在高校如火如荼的數(shù)字化轉(zhuǎn)型建設(shè)中,平衡合規(guī)與發(fā)展的天平,強化數(shù)據(jù)安全保障,是不可忽視的重要工作。
關(guān)于如何有效開展,美創(chuàng)與多所國內(nèi)一流高校深入實踐,本案例作為美創(chuàng)護航高校數(shù)據(jù)安全的又一典型項目,覆蓋了組織建設(shè)、制度流程、技術(shù)工具和人員能力等各個維度,通過風(fēng)險評估、數(shù)據(jù)流向分析、分類分級、安全能力搭建及運營服務(wù)等,實現(xiàn)一體化數(shù)據(jù)安全保障落地,值得參考。
浙江中醫(yī)藥大學(xué)(簡稱:浙中醫(yī)大)是浙江省重點建設(shè)高校、高水平大學(xué)建設(shè)高校,是浙江省人民政府、國家中醫(yī)藥管理局、教育部共建高校。在2023軟科世界大學(xué)學(xué)術(shù)排名1000強中,浙中醫(yī)大躋身779位(中醫(yī)藥院校第二位),3個學(xué)科進入ESI全球排名前1%。
近年來,浙中醫(yī)大積極推進數(shù)字技術(shù)與教育管理、教育教學(xué)科研的深度融合,已搭建完成數(shù)據(jù)中臺,實現(xiàn)校域核心業(yè)務(wù)數(shù)據(jù)動態(tài)匯聚、治理、授權(quán)開放。但隨著各類業(yè)務(wù)數(shù)據(jù)互聯(lián)互通,數(shù)據(jù)安全防護壓力隨之增加。
同時,教育行業(yè)合規(guī)要求也在持續(xù)加碼,尤其自《數(shù)據(jù)安全法》和《個人信息保護法》頒布實施以來,國家與教育部及相關(guān)部門下發(fā)多項推進教育領(lǐng)域數(shù)據(jù)安全工作的政策文件,如《教育部機關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》、《關(guān)于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》、《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認(rèn)定工作指南(試行)》等,對數(shù)據(jù)安全治理與建設(shè)提出更明確的合規(guī)性要求。
為此,在統(tǒng)籌發(fā)展與安全的頂層規(guī)劃下,實現(xiàn)數(shù)據(jù)利用與安全防護一體兩翼,平衡發(fā)展的目標(biāo)。浙中醫(yī)大攜手美創(chuàng),開展以數(shù)據(jù)中臺為基礎(chǔ)的數(shù)據(jù)安全風(fēng)險評估工作,并以此為切入點,通過識別目前風(fēng)險現(xiàn)狀,進而建立健全數(shù)據(jù)安全防護體系,具體包括:
基于以上需求,美創(chuàng)結(jié)合自身完備的數(shù)據(jù)安全“咨詢+產(chǎn)品+運營服務(wù)”,一體謀劃、分三步開展,助力浙中醫(yī)大數(shù)據(jù)安全體系化升級落地:
STEP 1
第一步
識別風(fēng)險現(xiàn)狀,完善管理制度
結(jié)合法律法規(guī)及教育行業(yè)的相關(guān)規(guī)定,美創(chuàng)數(shù)據(jù)安全咨詢服務(wù)團隊對浙中醫(yī)大數(shù)據(jù)安全現(xiàn)狀進行綜合摸底,開展數(shù)據(jù)安全風(fēng)險評估和分析,包括合規(guī)安全、組織建設(shè)、制度建設(shè)、技術(shù)工具等模塊,并完成輸出以下內(nèi)容:
數(shù)據(jù)業(yè)務(wù)流向圖
數(shù)據(jù)安全風(fēng)險評估報告
數(shù)據(jù)安全能力差距評估結(jié)果
數(shù)據(jù)安全管理制度
在組織建設(shè)方面,協(xié)助輸出完成數(shù)據(jù)安全管理辦法,明確數(shù)據(jù)安全管理層、執(zhí)行層和監(jiān)督層,建立安全保障小組或責(zé)任人機制。
在制度建設(shè)方面,結(jié)合浙中醫(yī)大已具備的信息安全保障體系和制度,新增《浙江中醫(yī)藥大學(xué)數(shù)據(jù)安全管理規(guī)范》、《浙江中醫(yī)藥大學(xué)數(shù)據(jù)合作方管理規(guī)范》和《浙江中醫(yī)藥大學(xué)數(shù)據(jù)安全演練方案》等。
STEP 2
第二步
厘清數(shù)據(jù)底賬,實施分類分級
結(jié)合大學(xué)人員情況,建立分類分級工作組,制定內(nèi)部工作匯報流程。通過對校內(nèi)數(shù)據(jù)資產(chǎn)進行盤點,劃定本次分類分級工作范圍和工期計劃。重點參考《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認(rèn)定工作指南(試行)》、《教育系統(tǒng)數(shù)據(jù)分類分級指南(草稿)》、內(nèi)部《數(shù)據(jù)目錄白皮書》等,制定分類分級標(biāo)準(zhǔn),最終形成分類分級大綱。
實施過程,由美創(chuàng)數(shù)據(jù)安全分類分級平臺支撐,實現(xiàn)數(shù)據(jù)自動發(fā)現(xiàn)識別,并根據(jù)分類分級策略智能化處理分類分級標(biāo)簽,可視化呈現(xiàn)分類分級結(jié)果。
數(shù)據(jù)分類分級大綱
數(shù)據(jù)分類分級報告
STEP 3
第三步
安全能力建設(shè),全面保障提升
在安全技術(shù)建設(shè)方面,通過對數(shù)據(jù)中臺系統(tǒng)安全基線檢查、漏洞掃描、滲透測試等方式,發(fā)現(xiàn)數(shù)據(jù)處理環(huán)境中存在的安全漏洞,進行漏洞整改;并以人、行為、數(shù)據(jù)為中心,錨定重要場景,如數(shù)據(jù)治理、數(shù)據(jù)訪問、數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)開發(fā)場景等,落實數(shù)據(jù)全鏈路的數(shù)據(jù)安全技術(shù)防護體系,包括:
“人”的管控
通過部署數(shù)據(jù)庫防水壩進行權(quán)限細(xì)化和訪問處理數(shù)據(jù)規(guī)則細(xì)化。
·權(quán)限細(xì)化,根據(jù)運維人員身份角色不同,對其可執(zhí)行的操作進行管控。
·規(guī)則細(xì)化,根據(jù)人員不同,配置相應(yīng)的數(shù)據(jù)庫操作權(quán)限,高級權(quán)限對數(shù)據(jù)庫可進行所有操作和所有數(shù)據(jù)的查詢,中級權(quán)限能執(zhí)行非刪除操作和高級敏感數(shù)據(jù)的權(quán)限,低級權(quán)限僅能查詢非核心數(shù)據(jù)庫數(shù)據(jù)。
數(shù)據(jù)庫防水壩
“數(shù)據(jù)”管控
通過部署數(shù)據(jù)脫敏系統(tǒng),對敏感數(shù)據(jù)匿名化處理,在不破壞數(shù)據(jù)使用價值的前提下,防止開發(fā)測試、數(shù)據(jù)共享、分析挖掘等場景中發(fā)生數(shù)據(jù)泄漏風(fēng)險。
數(shù)據(jù)脫敏系統(tǒng)
通過部署存儲加密,對個人隱私數(shù)據(jù)執(zhí)行加密存儲,防止明文存儲引起的數(shù)據(jù)泄露問題。
利用數(shù)據(jù)水印系統(tǒng),對敏感數(shù)據(jù)按需進行水印處理,確保在數(shù)據(jù)發(fā)生泄漏的情況下進行溯源。
數(shù)據(jù)水印溯源
“行為”管控
通過部署API安全監(jiān)測與訪問控制系統(tǒng),從資產(chǎn)脆弱性、資產(chǎn)暴露面、賬戶共用、異常訪問等維度,智能監(jiān)測數(shù)據(jù)中臺API接口調(diào)用過程存在的各類風(fēng)險,并進行告警阻斷、快速處置;通過數(shù)據(jù)庫防水壩-高危行為管控進行未授權(quán)用戶的操作告警阻斷。
API安全監(jiān)測與訪問控制系統(tǒng)
“一張表貫通”
場景落地
以教職工基本信息表為例,如下圖所示,通過在數(shù)據(jù)源系統(tǒng)【人事系統(tǒng)】,數(shù)據(jù)開放平臺【數(shù)據(jù)中臺】,數(shù)據(jù)使用方【E搜系統(tǒng)】進行加密、脫敏、API監(jiān)測安全能力建設(shè),實現(xiàn)整體流轉(zhuǎn)鏈路表的數(shù)據(jù)安全防護落地。
通過對人事系統(tǒng)中的教職工基本信息表進行分類分級,按照判斷數(shù)據(jù)敏感等級為3級,基于《浙江中醫(yī)藥大學(xué)數(shù)據(jù)分類分級規(guī)范》3級要求,對教職工基本信息表進行數(shù)據(jù)訪問行為管理以及數(shù)據(jù)導(dǎo)出行為管控,同時對該教職工基本信息表在數(shù)據(jù)中臺API接口調(diào)用行為進行實時監(jiān)測風(fēng)險和告警處置。
建設(shè)成果
1.通過完善數(shù)據(jù)安全管理制度,建立數(shù)據(jù)安全標(biāo)準(zhǔn)體系,有效規(guī)范了數(shù)據(jù)處理活動。
2.基于數(shù)據(jù)應(yīng)用和共享建立數(shù)據(jù)資源目錄的動態(tài)更新機制,全面掌握數(shù)據(jù)使用情況,按照浙中醫(yī)大數(shù)據(jù)目錄白皮書和相關(guān)標(biāo)準(zhǔn)指南,開展數(shù)據(jù)分類分級工作,落實數(shù)據(jù)分類管理分級保護。
3.按照“一數(shù)一源”的原則,根據(jù)實現(xiàn)處理目的最小范圍,規(guī)范數(shù)據(jù)收集使用范圍,優(yōu)先通過共享獲取數(shù)據(jù),避免重復(fù)處理。
4.全面加強數(shù)據(jù)安全保障,建立覆蓋數(shù)據(jù)處理活動的全方位安全體系,實現(xiàn)廣大師生數(shù)據(jù),特別是個人敏感隱私信息的重點保護。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )