數據安全管理制度缺乏、數據安全組織結構不清晰，數據安全責任未能明確到具體部門、人員，導致數據安全工作落地缺少組織與制度保障。

2、防控手段不足，數據安全攻擊難防護

目前高校在數據安全防護中，大部分仍依賴原有的網絡安全設備，缺少針對數據流轉、數據交換、數據存儲等環節中專用的數據安全手段，數據安全風險看不清，防不住。

3、數據安全意識薄弱，數據外泄風險難控制

高校內部可接觸敏感數據的人員類型非常復雜，既有學校內部人員，也有外部的供應商人員，對數據安全法律法規、風險意識理解參差不一，隨意訪問、私發敏感數據，導致數據外泄，面臨較大的“人的風險”。

#?建設思路·三位一體?#

在愈發猖獗的黑客攻擊下，高校的數據安全建設正面臨“內憂外患”的復雜局面，在政策層面，2021年教育部等七部門印發《關于加強教育系統數據安全工作的通知》，讓數據安全建設有章可循。現如今，如何加強敏感數據保護，彌補差距，已成為每個高校重點關注的工作。

針對高校數據安全現狀與安全需求，如何加強高校數據安全建設，提升防入侵、防泄漏、防濫用、防竊取能力？安恒信息提出了數據安全的建設思路：“管理+技術+運營”三位一體，管理體系為基礎，技術體系為支撐，構建常態化數據安全運營體系，實現有人管，有技術，有運營的全方位數據安全保障。

一、有人管

建設數據安全管理體系

數據安全責任到人

學校應成立專項數據安全組織機構，健全數據安全組織體系，數據安全管理責任制切實落實各部門，明確政策、執行和監督各個版塊的長期責任人，以推進數據安全工作在校內跨部門協同配合，最終確保數據安全工作能夠得到長期有效的執行。

數據安全管理規章制度示例

二、有技術

完善數據安全技術體系

為數據防護提供有效支撐

高校數據安全實踐面臨問題多、影響大、落地難等現狀，安恒信息認為高校應該分階段逐步提升數據安全能力：

第一步、分類分級：摸清數據資產，制定數據安全分類分級邏輯框架，開展數據安全分類分級工作，明確敏感數據保護范圍，為后續的數據管控埋下基礎；

第二步、建設技術能力：結合數據重要性與所處業務場景，制定數據安全管控手段，有效控制數據安全風險。

數據分類分級是分級管控的基礎

學校有多少數據，數據如何分布？什么是重要數據，重要數據如何管控？這些問題都需要通過開展數據分類分級工作，才能夠更清晰的解答。數據分類分級可以幫助學?？辞迦祿母艣r，是數據按重要性分級管控的基礎。

安恒信息認為在數據保護過程中，應堅持兩個原則：

重要數據安全優先

一般數據效率優先

數據分類分級流程示例

此外，數據分類分級的結果可以復用到多個場景，比如：

在數據共享場景下：可以結合學校自身對數據安全的需求，對數據制定不同的分級管控策略，更健康、更安全地進行數據共享。

在數據防控、脫敏等場景下：數據分類分級成果可輸出給數據庫安全網關、數據脫敏系統、數據安全管控平臺等數據安全設備，以便于高校更靈活、更高效地制定差異化數據管控策略。

數據安全建設需覆蓋全場景、全流程

高校敏感數據分散在不同的數據庫中，且數據隨時在流轉、被調用。要想保障高校的數據安全，需要在統一的數據安全建設目標指引下分階段，逐步構建覆蓋學校全場景、全流程的數據安全保護體系。

安恒信息認為高校在數據安全能力建設的過程中，需要結合數據安全所處的業務場景，評估該場景下面臨的數據安全威脅，在已有的網絡安全技術手段下，進一步彌補數據安全的技術差距。

依據多年數據安全實戰經驗，安恒信息總結了高校在數據安全維度上最重要的六個業務場景，黑客在進行數據竊取時，往往最先盯上的就是它們。因此，建設數據安全防護體系的核心，是保障這些業務場景中的數據安全：

高校數據安全安全防護體系建設架構圖

API交換場景：

洞悉信息系統API接口上存在的脆弱性風險，如學工系統學生姓名接口存在明文傳輸風險，為API接口收斂、暴露面整治提供方向。

數據庫運維場景：

對數據庫運維人員權限進行細粒度控制，并結合字段級授權、動態脫敏等技術，確保運維過程符合學校安全運維要求。

數據開放場景：

針對學校部分環境需使用真實敏感數據的場景，在不影響業務的前提下，對敏感數據匿名化處理，既可支撐業務順利開展，同時避免數據過度開放。

數據存儲場景：

對學生數據、教師數據、報名數據等敏感數據執行數據加密操作，即使數據泄露，黑客也不能讀懂數據含義，防止對數據造成實質性的損害。

數據庫防護場景：

通過技術手段，對數據庫的SQL注入、數據庫漏洞等攻擊進行主動防御，以防范黑客的惡意攻擊與數據竊取行為。

網絡數據防泄漏場景：

將學籍數據、姓名數據、銀行賬號等重要數據作為監測對象，從網絡流量側識別是否存在敏感數據泄露行為，并實現預警、阻斷。

三、有運營

構建常態化數據安全運營體系

保障風險可視可控

數據的動態性要求數據安全必須通過持續運營，才能夠從根本上做好安全工作，體現安全效果。

安恒信息認為，學校應從全局數據安全戰略高度，全方位監控數據中心內部所有數據資產的采集、處理等全流動過程，讓數據安全威脅從不可視到可視，從不可知到可知，從不可控到可控，實現學校數據安全統一運營。

常態化數據安全運營建設效果

同時，在數據安全運營工作中，應著重提升運營人員的數據安全素養與技術。

學校信息化管理部門參照學校已發布的數據安全管理文檔、管理制度等要求，組織相關人員提升數據安全意識、數據安全技術能力、實戰演練等維度的專業素養，執行學校數據安全相關要求，增強人員的數據安全防范能力，發揮數據安全建設的最大價值。

隨著教育數字化戰略行動的開展，高校信息化、智能化與教育教學將進一步融合，數據的重要性也將得到質的提升，因此構建高質量的數據安全防線不僅是履行數據安全保護義務，更是教育教學業務能否正常開展的關鍵。

安恒信息深耕數據安全領域16載，具備體系化的數據安全產品與咨詢服務能力，能夠更好地為高校數據安全建設提供全場景、全流程的產品、服務與解決方案。

往期精彩回顧

七年磨一劍，這才是云安全資源池3.0時代該有的樣子

2023-08-17

一圖解讀安恒信息2023半年財報

2023-08-16

亞運三小只走進安恒信息，“網安主播”傳遞數字安全理念

2023-08-15

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業互聯網安全>