文/蔡利軍 周益飛

在高校信息化建設(shè)和發(fā)展過程中，業(yè)務(wù)系統(tǒng)和數(shù)據(jù)中心匯聚了大量數(shù)據(jù)，并在多個(gè)部門和多個(gè)系統(tǒng)之間流通、共享和分析，導(dǎo)致高校數(shù)據(jù)資產(chǎn)不清晰，給數(shù)據(jù)安全管控和防護(hù)工作帶來困難。由于缺乏相關(guān)的數(shù)據(jù)安全能力，很多高校都不了解自己的數(shù)據(jù)資產(chǎn)，不知道敏感數(shù)據(jù)的具體分布，數(shù)據(jù)安全防護(hù)也無從談起。隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等關(guān)于數(shù)據(jù)安全的法律的頒布和實(shí)施，梳理高校信息資產(chǎn)、對(duì)數(shù)據(jù)資產(chǎn)分類分級(jí)，規(guī)范數(shù)據(jù)處理活動(dòng)，保護(hù)師生在網(wǎng)絡(luò)空間的合法權(quán)益也愈發(fā)迫切和必要。

本文結(jié)合武漢大學(xué)的數(shù)據(jù)安全實(shí)踐，描述了學(xué)校信息資產(chǎn)數(shù)據(jù)的梳理過程，同時(shí)探討了高校的數(shù)據(jù)資產(chǎn)分類分級(jí)，并對(duì)敏感數(shù)據(jù)安全防護(hù)和動(dòng)態(tài)脫敏提出了一套可行的解決方案。

信息資產(chǎn)梳理

武漢大學(xué)信息資產(chǎn)主要包括校內(nèi)網(wǎng)站、信息系統(tǒng)和新媒體平臺(tái)，這些資產(chǎn)以域名、IP 和新媒體平臺(tái)賬號(hào)的形式記錄備案，各類網(wǎng)站和信息系統(tǒng)，均是由學(xué)校各院系、職能部門、研究機(jī)構(gòu)等自行建設(shè)開發(fā)，并提交紙質(zhì)備案資料，經(jīng)學(xué)校宣傳部和信息中心分別審批后上線。由于歷史原因，紙質(zhì)資料的存檔由宣傳部和信息中心分別各自保存，同時(shí)存儲(chǔ)電子檔案?jìng)洳椤?/p>

由于存檔和管理上的側(cè)重點(diǎn)不同，宣傳部和信息中心保存的數(shù)字存檔在數(shù)量和內(nèi)容上存在較多差異，比如宣傳部的檔案更注重資產(chǎn)的名稱、負(fù)責(zé)人以及域名等信息；而信息中心的檔案更偏重服務(wù)器IP 地址、數(shù)據(jù)庫類型、采用的開發(fā)技術(shù)等。另外，由于多年的信息化建設(shè)發(fā)展以及單位人事變動(dòng)，很多信息資產(chǎn)停止維護(hù)或負(fù)責(zé)人員調(diào)整，沒有及時(shí)通知和反饋，造成存檔的資料與實(shí)際情況存在很大差異。因此，通過建設(shè)學(xué)校統(tǒng)一的網(wǎng)絡(luò)資產(chǎn)備案系統(tǒng)作為契機(jī)，對(duì)上述資產(chǎn)進(jìn)行數(shù)據(jù)治理和資產(chǎn)清查，提高資產(chǎn)數(shù)據(jù)的準(zhǔn)確性和及時(shí)性，信息資產(chǎn)（主要是校內(nèi)網(wǎng)站和信息系統(tǒng)）梳理過程如下：

首先，需要對(duì)宣傳部和信息中心的數(shù)字檔案進(jìn)行整合，對(duì)兩個(gè)部門保存的不同格式數(shù)據(jù)導(dǎo)出成Excel 表，取并集處理得到統(tǒng)一的完整數(shù)據(jù)，包含資產(chǎn)名稱、所屬單位、負(fù)責(zé)人、聯(lián)系方式、域名、IP 地址、開放端口、建設(shè)技術(shù)等；其次，將上述表格關(guān)聯(lián)正確的單位代碼和負(fù)責(zé)人工號(hào)，由于原數(shù)據(jù)中未保存單位代碼以及負(fù)責(zé)人的工號(hào)，無法精確定位人員，因此將表格中的單位名稱與學(xué)校組織機(jī)構(gòu)進(jìn)行匹配，確定機(jī)構(gòu)代碼，同時(shí)將負(fù)責(zé)人姓名與人事系統(tǒng)的人員姓名匹配，識(shí)別工號(hào)；最后，將數(shù)據(jù)導(dǎo)入資產(chǎn)備案系統(tǒng)并設(shè)置對(duì)應(yīng)的服務(wù)器類型，梳理出信息系統(tǒng)和網(wǎng)站。

信息資產(chǎn)梳理后，還需要通過備案系統(tǒng)掃描，獲取各類資產(chǎn)的可達(dá)狀態(tài)。根據(jù)HTTP 返回參數(shù)，狀態(tài)碼200 表示正常，302表示跳轉(zhuǎn)，403 表示禁止訪問（在高校這種情況一般是集成到信息門戶），這3 類標(biāo)記為可達(dá)資產(chǎn)，對(duì)于多次掃描均為不可達(dá)的資產(chǎn)，標(biāo)記資產(chǎn)狀態(tài)為注銷。如果想進(jìn)一步梳理網(wǎng)站資產(chǎn)，還可以清理出長期不更新的網(wǎng)站，此類網(wǎng)站由于長期無人維護(hù)和管理，網(wǎng)站框架或后臺(tái)版本老舊，安全漏洞多。由于要求用戶主動(dòng)注銷此類網(wǎng)站較為困難，因此可以采取技術(shù)手段，通過最后更新時(shí)間找出此類網(wǎng)站，設(shè)定時(shí)間周期后自動(dòng)注銷或標(biāo)記為過期資產(chǎn)。經(jīng)過以上梳理步驟后確定武漢大學(xué)可訪問信息資產(chǎn)總數(shù)上千，其中網(wǎng)站資產(chǎn)占80%左右，系統(tǒng)資產(chǎn)占20%左右，新媒體賬號(hào)有500 多個(gè)，如圖1 所示。

圖1 信息資產(chǎn)梳理流程

數(shù)據(jù)資產(chǎn)分類分級(jí)

目前已經(jīng)發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》提出，要建立數(shù)據(jù)分類分級(jí)保護(hù)制度，按照數(shù)據(jù)對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。國家對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。各地區(qū)、各部門應(yīng)當(dāng)按照國家數(shù)據(jù)分類分級(jí)要求，對(duì)本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進(jìn)行分類分級(jí)管理。

隨著高校信息化建設(shè)不斷發(fā)展，引入各類信息系統(tǒng)中存儲(chǔ)的敏感數(shù)據(jù)也越來越多，在《中華人民共和國個(gè)人信息保護(hù)法》中，敏感個(gè)人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息。根據(jù)高校的實(shí)際情況，可以考慮將身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)作為核心數(shù)據(jù)，手機(jī)號(hào)碼、居住地址、學(xué)生成績、宗教信仰、特定身份、醫(yī)療健康等作為重要數(shù)據(jù)。由于需要對(duì)不同范圍和系統(tǒng)的數(shù)據(jù)提供不同程度的保護(hù)，可以從如下兩個(gè)方面來進(jìn)行數(shù)據(jù)分類分級(jí)：

1.根據(jù)網(wǎng)絡(luò)邊界分類保護(hù)

在高校信息化建設(shè)過程中，各業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)經(jīng)過梳理，會(huì)逐漸集中于信息化職能部門的數(shù)據(jù)中心平臺(tái)，而隨著機(jī)房的升級(jí)和云平臺(tái)的部署，一般會(huì)形成集中的服務(wù)器區(qū)，各單位和業(yè)務(wù)部門則在校園網(wǎng)管理信息系統(tǒng)。因此根據(jù)網(wǎng)絡(luò)邊界可以劃分為3 個(gè)區(qū)域，分別對(duì)應(yīng)核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)。對(duì)于數(shù)據(jù)中心的核心數(shù)據(jù)，通過部署數(shù)據(jù)庫防火墻、靜態(tài)脫敏或水印等技術(shù)手段來嚴(yán)格保護(hù)；對(duì)于服務(wù)器區(qū)可識(shí)別的重要數(shù)據(jù)，利用數(shù)據(jù)泄露防護(hù)DLP（Data Leakage Prevention）系統(tǒng)檢測(cè)出對(duì)應(yīng)的IP 地址和域名，然后根據(jù)信息資產(chǎn)管理數(shù)據(jù)確定對(duì)應(yīng)的系統(tǒng)，反向代理部署數(shù)據(jù)脫敏系統(tǒng)DMS（Data Masking System）進(jìn)行重點(diǎn)保護(hù)，如圖2 所示。

圖2 網(wǎng)絡(luò)邊界分類保護(hù)示意

2.根據(jù)系統(tǒng)等保定級(jí)分級(jí)保護(hù)

根據(jù)教育部印發(fā)的《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》（教技廳函[2014]74 號(hào)）文件的指導(dǎo)建議，高校信息系統(tǒng)分為校務(wù)管理、教學(xué)科研、招生就業(yè)、綜合服務(wù)，4 大類23 種具體業(yè)務(wù)類型。其中建議安全保護(hù)等級(jí)定為三級(jí)的有6 種業(yè)務(wù)類型，其余為二級(jí)。6 種具體業(yè)務(wù)類型主要涵蓋科研、招生、門戶、一卡通等方面。結(jié)合高校實(shí)際情況，可以將校園一卡通、科研管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)的數(shù)據(jù)嚴(yán)格保護(hù)，通過部署或限制在校園內(nèi)網(wǎng)。在系統(tǒng)運(yùn)維使用階段，開發(fā)人員、運(yùn)維人員一律使用堡壘機(jī)操作，便于審計(jì)回溯，一卡通和財(cái)務(wù)相關(guān)的終端和服務(wù)器，應(yīng)該與互聯(lián)網(wǎng)嚴(yán)格物理隔離，嚴(yán)禁使用多網(wǎng)卡跨網(wǎng)絡(luò)連接，并按照等級(jí)保護(hù)要求部署數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻等安全防護(hù)產(chǎn)品，同時(shí)對(duì)其他等級(jí)保護(hù)系統(tǒng)中的敏感數(shù)據(jù)重點(diǎn)保護(hù)。

數(shù)據(jù)安全防護(hù)策略

在完成信息資產(chǎn)清查和數(shù)據(jù)資產(chǎn)分類分級(jí)之后，還需要確定防護(hù)邊界和數(shù)據(jù)防護(hù)范圍。高校不同于企業(yè)，在校園網(wǎng)部署防數(shù)據(jù)泄露客戶端并不現(xiàn)實(shí)，因此防護(hù)邊界確定在服務(wù)器區(qū)比較符合高校實(shí)際情況，而由于數(shù)據(jù)脫敏技術(shù)的限制，決定了只能對(duì)特征值可檢測(cè)的身份證號(hào)、銀行賬號(hào)、手機(jī)號(hào)等進(jìn)行脫敏防護(hù)。確定了防護(hù)邊界和數(shù)據(jù)防護(hù)范圍，可以實(shí)施的數(shù)據(jù)安全防護(hù)策略如下：

1.數(shù)據(jù)中心部署數(shù)據(jù)庫防火墻

數(shù)據(jù)中心一般承載著各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)匯集、同步和交換等功能，數(shù)據(jù)庫防火墻基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)，能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)中心的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)等主動(dòng)防御。數(shù)據(jù)庫防火墻能夠分析數(shù)據(jù)中心流量數(shù)據(jù)，獲取權(quán)限控制所需的關(guān)鍵信息，對(duì)相應(yīng)數(shù)據(jù)庫請(qǐng)求行為進(jìn)行放行或阻斷；同時(shí)通過識(shí)別SQL 注入特征，阻斷SQL 注入行為、高危SQL 操作,限定數(shù)據(jù)查詢和下載數(shù)量,限定敏感數(shù)據(jù)訪問的用戶、地點(diǎn)和時(shí)間。數(shù)據(jù)庫防火墻包含了數(shù)據(jù)審計(jì)功能，能夠完整記錄中心數(shù)據(jù)庫活動(dòng)，對(duì)數(shù)據(jù)中心遭受的風(fēng)險(xiǎn)行為提示告警；同時(shí)記錄內(nèi)外部數(shù)據(jù)交換行為，對(duì)安全事故進(jìn)行追根溯源，提升數(shù)據(jù)中心核心數(shù)據(jù)的安全性。

2.利用數(shù)據(jù)泄露防護(hù)（DLP）系統(tǒng)掌握敏感數(shù)據(jù)位置

隨著云平臺(tái)和虛擬化的發(fā)展，武漢大學(xué)大多數(shù)學(xué)院和單位的業(yè)務(wù)系統(tǒng)都集中到了信息中心服務(wù)器區(qū)，對(duì)服務(wù)器區(qū)中的重要數(shù)據(jù)，可以利用數(shù)據(jù)泄露防護(hù)（DLP）系統(tǒng)采集可檢測(cè)敏感數(shù)據(jù)的位置。目前我國的DLP 系統(tǒng)，一般以串聯(lián)方式部署在可信網(wǎng)絡(luò)出口處，對(duì)從內(nèi)部可信網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行分析，根據(jù)設(shè)定的敏感信息策略，對(duì)違反規(guī)則的數(shù)據(jù)進(jìn)行攔截和報(bào)警。但是按照高校的實(shí)際情況，如果串聯(lián)部署在服務(wù)器區(qū)出口，勢(shì)必會(huì)影響網(wǎng)絡(luò)性能，因此我們將其旁路部署在服務(wù)器區(qū)，通過采集服務(wù)器區(qū)流量監(jiān)測(cè)敏感數(shù)據(jù)流動(dòng)狀況，掌握存儲(chǔ)敏感數(shù)據(jù)的信息系統(tǒng)分布。數(shù)據(jù)泄露防護(hù)系統(tǒng)一般用途是對(duì)用戶網(wǎng)頁提交、IM 工具、文件共享、郵件等途徑進(jìn)行數(shù)據(jù)傳輸或者操作的行為進(jìn)行監(jiān)測(cè)，針對(duì)高校的環(huán)境可以將其反向應(yīng)用，利用其數(shù)據(jù)內(nèi)容識(shí)別功能，把服務(wù)器區(qū)的敏感系統(tǒng)當(dāng)做用戶，對(duì)下載的文檔類文件（TXT、Word、Excel、PDF 文檔）、壓縮文件（RAR、ZIP 等）、圖像類文件（JPG、BMP 等），以及HTTP、HTTPS（需要證書支持）流量、API 接口調(diào)用的數(shù)據(jù)內(nèi)容進(jìn)行分析識(shí)別。

下面以武漢大學(xué)部署的數(shù)據(jù)泄露防護(hù)系統(tǒng)為例，制定策略采集外傳敏感信息系統(tǒng)的步驟如下，首先將銀行賬號(hào)、身份證號(hào)、手機(jī)號(hào)這3 類方便識(shí)別的敏感數(shù)據(jù)設(shè)置為監(jiān)測(cè)對(duì)象，然后根據(jù)泄露條目數(shù)量分為低、中、高3 類告警事件，9 種數(shù)據(jù)對(duì)象，參見表1。

表1 數(shù)據(jù)對(duì)象分類

其次，根據(jù)上述分類數(shù)據(jù)對(duì)象制定相應(yīng)的安全策略，如審計(jì)或郵件報(bào)警。考慮到高校實(shí)際的工作狀況，設(shè)置校園網(wǎng)辦公區(qū)的IP 地址為白名單、排除相應(yīng)的告警，重點(diǎn)監(jiān)控非工作時(shí)間的校外敏感數(shù)據(jù)傳輸，這樣當(dāng)有敏感數(shù)據(jù)外泄時(shí)可以實(shí)時(shí)收到郵件告警。在DLP 監(jiān)測(cè)過程中，對(duì)外地或境外IP 訪問敏感數(shù)據(jù)的安全事件，要第一時(shí)間通報(bào)相關(guān)部門并要求整改。經(jīng)過一段時(shí)間的運(yùn)行，DLP 就采集了服務(wù)器區(qū)包含敏感數(shù)據(jù)的系統(tǒng)IP，將其與信息資產(chǎn)備案系統(tǒng)的數(shù)據(jù)關(guān)聯(lián)，就可以得到相應(yīng)系統(tǒng)的詳細(xì)信息，從而確定了防護(hù)目標(biāo)。

3.部署數(shù)據(jù)脫敏系統(tǒng)（DMS）進(jìn)行精確動(dòng)態(tài)脫敏

數(shù)據(jù)脫敏系統(tǒng)DMS（Data Masking System）能夠?qū)?shù)據(jù)源中的敏感數(shù)據(jù)進(jìn)行自動(dòng)發(fā)現(xiàn)，通過系統(tǒng)內(nèi)置的變形、轉(zhuǎn)換等規(guī)則降低數(shù)據(jù)的敏感程度，減少敏感數(shù)據(jù)在采集、傳輸、使用等環(huán)節(jié)的暴露，做到敏感數(shù)據(jù)“可用不可見、所需方可見”。數(shù)據(jù)脫敏分為靜態(tài)脫敏和動(dòng)態(tài)脫敏，靜態(tài)脫敏是指通過算法將原始數(shù)據(jù)源中的敏感數(shù)據(jù)處理成非敏感數(shù)據(jù)，并存儲(chǔ)至其他位置，供數(shù)據(jù)訪問者直接訪問和使用，主要應(yīng)用在開發(fā)測(cè)試、數(shù)據(jù)共享、數(shù)據(jù)分析等非生產(chǎn)環(huán)境。動(dòng)態(tài)脫敏是指在不改變?cè)紨?shù)據(jù)的情況下，在用戶訪問敏感數(shù)據(jù)時(shí)，實(shí)時(shí)對(duì)每次訪問的數(shù)據(jù)進(jìn)行脫敏，主要應(yīng)用在運(yùn)維、應(yīng)用等生產(chǎn)環(huán)境。

由于需要保障生產(chǎn)環(huán)境中的業(yè)務(wù)系統(tǒng)正常運(yùn)行，因此我們重點(diǎn)關(guān)注對(duì)敏感數(shù)據(jù)外傳進(jìn)行精確的動(dòng)態(tài)脫敏。動(dòng)態(tài)脫敏分為數(shù)據(jù)庫動(dòng)態(tài)脫敏（修改SQL 語句）和網(wǎng)頁動(dòng)態(tài)脫敏，數(shù)據(jù)庫動(dòng)態(tài)脫敏支持對(duì)SQL 關(guān)鍵字或SQL 語句進(jìn)行操作前的審核，針對(duì)不同的數(shù)據(jù)庫用戶、IP 地址、客戶端進(jìn)行差異化脫敏，對(duì)于高校數(shù)據(jù)中心的數(shù)據(jù)庫，可以按敏感類型和指定字段進(jìn)行脫敏。而通過數(shù)據(jù)泄露防護(hù)（DLP）系統(tǒng)獲取服務(wù)器IP、URI 后，可以用反向代理的方式部署網(wǎng)頁動(dòng)態(tài)脫敏系統(tǒng)，網(wǎng)頁動(dòng)態(tài)脫敏支持按用戶、菜單、URI、API 接口制定策略，無需安裝客戶端而且不影響數(shù)據(jù)庫，在監(jiān)測(cè)到敏感數(shù)據(jù)后進(jìn)行實(shí)時(shí)的動(dòng)態(tài)脫敏，從而解決高校用戶和管理員隨意下載敏感數(shù)據(jù)，運(yùn)維和外包人員惡意盜取敏感數(shù)據(jù)的安全隱患。

根據(jù)武漢大學(xué)部署的數(shù)據(jù)泄露防護(hù)系統(tǒng)統(tǒng)計(jì)，發(fā)現(xiàn)包括學(xué)工、教務(wù)、后勤、設(shè)備、科研、人事、校醫(yī)院、支付、就業(yè)等二十多個(gè)系統(tǒng)都存在敏感數(shù)據(jù)外傳情況，校內(nèi)許多部門系統(tǒng)管理員和用戶缺乏數(shù)據(jù)安全意識(shí)。雖然高校信息化管理部門可以利用技術(shù)和管理手段，從防護(hù)、檢測(cè)、響應(yīng)三個(gè)方面來制定數(shù)據(jù)防護(hù)策略，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)防護(hù)，對(duì)敏感數(shù)據(jù)的生命周期做到“可視”“可管” “可追溯”，但是“信息安全是整體的而不是割裂的”，維護(hù)數(shù)據(jù)安全也是全校共同的責(zé)任，提高師生的數(shù)據(jù)安全意識(shí)、宣傳數(shù)據(jù)安全知識(shí)同樣重要，高校數(shù)據(jù)安全保障工作最終需要各單位、教職工、學(xué)生共同參與，共筑數(shù)據(jù)安全防線。