随着教育信息化的推进,高校数据中心建设已经成为学校信息化建设的重点,它承担了数据汇集、数据管理、数据服务等任务,是对校园信息系统中的数据进行集中存储、共享和交换的核心枢纽。但随着高校网络中的数据量不断增多,数据安全问题发生的也越来越频繁,给高校网络中心的管理人员提出了巨大的难题,也给高校千万师生的信息安全造成了巨大威胁。且当前《网络安全法》《数据安全法》以及《个人信息保护法》,都相应指出了对于数据保护的相关要求和责任,强调了数据安全的重要性。
高校是数据安全重灾区,大量高校遭受来自国内和国际的攻击,造成大量敏感数据泄露,产生严重后果。IBM报告:2023年数据泄露的平均总成本达到445万美元,相较于2022年的435万美元增加了2.3%,全球1/10的机构遭遇勒索软件攻击尝试,比2022年激增33%,受影响较大的行业包括教育、卫健、金融等。2023年是教育领域数据安全事件发生最严重的一年。其中勒索攻击从 2022 年的129起事件增加到2023年的 265起,在过去一年中猛增了70% ,其中43%针对高等教育。
在当前数字化、网络化、智能化融合发展的背景下,高校作为国家重要的智力资源和信息化基础设施,承担着培养人才、科学研究和社会服务等重要使命。然而,随着网络信息技术创新日新月异,高校数据安全问题日益凸显,严重阻碍了数据资源价值的释放和高校信息化建设的顺利推进。
为有效保障数据在安全环境下运行,支撑国家战略落地及内部业务使用,中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》要求加快培养数据要素,将数据正式列为国家基础战略性资源和社会生产创新要素之一。此外,《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规和管理规范明确了数据安全制度及保护义务,要求组织严格遵循数据安全原则,保障数据安全、促进数据合理有序流动,助力数字经济高质量发展。
《中华人民共和国数据安全法》第六条规定“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”同时在“2+8+N”信创自主应用体系中:“2”指党政;“8”指金融、电信、电力、石油、交通、航空航天、教育、医疗八大国计民生关键行业。教育行业均处于最重要行业的行业地位之一。
为了落实这些法律法规和规范,保障高校数据安全,需要建设满足现状同时具有可持续发展的国产化数据安全防护体系。这一体系应综合考虑政策风险、业务风险、技术风险和安全现状,通过制定严格的数据安全管理制度和技术方案,确保数据安全与发展两者并重。高校需要加强对数据安全的重视和管理,完善数据安全保护机制,加强数据安全培训与教育,建立健全的数据安全监督与评估机制,以全面提升高校数据安全管理水平,确保业务的稳定运行和信息资源的有效利用。
针对当下高校数据泄露的原因,我们做了以下几个要点进行分析。
一是能力制度有短板:技术方面:仅依靠网络安全的等级保护手段保护数据,缺乏从采集、存储、使用,到销毁的全生命周期的系统性数据安全技术体系。管理方面:内部数据安全管理制度建设落后,无相关标准和规程。
二是外部攻击有组织:攻击者遍布国外、国内、校园。攻击者受到企业、社团组织、甚至是国家力量的支持。攻击方式越来越系统、越来越高级、越来越隐蔽、越来越持久。攻击的目的越来越针对数据。
三是内部特权存忧患:内部人员复杂:专职、外包、业务厂家驻场。内部人员无意识的疏漏。内外合谋:不法分子与高校工作人员、服务人员合作盗取学生、教师隐私数据。内部人员违约很少被感知到。
我国近年来颁布的相关法规也明确了对于数据安全的重视程度,包括《网络安全法》《数据安全法》以及《个人信息保护法》,都相应指出了对于数据保护的相关要求和责任,强调了数据安全的重要性。同时在教育行业,针对教育系统数据的保护也相应出具了行业规范要求,明确了教育系统数据相关管理办法。如2021年教育部等七部委印发《关于加强教育系统数据安全工作》的通知:要求建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录;健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报。这些相关法律法规的制定,从内外部结合体现了当下高校必须重视数据安全。
A)校内IT系统集中,以物理机和私有云模式运行于网络中心
高校的IT系统通常集中在网络中心,采用物理机和私有云模式运行。
这意味着大量的教学、科研、行政管理等数据存储和处理都集中在这些系统中。
集中式管理带来了一定的便利性,但也存在着一些安全隐患。
单点故障风险:
由于数据集中存储在网络中心,一旦网络中心出现故障或遭受攻击,可能导致大规模数据丢失或泄露。
内部人员权限滥用:
网络中心拥有对所有数据的管理权限,如果内部人员滥用权限或泄露数据,可能造成严重的数据安全问题。
网络攻击威胁:
作为数据的集中存储地,网络中心成为网络攻击者的主要目标之一,可能面临来自外部的网络攻击风险。
近年来,越来越多的高校建立了校园数据中台,将各类数据集中管理和运营。校园数据中台作为数据的统一管理平台,能够提高数据的整合性和利用率,但也带来了一些数据安全隐患。
数据隔离不足:
虽然数据中台能够集中管理数据,但不同数据之间的隔离性可能不足,一旦发生数据泄露或攻击,可能波及到整个数据中台。
对外服务安全性:部分高校数据中台可能提供对外服务,如科研合作、校友管理等,需要面临来自外部的安全威胁。
除了集中管理的校园数据中台外,高校还有一些重要的大系统,如财务系统、一卡通系统、图书馆管理系统等,这些系统通常独立运行,拥有自己的数据存储和处理能力。
数据孤岛:
这些大系统通常拥有独立的数据存储,与其他系统相对独立,能够在一定程度上保护系统的安全性。
重要数据集中:
财务、一卡通等系统包含了学校的核心数据,一旦这些系统遭受攻击或泄露,可能造成严重的损失和影响。
一是多、小、散、乱。系统数量众多,重要系统20多个,总数量100-200,虽然多数系统数据存储量小,但各系统存储的敏感数据均达到刑法规定的“情节严重”标准:即50条以上。应用和数据分散在数据中心各个区域,有统一托管也有独立运行,数据暴露面大,攻击面也大。各种应用由不同技术水平的团队构建,运行环境、采用的架构和语言差异较大,有很多系统数安短板明显。
二是人少、事多、压力大。高校计算中心负责网络安全尤其数据安全的人员都在个位数,具体说很少超过2人,且几乎没人受过系统的数据安全法律法规、知识技能培训。面对数据安全能力建设、制度建设、能力运维和处理数安事件时人手和经验双重紧张。数据越来越多,敏感度越来越高,集中度越来越高,面对越来越有计划性的攻击,数据成了烫手山芋。法律、法规、行业政策越来越高压,从主要领导到专责技术人员,都可能被追责。
三是权责不明三不管。数据安全由于自身特殊性,面临软件供应商、网络中心、所有者处室三不管的状态。网络信息中心:某些系统没有权限深入数据、主观不愿、也不应涉入具体数据太深,且跨部门协调实施存在实际困难。软件供应商:软件交付后没有权限也不应该管理数据本身。业务处室:主观认为网络中心应该负责数据安全、自身也没能力管理。数据能力涉及应用和数据,必然涉及到多个部门的协作。
四是特权账户管理难。DBA权限过大,能够看到系统内所有的数据,且没有足够的监督约束机制。为了便于系统维护与升级,各业务开发商手里存在大量的特权账号,甚至可以在任何时间、任何地点访问数据,且该行为没有足够的约束及监督。处室的主管和管理员等特权账号也具有很大的数据访问权限,缺乏恰当的约束和监督机制。
一是尽职免责少麻烦。履行国家法律法规和行业标准、规范所规定的数据安全保护义务。保护校内分管领导、信息中心人员以及各处室人员,即使发生数据安全事件也不会成为被追责对象。
二是减少沟通快上线。单位建设的数安能力具有最小化改变原有业务系统。最小化上线流程,减少跨部门沟通和协作量。
三是上线以后有人管。数安系统上线后,有专人对数据安全能力进行维护,能针对业务系统的实际情况调试并完善数据安全管控策略。能协助单位完成上级及相关部门的监督检查。发生安全事件后快速协助应急响应。
四是内忧外患不再难。对内部DBA、运维人员、应用开发商等特权用户进行分权管理,实现最小化授权,并对其数据访问行为进行监控。针对来自外部的攻击,及时发现并进行预警及阻断。
整体思路以标准、内生驱动及安全架构要求为基础,从技术能力体系、管理体系和服务体系三方面进行建设,整体架构设计如下图。
1.技术能力体系,包括数据访问审计、数据访问控制、数据脱敏、数据加密、数据水印、数据防泄露、数据安全风险监测和数据分类分级等涉及数据全生命周期场景的能力需求和所有数据类型及保护对象。
2.管理体系,包含安全战略及合规管理两个维度。安全战略以外部管理要求及内部安全管理需求为基础,制定组织数据安全相关战略和方针。数据安全合规管理制度明确了具体的安全管理方式和方法,以规范化流程指导数据安全管理工作具体落实。
3.服务体系,包含从数据资产梳理服务到数据安全评估的全链条数据安全服务,以及整体方案落地后能提升建设成效的数据安全运营服务,侧重于策略优化、应急响应和重大活动保障,全方位提升高校数据安全专业防护能力水平。
