关键领域数据安全建设观察——教育领域

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2024-03-29
前 言
 
当前,数据作为新型生产要素,促进着数字基础设施发展与产业迭代升级,推动着数字经济成为我国经济高质量发展的新引擎,与此同时,有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。
 
2021年上半年,国家“十四五规划”勾勒数字化发展蓝图,明确未来将高度关注“保障国家数据安全,加强个人信息保护”。2022年底出台的“数据二十条”,将维护国家数据安全、保护个人信息和商业秘密作为促进数据合规高效流通使用、赋能实体经济主线任务的前提。随后2023年初发布的《数字中国建设整体布局规划》,“数字安全屏障”作为数字中国建设整体框架的两大能力之一被提出。2023年10月,国家数据局揭牌,2024年1月出台“数据要素×”三年行动计划,坚持把安全贯穿数据要素价值创造和实现全过程,严守数据安全底线。
 
在如火如荼的数字化建设征程中,在统筹发展与安全的顶层规划下,各关键领域以及各地区的主管部门密集出台相关的数据条例与安全标准,有力落实上位法的监管要求,积极探索数字治理的中国方案。安全419将以各关键领域为维度,观察其在数字化建设大背景下数据安全的建设现状、监管要求、市场需求、难点及应对,以期为各行业的数据处理者带来一定的启发与有益的参考。
 
本期,我们走进教育领域。
 

教育领域数据泄露事件频发 数据安全管理内忧外患
 
随着教育领域数字化建设加速,越来越多的科研成果、学术资料、师生身份信息等数据被搜集、存储、汇聚,其中大量信息用于行业科研合作、数据交换和共享,成为支撑业务运营发展的重要资产。
 
与此同时,这些具备高潜价值的、互联互通的数据资产正被不法组织所觊觎,数据安全管理内忧外患。近年来,高校等教育机构遭黑客入侵,进而导致大量数据泄露或被非法使用的情况屡见不鲜:
 
· 2023年8月,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖,该校受到责令改正、警告并处80万元人民币罚款的处罚,主要责任人被罚款5万元人民币。
· 2022年6月,某知名大学生学习软件的数据库信息被公开售卖,超1.7亿条信息疑遭泄露,公安机关介入调查。
· 2022年6月,西北工业大学声明其电子邮件系统遭攻击,攻击者向师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,经公安机关判定是境外黑客组织发起的网络攻击行为。
· 2021年9月,山东济南某所高校的新生个人信息遭到泄露,在一个名为“协院助手”的微信公众号上可以查询该校新生的个人信息。
 
诸如此类的安全事件的背后,折射出教育领域在数据安全建设和管理上尚且面临诸多疑难:
 
业务数据迅猛增长,风险趋于集中化
教育业务系统建设的数量逐渐增多,业务逻辑和数据类型复杂,尤其是教育业务系统上云之后,数据规模呈爆炸式增长,这对教育业务系统数据安全的完整性、机密性保护工作带来极大挑战。教育系统信息数据的集中化管理,也带来了安全风险的集中化。
 
防控手段难抵新生威胁,体系化建设不足
目前许多教育机构在技术防护措施方面,大部分仍依赖原有的网络安全设备,主要是采用文档加密、数据库加密、数据防泄漏和数据库审计等手段,缺少针对数据流转、数据交换、数据存储等环节中专用的数据安全手段,没有形成体系化、层次化的数据安全防护能力。
 
数据安全意识薄弱,数据外泄风险难控制
高校内部可接触敏感数据的人员类型非常复杂,既有学校内部人员,也有外部的供应商人员,对数据安全法律法规、风险意识理解参差不一,随意访问、私发敏感数据,导致数据外泄,面临较大的内部人员威胁。
 
教育数据安全步入法治化轨道 建设工作逐渐有章可循
 
教育领域存在涉及重要业务信息和个人信息的关键信息基础设施,一旦发生数据泄露和丢失等安全事故,将对社会和个人造成巨大影响。《数据安全法》的发布,标志着我国以数据安全保障、数据开发利用和产业发展全面进入法治化轨道,同时也对数据安全治理与建设工作提出了合规性要求。
 
近些年,国家与教育部及相关部门下发多项推进教育领域数据安全工作的政策文件。2018年,教育部办公厅印发《教育部机关及直属事业单位教育数据管理办法》,明确教育数据各环节的管理程序,做到教育数据管理全过程有规可依。依托国家信息安全保障体系,完善教育数据共享与公开安全机制,保护个人隐私信息,保障教育数据资源安全。
 
2021年,教育部等七部门印发了《关于加强教育系统数据安全工作的通知》,提出“要建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录。健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报”等工作目标。
 
2022年9月,教育部印发《教育系统核心数据和重要数据识别认定工作指南(试行)》,要求教育各级部门按指南要求梳理部门数据资产,并识别、上报核心重要数据清单。
 
监管提出的目标及要求让教育领域的数据安全建设工作逐渐有章可循。一方面,科研系统、门户网站、招生系统、校园一卡通系统、教务系统等越来越多的应用系统必须面对安全挑战,因此安全建设的关注点需要从边界防御向内部安全治理转移,以应对庞大的用户规模、种类繁多的终端,愈加广泛的攻击面。另一方面,数据成为了不断流动变化的高价值资产,数据安全管理需要密切关注并贯穿数据生命周期的全阶段,有组织、有技术,并且能落地到业务场景中,展开实际的检测、评估、防护与响应。
 
破除传统 探索体系化的数据安全思路
 
基于从边界防御转向内部治理的安全思路,零信任模式践行先验证、再访问的机制,正是革新传统安全架构的一种新范式。我们从易安联了解到,针对教育领域,他们提出安全防护上手段、安全运维不放松、安全服务全方位三维思路来打造全方位立体化的教育零信任安全体系,以实现对整体业务系统及核心数据的全方位持续防护,最大限度提升教育机构安全整体水平。
 
 
打造一套基于零信任的安全基础设施,变传统的烟筒式防御架构为统一联动的整体安全平台,使得任何用户在任何时间、任何地点,使用任何终端设备访问教育机构的任何资源,都需要经过零信任接入平台的安全过滤。因此,从网络安全到应用安全再到数据安全,从终端安全到访问安全再到自适应动态安全,提供的是端到端全方位的安全防护,让正确的人使用正确的设备在正确的环境下获取正确的权限访问正确的应用,且访问行为持续监测与审计,保证教育机构的数据资产始终处于高度安全状态。
 
 
零信任安全平台提供的是全网视角统一安全管理,统一身份、统一认证、统一门户、统一监控、统一分析,发现威胁后第一时间预警或直接处理,同时上报关联分析和溯源分析给管理员,在管理员免干预的情况下解决绝大多数的安全问题,提升安全管理效率。
 
并且,基于教育机构业务特点和易安联自适应动态策略,通过实战化技战法可以不断提升用户的防御能力,有效应对各类安全威胁、快速响应各类突发事件,把安全风险降至最低,智能化保障教育机构的运营安全和安全体系的持续性发展。
 
基于贯穿数据全生命周期的安全管理,则考验数据安全治理体系的建设及运营。绿盟科技提出以管理制度为依据,以资产梳理、分类分级、风评评估为基础,为重要业务场景构建应对覆盖全流程、全链路的数据安全防护体系,以实现常态化数据安全运营,保障数据安全的持续优化与提升,满足教育机构各项规范需求、规避各类数据安全风险。
 
数据安全管理体系
 
首先基于国家和行业数据安全要求,完善数据安全管理体系、组织架构设计,解决数据管理水平不足的问题。
 
其次,通过静态扫描+动态监听+人工复核的方式,全面梳理教育数据资产,三种方式互为补充,对结构化与非结构化全量数据进行动态识别与发现,形成全面完整的数据资产清单,解决数据资产底数不清的问题。
 
然后,基于分级分类情况,确定数据安全需求较高的数据范围,以敏感数据为中心,从技术角度识别评估敏感数据在业务流程中的威胁风险点,明确敏感数据泄露的可能途径,通过梳理威胁信息并结合威胁调查判定的威胁源发生的频率和可能性,从技术和管理两个方面进行审视数据脆弱性,分析安全措施的效力,综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,解决数据安全风险不明的问题。
 
数据安全防护重要场景
 
再次,锚定教育机构数据应用重要业务场景,比如数据治理、数据访问、数据流转、数据共享、开发场景等等,落实数据全链路的数据安全技术防护体系,让数据安全融入业务,解决数据安全防范能力不够的问题。
 
最后,定期支撑教育机构数据安全主题培训,协助搭建数据安全靶场,组织实现数据安全事件应急演练和数据安全攻防演练等工作,解决人员数据安全意识薄弱的问题。
 
尾 声
 
数据资产成为推动教育领域高质量发展的重要引擎,深挖数据安全的风险源,构建数据安全保护体系刻不容缓。欢迎更多在数据安全方向面向教育领域具有前瞻思考和成功实践的甲乙方与我们交流,全面加强数据安全保护能力,提升数据安全合法合规管理水平,有力支撑教育事业迈入数字化与智能化时代。