高校又双叒叕数据泄露了

　　近日，江西南昌公安网安部门发现，南昌某高校3000余万条师生个人信息数据在境外被公开售卖，涉及教职工信息、学生信息、缴费信息等信息，南昌公安部门立即开展调查。

　　经查，涉案高校在开展数据处理活动中，未建立全流程数据安全管理制度，未采取技术措施保障数据安全，未履行数据安全保护义务，导致学校存储数据库被黑客非法入侵，为此，南昌公安部门根据相关规定，对该校作出责令改正、警告并处80万元人民币罚款的处罚，对其主要责任人作出人民币5万元罚款的处罚。

　　通过对该事件的解读及近年来对高校业务的深入研究，可以发现，随着信息化、智能化与教育的深度融合，高校逐步实现了数据价值的升维。但随着数据价值的释放，与之而来的数据泄露事件也逐渐增多。一方面因网络安全防护不力及高校数据的敏感性，频频遭到黑客入侵，导致大量数据泄露或被非法使用；一方面内部人员/毕业人员恶意或无意造成数据泄露的情况也屡见不鲜，这也揭示了当前许多高校在数据安全方面存在诸多问题：

　　No.1

　　数据管理水平不足

　　No.2

　　数据资产底数不清

　　No.3

　　数据安全风险不明

　　No.4

　　数据安全防范能力不够

　　No.5

　　数据安全意识薄弱

　　教育部先后发布《教育部机关和直属单位事业数据安全管理办法的通知》《教育部等七部门办公厅关于加强教育系统数据安全工作的通知》《教育系统核心数据和重要数据识别认定工作指南》《信息中心数据安全管理办法（试行）征求意见稿》，让数据安全建设有章可循。

　　（）通过分析高校数据安全现状及各类政策要求，发布了《高校数据隐私保护解决方案》，方案以管理制度为依据，以资产梳理、分类分级、风评评估为基础，为重要业务场景构建应对覆盖全流程、全链路的数据安全防护体系，实现常态化数据安全运营，保障数据安全的持续优化与提升，可以满足高校各项规范需求、规避各类数据安全风险。

　　一

　　完善数据安全管理体系、组织架构设计，解决数据管理水平不足的问题

　　基于国家和行业数据安全要求，完善数据安全管理制度，建立管理制度四级文件，形成一级方针文件，二级制度规范文件，三级细则指引文件，四级表单、模板记录文件，明确数据收集、存储、处理、共享等关键环节的操作规范。

　　

　　图1 数据安全管理体系

　　辅助高校从组织内部选派合适的人员构成一支包含决策层，管理层，支撑层，监督层的数据安全治理团队，充分发挥各部门和各类人员在数据安全保障工作中的作用，共同遵守和执行安全规章制度，有效解决数据安全管理制度缺乏、数据安全组织结构不清晰，数据安全责任未明确到具体部门、人员的问题，保障数据安全策略的贯彻落实。

　　二

　　梳理全量数据资产，解决数据资产底数不清的问题

　　高校业务系统数量多，数据规模随着智慧校园的建设呈指数级增长，（）分散存储在不同的系统中。高校数据资产规模大，二级部门多，难以清查数据总量、数据分布、个人隐私、重要数据等。

　　绿盟科技通过静态扫描+动态监听+人工复核的方式，全面梳理高校数据资产，三种方式互为补充，对结构化与非结构化全量数据进行动态识别与发现，形成全面完整的高校数据资产清单。

　　

　　图2 能力支撑-数据资产梳理

　　三

　　综合评估数据安全现状，识别数据风险，解决数据安全风险不明的问题

　　高校一体化平台存在大量应用服务，数据的上传、检索、分享等使用及流动过程的不透明，形成了诸多未知的数据安全风险。

　　绿盟科技基于高校数据资产分级分类情况，确定数据安全需求较高的数据范围，结合数据、流程、用户、环境等要素，以敏感数据为中心，从技术角度识别评估敏感数据在业务流程中的威胁风险点，明确敏感数据泄露的可能途径，通过梳理威胁信息并结合威胁调查判定的威胁源发生的频率和可能性，从技术和管理两个方面进行审视数据脆弱性，分析安全措施的效力，确定威胁利用弱点的实际可能性，综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，明确数据安全风险。

　　

　　图3 能力支撑-数据风险评估

　　四

　　锚定高校数据应用重要业务场景，落实数据全链路的数据安全技术防护体系，解决数据安全防范能力不够的问题

　　目前高校在数据安全防护中，大部分仍依赖原有的网络安全设备，针对数据治理、数据访问、数据流转、数据运维、数据共享等场景缺失场景化细粒度安全防护手段。数据安全融入业务场景，安全防护才能更加有效。

　　

　　图4 高校数据安全防护重要场景

　　绿盟科技通过对高校业务场景的分析，总结如下数据安全防护场景：

　　1、数据治理场景

　　从数据采集、清洗、存储、加工到使用的全生命周期过程中，针对敏感数据，进行数据安全分级分类，根据安全等级匹配不同的数据访问权和管理权；通过技术手段实现数据开发过程的全程的匿名化、去隐私化；针对覆盖个人敏感信息的数据仓库提供增强级数据加密存储。

　　2、数据访问场景

　　通过零信任机制，默认不信任任何内部或外部的用户、系统、设备，当教职员工、学生、社会大众、校友访问统一信息门户时，基于全面感知获取的数据，通过实时的风险和信任评估，根据数据的安全级别，制定不同的访问控制策略，提供身份管理和权限管理，对业务数据进行细粒度访问控制，采用动态访问、持续验证的方式，防止外部攻击者侵入高校业务环境，杜绝数据越权、非授权访问和利用数据库漏洞发起的攻击行为。

　　3、数据流转场景

　　通过静态脱敏、水印溯源、API监测与访问控制等能力，加强数据流动场景下的安全保障和风险监测，实现数据可控流动。针对API接口流转过程明确对外提供业务信息系统的接口范围，根据最小授权原则，进行身份鉴别和访问控制。同时，提供接口访问审计、安全通道、加密等安全能力。

　　4、数据共享场景

　　区分内部共享、对外共享场景，结合数据安全分级规则，建立相应的数据共享安全策略，明确数据共享范围的内容和数据共享的有效控制机制，综合采用数据脱敏、可信执行环境、安全多方计算、同态加密、数据加密、安全审计等措施，确保数据在共享场景中的安全合规。

　　5、开发场景

　　提供数据AB模式访问，确保开发人员接触不到真实数据。

　　五

　　加强数据安全培训及各类应急演练工作，解决人员数据安全意识薄弱的问题

　　高校内部可接触敏感数据的人员类型非常复杂，既有学校教职员工、学生、决策者、校友，也有外部的合作伙伴、社会大众，对数据安全法律法规、风险意识理解参差不一，随意访问、私发敏感数据，导致数据外泄，面临较大的风险。

　　绿盟科技具有多名数据安全专业讲师，可为定期支撑高校数据安全主题培训，协助搭建数据安全靶场，组织实现数据安全事件应急演练和数据安全攻防演练等工作，全面提升高校教职工、学生数据安全意识，提高数据安全和个人信息保护的防范能力。

　　随着教育数字化战略行动的开展，越来越多的高校以数据为驱动力，利用新一代信息技术提升教育管理数字化、网络化、智能化水平的建设。为了有效防范各类数据安全风险，高校亟需构建高质量的数据安全防线。绿盟科技《高校数据隐私保护解决方案》已在多个高校落地实践，后续将持续为高校数据安全建设提供全方位的产品、服务、解决方案体系。