随着教育信息化的推进,高校数据中心建设已经成为学校信息化建设的重点,它承担了数据汇集、数据管理、数据服务等任务,是对校园信息系统中的数据进行集中存储、共享和交换的核心枢纽。但随着高校网络中的数据量不断增多,数据安全问题发生的也越来越频繁,给高校网络中心的管理人员提出了巨大的难题,也给高校千万师生的信息安全造成了巨大威胁。且当前《网络安全法》《数据安全法》以及《个人信息保护法》,都相应指出了对于数据保护的相关要求和责任,强调了数据安全的重要性。
随着教育信息化的推进,高校数据中心建设已经成为学校信息化建设的重点,它承担了数据汇集、数据管理、数据服务等任务,是对校园信息系统中的数据进行集中存储、共享和交换的核心枢纽。但随着高校网络中的数据量不断增多,数据安全问题发生的也越来越频繁,给高校网络中心的管理人员提出了巨大的难题,也给高校千万师生的信息安全造成了巨大威胁。且当前《网络安全法》《数据安全法》以及《个人信息保护法》,都相应指出了对于数据保护的相关要求和责任,强调了数据安全的重要性。
1.背景概述
高校是数据安全重灾区,大量高校遭受来自国内和国际的攻击,造成大量敏感数据泄露,产生严重后果。IBM报告:2023 年数据泄露的平均总成本达到445万美元,相较于2022年的435万美元增加了2.3%,全球1/10的机构遭遇勒索软件攻击尝试,比2022年激增33%,受影响较大的行业包括教育、卫健、金融等。2023 年是教育领域数据安全事件发生最严重的一年。其中勒索攻击从 2022 年的 129 起事件增加到 2023 年的 265 起,在过去一年中猛增了 70% ,其中 43%针对高等教育。
在当前数字化、网络化、智能化融合发展的背景下,高校作为国家重要的智力资源和信息化基础设施,承担着培养人才、科学研究和社会服务等重要使命。然而,随着网络信息技术创新日新月异,高校数据安全问题日益凸显,严重阻碍了数据资源价值的释放和高校信息化建设的顺利推进。
为有效保障数据在安全环境下运行,支撑国家战略落地及内部业务使用,中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》要求加快培养数据要素,将数据正式列为国家基础战略性资源和社会生产创新要素之一。此外,《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规和管理规范明确了数据安全制度及保护义务,要求组织严格遵循数据安全原则,保障数据安全、促进数据合理有序流动,助力数字经济高质量发展。
《中华人民共和国数据安全法》第六条规定“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”同时在“2+8+N”信创自主应用体系中:“2”指党政;“8”指金融、电信、电力、石油、交通、航空航天、教育、医疗八大国计民生关键行业。教育行业均处于最重要行业的行业地位之一。
为了落实这些法律法规和规范,保障高校数据安全,需要建设满足现状同时具有可持续发展的国产化数据安全防护体系。这一体系应综合考虑政策风险、业务风险、技术风险和安全现状,通过制定严格的数据安全管理制度和技术方案,确保数据安全与发展两者并重。高校需要加强对数据安全的重视和管理,完善数据安全保护机制,加强数据安全培训与教育,建立健全的数据安全监督与评估机制,以全面提升高校数据安全管理水平,确保业务的稳定运行和信息资源的有效利用。
2.泄露原因分析
针对当下高校数据泄露的原因,我们做了以下几个要点进行分析。
一是能力制度有短板:技术方面:仅依靠网络安全的等级保护手段保护数据,缺乏从采集、存储、使用,到销毁的全生命周期的系统性数据安全技术体系。管理方面:内部数据安全管理制度建设落后,无相关标准和规程。
二是外部攻击有组织:攻击者遍布国外、国内、校园。 攻击者受到企业、社团组织、甚至是国家力量的支持。攻击方式越来越系统、越来越高级、越来越隐蔽、越来越持久。攻击的目的越来越针对数据。
三是内部特权存忧患:内部人员复杂:专职、外包、业务厂家驻场。内部人员无意识的疏漏。内外合谋:不法分子与高校工作人员、服务人员合作盗取学生、教师隐私数据。内部人员违约很少被感知到。
3.现在必须重视数据安全
我国近年来颁布的相关法规也明确了对于数据安全的重视程度,包括《网络安全法》《数据安全法》以及《个人信息保护法》,都相应指出了对于数据保护的相关要求和责任,强调了数据安全的重要性。同时在教育行业,针对教育系统数据的保护也相应出具了行业规范要求,明确了教育系统数据相关管理办法。如2021年教育部等七部委印发《关于加强教育系统数据安全工作》的通知:要求建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录;健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报。这些相关法律法规的制定,从内外部结合体现了当下高校必须重视数据安全。
1.高校应用和数据分布
A)校内IT系统集中,以物理机和私有云模式运行于网络中心
高校的IT系统通常集中在网络中心,采用物理机和私有云模式运行。这意味着大量的教学、科研、行政管理等数据存储和处理都集中在这些系统中。集中式管理带来了一定的便利性,但也存在着一些安全隐患。
安全隐患:
单点故障风险:由于数据集中存储在网络中心,一旦网络中心出现故障或遭受攻击,可能导致大规模数据丢失或泄露。
内部人员权限滥用:网络中心拥有对所有数据的管理权限,如果内部人员滥用权限或泄露数据,可能造成严重的数据安全问题。
网络攻击威胁:作为数据的集中存储地,网络中心成为网络攻击者的主要目标之一,可能面临来自外部的网络攻击风险。
B)目前已建成校园数据中台,数据在中台集中
近年来,越来越多的高校建立了校园数据中台,将各类数据集中管理和运营。校园数据中台作为数据的统一管理平台,能够提高数据的整合性和利用率,但也带来了一些数据安全隐患。
安全隐患:
数据隔离不足:虽然数据中台能够集中管理数据,但不同数据之间的隔离性可能不足,一旦发生数据泄露或攻击,可能波及到整个数据中台。
对外服务安全性:部分高校数据中台可能提供对外服务,如科研合作、校友管理等,需要面临来自外部的安全威胁。
C)财务、一卡通、图书馆等大系统独立运行
除了集中管理的校园数据中台外,高校还有一些重要的大系统,如财务系统、一卡通系统、图书馆管理系统等,这些系统通常独立运行,拥有自己的数据存储和处理能力。
安全隐患:
数据孤岛:这些大系统通常拥有独立的数据存储,与其他系统相对独立,能够在一定程度上保护系统的安全性。
重要数据集中:财务、一卡通等系统包含了学校的核心数据,一旦这些系统遭受攻击或泄露,可能造成严重的损失和影响。
2.高校数据安全之特殊痛点
一是多、小、散、乱。系统数量众多,重要系统20多个,总数量100-200,虽然多数系统数据存储量小,但各系统存储的敏感数据均达到刑法规定的“情节严重”标准:即50条以上。应用和数据分散在数据中心各个区域,有统一托管也有独立运行,数据暴露面大,攻击面也大。各种应用由不同技术水平的团队构建,运行环境、采用的架构和语言差异较大,有很多系统数安短板明显。
二是人少、事多、压力大。高校计算中心负责网络安全尤其数据安全的人员都在个位数,具体说很少超过2人,且几乎没人受过系统的数据安全法律法规、知识技能培训。面对数据安全能力建设、制度建设、能力运维和处理数安事件时人手和经验双重紧张。数据越来越多,敏感度越来越高,集中度越来越高,面对越来越有计划性的攻击,数据成了烫手山芋。法律、法规、行业政策越来越高压,从主要领导到专责技术人员,都可能被追责。
三是权责不明三不管。数据安全由于自身特殊性,面临软件供应商、网络中心、所有者处室三不管的状态。网络信息中心:某些系统没有权限深入数据、主观不愿、也不应涉入具体数据太深,且跨部门协调实施存在实际困难。软件供应商:软件交付后没有权限也不应该管理数据本身。业务处室:主观认为网络中心应该负责数据安全、自身也没能力管理。数据能力涉及应用和数据,必然涉及到多个部门的协作。
四是特权账户管理难。DBA权限过大,能够看到系统内所有的数据,且没有足够的监督约束机制。为了便于系统维护与升级,各业务开发商手里存在大量的特权账号,甚至可以在任何时间、任何地点访问数据,且该行为没有足够的约束及监督。处室的主管和管理员等特权账号也具有很大的数据访问权限,缺乏恰当的约束和监督机制。
3.高校数据安全之特殊需求
一是尽职免责少麻烦。履行国家法律法规和行业标准、规范所规定的数据安全保护义务。保护校内分管领导、信息中心人员以及各处室人员,即使发生数据安全事件也不会成为被追责对象。
二是减少沟通快上线。单位建设的数安能力具有最小化改变原有业务系统。最小化上线流程,减少跨部门沟通和协作量。
三是上线以后有人管。数安系统上线后,有专人对数据安全能力进行维护,能针对业务系统的实际情况调试并完善数据安全管控策略。能协助单位完成上级及相关部门的监督检查。发生安全事件后快速协助应急响应。
四是内忧外患不再难。对内部DBA、运维人员、应用开发商等特权用户进行分权管理,实现最小化授权,并对其数据访问行为进行监控。针对来自外部的攻击,及时发现并进行预警及阻断。
1.方案总览
本方案整体架构设计以标准、内生驱动及安全架构要求为基础,从技术能力体系、管理体系和服务体系三方面进行建设,整体架构设计如下图。
技术能力体系包括数据访问审计、数据访问控制、数据脱敏、数据加密、数据水印、数据防泄露、数据安全风险监测和数据分类分级等涉及数据全生命周期场景的能力需求和所有数据类型及保护对象。
管理体系包含安全战略及合规管理两个维度。安全战略以外部管理要求及内部安全管理需求为基础,制定组织数据安全相关战略和方针。数据安全合规管理制度明确了具体的安全管理方式和方法,以规范化流程指导数据安全管理工作具体落实。
服务体系包含从数据资产梳理服务到数据安全评估的全链条数据安全服务,以及整体方案落地后能提升建设成效的数据安全运营服务,侧重于策略优化、应急响应和重大活动保障,全方位提升高校数据安全专业防护能力水平。
2.技术能力体系
数安管控中心
1)对于计算中心托管系统,部署数据安全能力服务器组,并以租户方式提供给各业务部门。包括数据资产管理、数据库防火墙、数据库审计、数据库加密、数据库安全运维、数据库静态脱敏及水印、数据接口安全、数据安全风险监测、数据安全态感系统等。所有数安能力以多租户方式提供接入服务,托管系统按需租用各种数安能力服务。
2)对于独立的系统,以独立的数安能力组合进行部署。
统一部署接口安全、安全风险监测等旁路系统,并定期进行数据安全评估。数安天眼接收其他分散数安系统的状态和日志信息,深度分析,统一展示安全态势。
数据安全管控中心以态势感知系统为核心,搭建数据安全能力服务器,包括数据库防火墙、数据库审计、数据库加密、数据库脱敏等技术能力,保障托管系统的数安能力和分散系统的数安能力。对于托管系统,支持独立部署、租户方式部署或云实例方式部署、物理一体机部署,来有效保护托管系统和独立规模系统的数据安全。对于小微系统支持虚拟一体机的部署方式,既不影响系统环境,也能保障系统的数据安全。所有的技术能力部署,相关的状态和日志均可以同步至数据安全态势感知系统中,进行统一展示。
数安能力部署模式
接下来我们谈谈各能力在高校应用中的部署。首先在各数据库前端部署数据库防火墙,作为数据访问的统一入库,阻止内外部用户对数据的非法访问。其次在运维端部署数据安全运维系统,对运维人员及各特权账号的权利进行管控。再次,对于数据存储端部署数据库加密系统,对于存入的敏感表或敏感字段 进行加密存储。第四,镜像汇聚交换机流量给数据库审计系统、安全接口管理系统和数据防泄漏系统,对结构化数据、安全接口和非结构化数据进行审计和监测,及时发现其中的风险并预警。最后,各数安能力的日志及报警信息汇集到数安天眼,统一展示高校全域的数据安全态势及风险分布情况,并针对风险的处置状态进行跟踪。
3.技术方案
一是开启特设监管账号。通过对各种能力的覆盖面及风险汇总,网信办和网络中心,可以实现数据安全风险的感知管理和监督处置。其特点是在不接触数据的真实内容的情况下,可实现数安能力的覆盖情况统计及数安风险事件的追踪。
二是在管理制度方面,应建立数据安全管理办法和数据安全技术规范。在数据安全管理办法中,应建立基础性制度和数据全生命周期安全制度。在数据安全技术规范中,应建立监测与检测技术规范、访问控制技术规范、基础性防护技术规范。同时,在管理制度建设方案中,应重点体现组织保障、数据分类分级、权限管理、日志留存、风险预警监测、应急处置、安全评估和教育培训等重点场景的数据安全制度方案建设。
三是实施数据资产梳理服务,可使高校明确自己所拥有的数据资产详情,明确敏感数据的分布情况,以此来针对性的制定相关策略、管理制度等。利用我们的资管管理工具+服务的方式进行资产梳理,对敏感数据进行识别和打标,生成分类分级清单及差异化防护策略。
四是针对数据安全评估服务,主要去判断是否存在一系列的风险场景,确认数据的机密性、完成性和可用性是否面临威胁。利用一系列评估方法和评估工具,针对高校的组织、人员、技术、制度等实际情况进行综合评估,反馈出高校的安全现状和风险点,并提供整改建议,进而形成完善的数据安全风险评估报告。
五是提供专业的数安运营服务,解决高校数据安全专业人才不足的难题。其类型包括标准服务、豪华服务、专属服务。其中豪华服务和专属服务可以定制运营。
针对高校的实际情况,本方案可采取分阶段套餐来构建合规数据安全防护体系。数据安全防护体系每个阶段包括能力建设和定制服务两个部分。
基础防护版:主要建设数据资产管理、数据静脱及水印、访问和操作审计、数据库安全运维能力,可提供每周1天驻场的豪华服务,可构建基础的数据安全能力。
高级防护版:在基础版之上建设数据防火墙、数据库透明加密、数据接口安全、数据安全卫士(纳管零散分布的小系统),可提供 每周2-3天驻场的豪华服务,可构建精细化的数据安全能力。
全面加固版:在高级防护版基础上建设数据安全态势感知、数据防泄漏、数据安全应急演练能力,可提供专属驻场服务,全面解决高校数据安全问题,构建高校全方位数据安全能力。
基于高校数据安全实施的复杂性,我司可以通过最小化的跨部门协作以提高方案的可实施性。
本方案的全部或部分已经在如下高校应用:
案例一:南方某中医药大学案例
南方某中医药大学面临数据溯源追查机制缺失,且没有合规的第三方审计系统,缺乏数据访问控制的手段,无法阻断SQL注入等攻击数据库的恶意行为;且校内人员在对重要数据进行开发、测试等环节上没有采取脱敏手段,而是直接使用真实数据,这个过程存在极大的安全隐患;前整体缺乏数据安全态势感知,无全局数安视野。同时该学校需要进行自身的数据梳理和数据安全风险评估,并为其制定数安体系制度,为提升相关人员技术能力也需要对人员进行培训。因此针对需求痛点,我们部署了数据安全监管平台、数据库审计、数据库防火墙、数据库静态脱敏以及提供了相关的数据安全服务,满足了该校数据审计、数据访问控制、数据脱敏、全局数据安全检测和资产梳理、数据安全评估、数安体系制度制定以及人员培训。
案例二:某电力大学数据库审计案例
某电力大学需要满足三级等保的合规要求,且缺乏针对校内的数据安全访问审计行为记录的手段;对于学校的教务系统、网络教学系统、招生管理系统的数据访问审计措施不充分,存在难以溯源等问题。因此部署了我司的数据库审计设备,实现了满足三级等保合规需求,也实现了数据库的状态监控,同时能够对数据库的风险访问进行实时告警,且按风险等级划分,并将每次生成的运维报表、业务报表、风险告警报表定期推送给对应部门的负责老师,实时关注学校的数据安全情况。
案例三:北京某科技学院案例
北京某科技学院要求实现数据库访问的全面审计、风险报警和事后溯源,并提供敏感数据发现能力,并对敏感信息进行加密存储,数据的访问过程要求实现异常访问的实时阻断和告警。我司通过部署数据库审计、数据库加密和数据库防火墙实现对该院校的数据保护。对所有数据库部署数据库审计产品,并针对一卡通系统,财务系统这些应用系统和数据库在同一台服务器的系统用DB探针的方式,实现审计功能。对学生管理和科研管理系统数据库部署防火墙,及时阻断异常的访问。对财务系统和招生系统数据库部署加密,实现对敏感信息进行加密存储。并通过独立的权限管控系统来实现对敏感数据访问的权限控制,确保其数据的安全性。最后通过开启自动学习功能,生成安全访问策略白名单。对异常访问进行及时告警或阻断,结合可视化界面和报表,实现对内部及外部人员的行为记录、访问控制管理。