“知、識、控、察、行”五步法鑄就高校數據安全堡壘

　　“知、識、控、察、行”五步法鑄就高校數據安全堡壘

　　高校信息化在發展過程中，常常會出現業務系統數量多、規模大、復雜度高，業務數據增長迅猛等情況。大數據及數據集中化雖然方便了管理，但也帶來了風險的集中化。在利益驅動下，針對數據安全的內外部攻擊層出不窮。

　　2021年4月，教育部發布了《關于加強教育系統數據安全工作的通知》，國家層面也相繼出臺了《數據安全法》《個人信息保護法》等法律法規，為教育行業數據安全治理提供了重要的指導和參考，對于用戶個人信息的保護要求空前嚴格。

　　當前，高校在數據安全方面，普遍存在以下幾方面的問題：

　　l 數據跨學院、跨部門流轉，涉及不同院系、部門。缺乏統一團隊、專業人員牽頭，無法形成統一數據安全防護體系;

　　l 數據流通性強，涉及多個院系、部門的人員，數據安全事件發生后，難以有效溯源，缺乏認責依據，無法認責造成部分人員無所顧忌;

　　l 校園內部敏感信息泄露、以及敏感信息數據使用情況、違規訪問和泄漏分析的日志記錄，缺乏統一分析去溯源;

　　l 對于運維人員、開發測試人員使用數據流程和方法缺乏監控;

　　l 數據庫沒有廠家運維，或數據庫過低不能升級新版本，容易被攻擊;缺乏數據識別、審計能力。

　　在高校數據安全建設方面，可圍繞“一個中心，四個領域，五個階段”構建數據安全體系頂層設計?！耙粋€中心”，即以數據安全防護為中心;“四個領域”，即數據安全建設的四個領域，包括組織建設、制度流程，技術工具和人員能力;“五個階段”是指數據安全建設的五個階段，分別為業務梳理、分級分類、策略制定、技術管控、優化改進。

　　在數據安全建設體系中，組織建設、制度流程、技術工具、人員能力四個領域，均需同步開展建設工作。同時，應做好對數據安全的相關管理工作，管理是技術的運營依據、技術是管理的落地保障，兩者相輔相成，缺一不可。

　　綠盟科技借鑒Gartner的數據安全治理框架，定義了數據安全建設的五個階段。形成了綠盟科技的數據安全方法論，即“知”“識”“控”“察”“行”。

　　l 知：分析政策法規、梳理業務及人員對數據的使用規范，定義敏感數據;

　　l 識：根據定義好的敏感數據，利用工具對全網進行敏感數據掃描發現，對發現的數據進行數據定位、數據分類、數據分級;

　　l 控：根據敏感數據的級別，設定數據在全生命周期中的可用范圍，利用規范和工具對數據進行細粒度的權限管控;

　　l 察：對數據進行監督監察，保障數據在可控范圍內正常使用的同時，也對非法的數據行為進行了記錄，為事后取證留下了清晰準確的日志信息;

　　l 行：對不斷變化的數據做持續性的跟蹤，提供策略優化與持續運營的服務。

　　五步法——鑄就高校數據安全堡壘

　　1. 業務數據梳理與敏感數據識別

　　在組織與制度設計方面，應自上而下形成由學校高層牽頭，橫跨學校業務部門與安全部門的組織架構。由信息安全管理團隊和數據業務管理團隊共同商討建立數據安全制度流程體系。制定好的制度體系應以文檔化的方式進行落地管理，并嚴格執行。

　　在敏感數據識別與定義方面，應基于業務特點進行數據的識別、數據分類、數據分級?？筛鶕吨腥A人民共和國網絡安全法》要求對個人信息和重要數據分開進行評估與定級，再按照就高不就低的原則對數據條目進行整體定級。

　　2. 數據全生存周期安全風險評估

　　在高校數據安全進行風險評估方面，可以從數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全等數據的生存周期角度進行考慮。

　　綠盟科技敏感數據發現與風險評估系統，可以實現智能數據分類分級、全網數據資產測繪、實時數據流轉測繪、大數據平臺風險掃描的能力。同時，結合綠盟數據安全評估服務，從數據生存周期各個階段評估數據安全風險，應該可以幫助您解決很大部分的敏感數據發現與風險評估問題。

　　3. 高校數據安全縱深防護

　　對于數據安全的風險，應以數據為中心，由內而外對業務、網絡、設備、用戶采取“零信任”的態度，管控手段覆蓋全部環節，任意環節失信后都能實現熔斷保護。

　　用戶側、終端側、網絡側、業務側，以及數據中心，均應做好安全防護措施，由外向內防攻擊防入侵防篡改，由內向外防濫用防偽造防泄露。同時，對全部縱深防護環節進行整體控制，實現環境感知、可信控制和全面審計。整合多層次的縱深防御，及時發現、阻止安全問題。

　　4. 敏感數據監察分析

　　敏感數據監察分析、發現安全問題與異常事件。應從用戶、資產和數據行為模式出發，依托5W1H分析模型進行敏感數據行為分析，基于行為模式發現數據異常事件。

　　同時，還應基于歷史的可信訪問行為提取訪問規則，利用各類算法進行行為聚類，形成可劃分的訪問行為簇并可視化呈現。通過這種圖譜分析與可視化展示讓管理者對于敏感數據訪問情況，由一無所知轉變為可視可管。

　　5. 優化改進與持續運營

　　業務與數據都處在不斷變化的過程中，還應對數據安全進行持續的優化改進與運營。合規要求指導安全策略的設置，安全策略支撐合規治理要求的落地，二者相輔相成，配合持續優化改進運營的“知識控察行”體系，實現持續自適應的數據安全防護能力。

　　高校數據安全建設優勢

　　1. 滿足合規要求

　　進一步加強數據安全監管機制，完善數據安全管理制度，提升大數據環境下數據合規使用能力。

　　2. 數據安全集中管控、智能分析

　　實現數據安全集中管控，實現對云環境下的整體信息資產、安全事件、安全風險、訪問行為等的統一分析與監管，通過關聯分析技術，使系統管理人員能夠迅速發現問題，定位問題，有效應對安全事件的發生。

　　3. 數據生命周期全面掌控

　　掌握數據的全生命周期是對數據風險的提前預知，利用本方案對數據的生命周期中各個環節做監控，掌握數據的動態，了解數據的流向，提前對可能發生的數據泄露風險進行預警，保障數據在安全的可控范圍內流轉、使用與存儲。

　　4. 降低個人信息泄露風險

　　通過對個人信息的掃描與跟蹤，利用內容識別、UEBA、機器學習等技術，及時發現個人信息所承載的系統、業務、網絡、終端中的安全威脅，提前做好防范措施，讓泄密風險看得見、使個人信息泄漏防得住。

　　5. 提高個人信息使用者安全意識

　　數據安全解決方案的應用，讓數據使用者了解數據的重要程度，規范數據使用者的操作行為，從潛意識里指導與幫助人們正確使用資源，合理利用資源，保護數據的安全。