事件回顾 近期,南昌公安网安部门工作发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。 南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
高校由于掌握大量个人信息通常是黑客进行网络攻击的重点对象,近年来高校因网络安全防护不力导致大量数据泄露或被非法使用的情况屡见不鲜。 ● 2020年,郑州新郑市某中等专业学校因不履行网络安全保护义务而被处罚。经查,该校未制定内部安全管理制度和操作规程,未按照规定留存相关网络日志六个月。新郑警方对该校及其网络安全负责人分别处以1万元和5000元罚款。 ● 贵阳某地警方根据《网络安全法》对一高校及其负责人分别处以10万元和5万元的行政罚款。原因是该高校网站主页遭遇黑客攻击,登录页面被非法篡改为违法有害信息,影响恶劣。 ● 2022年,国家计算机病毒应急处理中心和360联合发布了关于西北工业大学遭受境外网络攻击的调查报告。调查发现,攻击源头是美国国家安全局(NSA)下属的特定入侵行动办公室(TAO),对方疑似窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。 频频上演的内部数据泄漏风波,也揭示了目前高校数据管理水平不足、数据安全防范能力不够、数据泄露风险隐患突出的困境与痛点,在数字化转型的道路上及时筑牢数据安全防线,是当下每个高校应该重点关注的工作。 高校数据安全目前面临的困境 ●数据量庞大且敏感级别不断提升:包括高校师生个人和家庭数据,重点实验室、科研项目等核心数据,财务数据、学生考评等数据,数据量级不断增大,数据一量泄漏可能造成巨大影响; ●数据安全精细化管控措施不到位:业务系统众多,安全归口管理部门不一,敏感数据散落各处,安全防护力度不足,数据访问权限难梳理,未落实精细化安全管控措施; ●数据安全管理制度体系不完善 :高校管理链条较长,数据安全管理组织架构不健全,数据安全责任人不明确,数据安全管理制度缺失,数据安全操作流程和规范没有明确要求; ●内部数据共享安全风险难把控:对敏感数据流向和数据安全风险进行监控和管理,难以感知数据滥用、数据窃取等风险。缺少数据溯源手段,无法对数据泄露事件进行应急处理。 敏捷方案铸造数据安全的“定海神针” 针对这样的数据安全现状,高校该如何做好数据安全建设呢?敏捷科技认为需要技术和管理双管齐下,以数据分类分级为起点,以管理制度为依据,在具体建设过程和环节中,利用终端数据安全防护技术,逐步构建覆盖数据全生命周期的数据安全防护体系,实现数据安全防护与统一管理的持续优化和逐步提升。 在管理制度方面 高校应结合法律法规、部门规章、行业标准,制定数据分类分级标准,梳理出高校信息系统重要的数据目录,明确个人隐私和敏感数据保护范围。 比如,在制定数据安全管理与隐私保护相关办法中,高校需明确数据收集、存储、处理、共享等关键环节的操作规范、管理部门职责分工、应急管理与安全检查机制,充分发挥各部门和各类人员在数据安全保障工作中的作用,共同遵守和执行安全规章制度,保障数据安全策略的贯彻落实。 在防护技术方面 >>> 数据存储:对师生敏感数据或重要数据进行加密存储,防止黑客窃取、设备损坏、文件被盗等原因造成信息泄漏;对电脑终端、应用服务器、文件服务器等重要系统部署勒索软件防范勒索攻击。 >>> 数据访问:通过对核心数据定密,结合对内部人员的权限进行细粒度的操作权限控制,防止“高密低流”。通过与业务系统集成,实现上传解密和下载加密,使得重要数据始终处于加密管控状态。 >>> 数据交互:采用DLP数据防泄漏系统对重要文件的处理、传输进行管控;配合多层级的外发审核和水印溯源技术,加强数据流动场景下的安全保障和风险监测,实现数据可控流动。
敏捷科技基于多年数据安全实践经验,结合《数据安全法》和《个人信息保护法》等法律法规的要求和高校数据安全风险场景,为高校数据安全建设提供全生命周期的数据防泄密解决方案,助力高校数据使用变得更加合法合规、安全高效。
18120179909
关注敏捷小助手,了解更多