面向“网络攻防”的高校数据安全管理体系研究
2024-07-11田果王鑫露
田果 王鑫露
摘要:近年来,高校数据泄露事件频发,如何加强高校数据安全已迫在眉睫。高校也试图从“网络攻防”视角,查找网络、系统、应用潜在的安全风险和缺陷,提高学校应对安全威胁的能力。本文着眼于攻防演练过程中发现高校在数据安全方面存在的问题,提出以“数据资产”为核心的数据安全管理体系,该体系根据场景化需求,实现让数据安全能看清、能管好、能防住。各高校可以结合实际需求急用先行,强化数据安全技术保障能力,确保数据使用变得更加合规、安全。
关键词:网络攻防;数据安全;数据安全管理体系
1. 高校数据安全的现状
2022年6月,西北工业大学发布《公开声明》称,该校电子邮件系统遭受境外网络攻击,被窃取了超过140GB的高价值数据[1]。2023年7月,网友在社交平台爆料,北京某高校一个毕业生在读研期间盗取全校学生的个人信息,包括照片、姓名、学号等,并搭建了颜值打分网站,还在个人社交账号上公开此事。8月,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖[2]。
面对严峻的数据安全风险状况,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(简称《数据安全法》),标志着数据安全上升到国家安全层面。《数据安全法》规定国家建立数据分类分级保护制度,对数据实行分类分级保护,这为我国数据安全提供了基础性法律保障。同时,教育行业的合规要求也持续加码。教育部等七部门面向全国教育系统下发《关于加强教育系统数据安全工作的通知》[3],明确提出“要建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录。健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报”等工作目标。国家相继出台一系列教育数据安全保护的政策法规,为教育行业数据安全治理提供了重要的指导和参考。
在数据安全合规要求不断升级的大背景下,教育行业又该如何深化数据安全防护能力建设,构建数据安全管理体系?以国家法律法规为指导思想,从保护重要数据资产的视角出发,优化完善现有的安全防御体系,从“网络攻防”切换到“保护重要数据资产”,深挖高校数据安全的风险源,找出高校数据安全事件的风险源,建设由数据安全管理队伍、软硬件技术支持、政策法规标准、风险预警监测、宣传教育培训等全方位防护,时间可持续、空间无盲区、领域全覆盖、技术前沿化、流程无梗阻、治理全员化、机制全过程的预警应急一体化的数据安全防护体系已是必然趋势。
2. 从“网络攻防”视角深挖高校数据安全的风险源
近年来,高校也试图通过攻防演练进行攻击测试和安全演练,查找网络、系统、应用潜在的安全风险和缺陷,并提高学校应对安全威胁的能力[4]。通过攻防演练发现高校存在以下问题:(1)弱口令、重复口令是教育单位的普遍情况;(2)开发过程不规范、代码未经测试上线、API接口不设防等原因导致的应用系统安全漏洞是教育单位用户丢分重点;(3)互联网安全防护到位但内网安全防护形同虚设,攻击人员通过VPN可随意漫游,导致高校用户一点破全盘皆失;(4)攻击类、防守类、组织类安全人才匮乏,出现问题之后的应急响应处置能力亟须增强;(5)安全意识薄弱,虽然近年来高校用户防钓鱼意识逐渐增强,但在个人隐私保护和防信息泄露方面仍然处于空白阶段;(6)第三方软件厂商运维人员、相关应用开发厂商等一系列供应链带来的风险逐渐成为教育单位新的风险爆发点。
通过这些“点的表象”,高校数据安全“面的问题”也浮现出来,总结如下:(1)缺少整体设计。目前,高校的安全建设多是围绕网络安全,数据安全建设往往仅开展合规要求部分,离实际需求相去甚远[5];(2)缺少数据安全的整体摸底。数据流转复杂、业务不断迭代、数据资源不断扩大,运维管理、业务调用面临巨大压力,导致安全完全让步于业务,与数据相关的使用流程通常很少考虑安全[6];(3)缺少技术手段堵口。敏感数据在哪里?谁在用?有哪些风险?哪些业务涉敏?数据都流向了哪里?通常是一笔糊涂账;(4)缺少账号管控。账号管理不严格,尤其缺少对特权账号的梳理和有效管控;(5)审计覆盖不全。谁在用数据?在什么时间?什么环境?通过什么方式?使用哪些数据?(6)缺少风险发现手段。风险发现机制仍是网络安全思路,以发现漏洞、恶意流量为主,而对数据的泄露浑然不觉[7]。
3. 建设以“数据资产”为核心的数据安全管理体系
针对攻防演练发现的高校数据安全的风险源,提出以“数据资产”为核心,以“访问控制、事件监测、风险分析、策略调整”闭环防护技术为主导思想的管理体系。该体系建设根据场景化需求,实现让数据安全能看清、能管好、能防住。各高校结合实际需求急用先行,确保安全合规不踩线。
基础防护手段跟不上,数据安全保护犹如空中楼阁。那么,高校数据安全首要任务是“先理后治,补短固底”,其中,“补短板”是高校数据安全的当务之急。
先理后治,梳理业务,识别重要资产。这需要“盘好家底”,梳理业务系统,识别数据资产,明确重点保护目标,找出关键的业务数据场景,梳理业务访问关系、梳理安全现状。比如,高校根据数据访问的主、客体不同,将活动场景分为内部人员办公、数据开发利用、数据运维管理、数据对外服务,如图1所示。
补短固底,做好基础安全防护。依据梳理出的重要数据资产,围绕其关键场景进行风险分析以及安全加固,各高校可以结合实际需求“补短板”,包括但不限于做好以下举措:融入“零信任”思想,建立零信任网络访问系统,部署数据库堡垒机、特权账号管理及密码保险箱、数据库审计与防护系统、API安全网关、数据安全态势感知等安全设备,将所有访问数据库的人员全部纳入数据库堡垒机,数据库密码必须托管,完整记录用户/系统对数据库的访问行为,对服务接口进行威胁检测及防护,以及对风险行为、异常访问、安全事件等做好监测预警、全局分析、整体感知,减少数据泄露等风险的发生。
补短固底的目的在于形成统一的审计方案。由堡垒机提供运维人员操作的审计日志,特权账号管理系统提供僵尸账号、弱密码账号、长期不改密账号、权限变更等风险日志,数据库审计系统提供对数据中心的数据库、大数据组件操作审计,API流量审计提供业务人员对业务系统的操作审计,数据安全态势感知统一收集各安全组件日志,从而实现数据资产的流动监测、风险预测等。
补齐“短板”,系统治理,体系规划,建立数据安全评估和监督评价制度。其中,系统治理方面,主要工作是结合业务系统,开展充分的现状调研,再结合国家法律法规,对数据资产分类分级;识别数据主客体访问关系,梳理数据访问权限,绘制数据流转图;根据分类分级和流转图,对不同类型数据制定不同的管控方案,做好风险的感知和评估,并适时调整策略。至此,以“数据资产”为核心,“访问控制、事件监测、风险分析、策略调整”的完整闭环体系形成。数据安全闭环防护技术如图2所示。
体系规划是建立数据安全评估和监督评价制度的重要一步。需要以闭环防护技术为指导思想,从管理、技术、运营多维度进行系统的体系规划,包括数据分类与标记、访问控制策略、数据监测和审计、合规性与法规遵循等数据安全管理体系规划,利用加密技术、防火墙和入侵检测系统、漏洞管理、多因素认证、安全更新和补丁管理等技术的防护体系规划,利用数据备份和恢复、风险管理、应急响应计划、性能监测、合作伙伴和供应商管理等的运营体系规划。这些体系确保高校数据进行定期风险评估、定期进行数据安全监测预警通报,及时发现数据安全风险、处置数据安全威胁,提供数据安全风险评估报告和整改建议。
数据安全工作并非一劳永逸,要维持安全、可持续的运营需要持续对数据资产进行发现、分类分级、标记等工作。为加固数据安全保障体系,有序建设,持续运营,提升防护效果,一方面,通过数据资产分布及流转情况、数据风险情况以及业务数据使用情况,根据数据级别制定相应的分级管控与防护策略,以及场景化建设方案。例如,结合数据使用场景和生命周期,根据业务和数据流转情况制定办公网数据防泄漏场景解决方案、科研敏感数据泄露场景解决方案等,并制定相应的场景化的管控和防护策略。另一方面,采取“专家+流程+平台”三者整合的运营模式,组建一个强大的数据安全生态系统,满足法规和合规性要求的同时,确保数据的机密性、完整性和可用性[8]。
除此之外,高校需要建设由专业人员组成的数据安全团队。该团队需要对管理、运营、合规、技术等方面负责,保障数据安全的整体规划实施落地。为提高数据安全法律意识,需要对团队甚至全校师生持续开展针对性的专业培训工作。通过以上建设,帮助高校实现数据可知、风险可视、安全可控、泄密可溯,让数据的共享交换过程更安全。
结语
以“数据资产”为核心,将“访问控制、事件监测、风险分析、策略调整”闭环防护技术为主导思想的数据管理体系,坚持安全与发展并重,平衡数据安全与业务应用的关系,以全局数据流转可见为基础,以重点防护为原则,强化数据安全风险监测能力,提高高校数据安全防护成效,实现数据可知、风险可视、安全可观、泄密可溯的数据安全目标。同时,深度贯彻落实《数据安全法》,通过强化数据安全管理、技术、运营、人员能力,落实数据安全保护义务,明确各方数据安全责任,采取必要措施强化数据资源安全保障,建立健全的全流程数据安全管理制度,基于数据安全治理落实数据分级重点保护,面向业务场景建立数据安全建设体系,实现高校数据更安全。
参考文献:
[1]西北工业大学发布声明:我校电子邮件系统遭受境外网络攻击,已报警[EB/OL].(2022-06-22)[2024-05-05].https://bj--bjd--com--cn--01057tkaa93fe.wsipv6.com/5b165687a010550e5ddc0e6a/contentShare/5b16573ae4b02a9fe2d558f9/AP62b2ee8de4b0c2cdf0a320fd.html.
[2]陈荣.数字化时代 高校探寻网络安全新思路[J].中国教育网络,2023(8):9-13.
[3]教育部等七部门关于加强教育系统数据安全工作的通知(教科信函〔2021〕20号)[A/OL].(2021-04-06)[2024-05-05].https://nic.cczu.edu.cn/2022/0925/c1294a305140/page.htm.
[4]冯卫华.网络安全攻防演练在实际应用中的探索[J].电脑编程技巧与维护,2023(11):162-165.
[5]邵美科.高校网络安全漏洞治理探索[J].网络安全技术与应用,2023(12):84-85.
[6]胡康,郭金成,李健.数据分类分级标准化探索——以某研究院为例[J].中国信息化,2023(9):54-56.
[7]黄欣.数字经济时代我国网络安全保险发展研究[D].沈阳:辽宁大学,2023.
[8]姚晓斌.新时代企业网络安全实战攻防问题及防护策略研究[J].网络安全技术与应用,2023(10):109-110.
作者简介:田果,硕士研究生,研究方向:网络安全与信息化管理;王鑫露,硕士研究生,研究方向:网络与系统安全、大数据、云计算。
基金项目:河南省重点研发与推广专项(科技攻关)项目——面向内容生产者移动的移动互联网数据传输性能优化关键技术研究(编号:212102210381)。