田果 王鑫露

摘要：近年來(lái)，高校數(shù)據(jù)泄露事件頻發(fā)，如何加強(qiáng)高校數(shù)據(jù)安全已迫在眉睫。高校也試圖從“網(wǎng)絡(luò)攻防”視角，查找網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用潛在的安全風(fēng)險(xiǎn)和缺陷，提高學(xué)校應(yīng)對(duì)安全威脅的能力。本文著眼于攻防演練過(guò)程中發(fā)現(xiàn)高校在數(shù)據(jù)安全方面存在的問(wèn)題，提出以“數(shù)據(jù)資產(chǎn)”為核心的數(shù)據(jù)安全管理體系，該體系根據(jù)場(chǎng)景化需求，實(shí)現(xiàn)讓數(shù)據(jù)安全能看清、能管好、能防住。各高?？梢越Y(jié)合實(shí)際需求急用先行，強(qiáng)化數(shù)據(jù)安全技術(shù)保障能力，確保數(shù)據(jù)使用變得更加合規(guī)、安全。

關(guān)鍵詞：網(wǎng)絡(luò)攻防；數(shù)據(jù)安全；數(shù)據(jù)安全管理體系

1. 高校數(shù)據(jù)安全的現(xiàn)狀

2022年6月，西北工業(yè)大學(xué)發(fā)布《公開(kāi)聲明》稱，該校電子郵件系統(tǒng)遭受境外網(wǎng)絡(luò)攻擊，被竊取了超過(guò)140GB的高價(jià)值數(shù)據(jù)[1]。2023年7月，網(wǎng)友在社交平臺(tái)爆料，北京某高校一個(gè)畢業(yè)生在讀研期間盜取全校學(xué)生的個(gè)人信息，包括照片、姓名、學(xué)號(hào)等，并搭建了顏值打分網(wǎng)站，還在個(gè)人社交賬號(hào)上公開(kāi)此事。8月，南昌某高校3萬(wàn)余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開(kāi)售賣[2]。

面對(duì)嚴(yán)峻的數(shù)據(jù)安全風(fēng)險(xiǎn)狀況，十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議通過(guò)了《中華人民共和國(guó)數(shù)據(jù)安全法》（簡(jiǎn)稱《數(shù)據(jù)安全法》），標(biāo)志著數(shù)據(jù)安全上升到國(guó)家安全層面?！稊?shù)據(jù)安全法》規(guī)定國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)，這為我國(guó)數(shù)據(jù)安全提供了基礎(chǔ)性法律保障。同時(shí)，教育行業(yè)的合規(guī)要求也持續(xù)加碼。教育部等七部門(mén)面向全國(guó)教育系統(tǒng)下發(fā)《關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》[3]，明確提出“要建立教育系統(tǒng)數(shù)據(jù)安全責(zé)任體系和數(shù)據(jù)分類分級(jí)制度，形成教育系統(tǒng)數(shù)據(jù)資源目錄。健全覆蓋數(shù)據(jù)收集、傳輸存儲(chǔ)、使用處理、開(kāi)放共享等全生命周期的數(shù)據(jù)安全保障制度，開(kāi)展常態(tài)化的數(shù)據(jù)安全監(jiān)測(cè)預(yù)警通報(bào)”等工作目標(biāo)。國(guó)家相繼出臺(tái)一系列教育數(shù)據(jù)安全保護(hù)的政策法規(guī)，為教育行業(yè)數(shù)據(jù)安全治理提供了重要的指導(dǎo)和參考。

在數(shù)據(jù)安全合規(guī)要求不斷升級(jí)的大背景下，教育行業(yè)又該如何深化數(shù)據(jù)安全防護(hù)能力建設(shè)，構(gòu)建數(shù)據(jù)安全管理體系？以國(guó)家法律法規(guī)為指導(dǎo)思想，從保護(hù)重要數(shù)據(jù)資產(chǎn)的視角出發(fā)，優(yōu)化完善現(xiàn)有的安全防御體系，從“網(wǎng)絡(luò)攻防”切換到“保護(hù)重要數(shù)據(jù)資產(chǎn)”，深挖高校數(shù)據(jù)安全的風(fēng)險(xiǎn)源，找出高校數(shù)據(jù)安全事件的風(fēng)險(xiǎn)源，建設(shè)由數(shù)據(jù)安全管理隊(duì)伍、軟硬件技術(shù)支持、政策法規(guī)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)預(yù)警監(jiān)測(cè)、宣傳教育培訓(xùn)等全方位防護(hù)，時(shí)間可持續(xù)、空間無(wú)盲區(qū)、領(lǐng)域全覆蓋、技術(shù)前沿化、流程無(wú)梗阻、治理全員化、機(jī)制全過(guò)程的預(yù)警應(yīng)急一體化的數(shù)據(jù)安全防護(hù)體系已是必然趨勢(shì)。

2. 從“網(wǎng)絡(luò)攻防”視角深挖高校數(shù)據(jù)安全的風(fēng)險(xiǎn)源

近年來(lái)，高校也試圖通過(guò)攻防演練進(jìn)行攻擊測(cè)試和安全演練，查找網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用潛在的安全風(fēng)險(xiǎn)和缺陷，并提高學(xué)校應(yīng)對(duì)安全威脅的能力[4]。通過(guò)攻防演練發(fā)現(xiàn)高校存在以下問(wèn)題：（1）弱口令、重復(fù)口令是教育單位的普遍情況；（2）開(kāi)發(fā)過(guò)程不規(guī)范、代碼未經(jīng)測(cè)試上線、API接口不設(shè)防等原因?qū)е碌膽?yīng)用系統(tǒng)安全漏洞是教育單位用戶丟分重點(diǎn)；（3）互聯(lián)網(wǎng)安全防護(hù)到位但內(nèi)網(wǎng)安全防護(hù)形同虛設(shè)，攻擊人員通過(guò)VPN可隨意漫游，導(dǎo)致高校用戶一點(diǎn)破全盤(pán)皆失；（4）攻擊類、防守類、組織類安全人才匱乏，出現(xiàn)問(wèn)題之后的應(yīng)急響應(yīng)處置能力亟須增強(qiáng)；（5）安全意識(shí)薄弱，雖然近年來(lái)高校用戶防釣魚(yú)意識(shí)逐漸增強(qiáng)，但在個(gè)人隱私保護(hù)和防信息泄露方面仍然處于空白階段；（6）第三方軟件廠商運(yùn)維人員、相關(guān)應(yīng)用開(kāi)發(fā)廠商等一系列供應(yīng)鏈帶來(lái)的風(fēng)險(xiǎn)逐漸成為教育單位新的風(fēng)險(xiǎn)爆發(fā)點(diǎn)。

通過(guò)這些“點(diǎn)的表象”，高校數(shù)據(jù)安全“面的問(wèn)題”也浮現(xiàn)出來(lái)，總結(jié)如下：（1）缺少整體設(shè)計(jì)。目前，高校的安全建設(shè)多是圍繞網(wǎng)絡(luò)安全，數(shù)據(jù)安全建設(shè)往往僅開(kāi)展合規(guī)要求部分，離實(shí)際需求相去甚遠(yuǎn)[5]；（2）缺少數(shù)據(jù)安全的整體摸底。數(shù)據(jù)流轉(zhuǎn)復(fù)雜、業(yè)務(wù)不斷迭代、數(shù)據(jù)資源不斷擴(kuò)大，運(yùn)維管理、業(yè)務(wù)調(diào)用面臨巨大壓力，導(dǎo)致安全完全讓步于業(yè)務(wù)，與數(shù)據(jù)相關(guān)的使用流程通常很少考慮安全[6]；（3）缺少技術(shù)手段堵口。敏感數(shù)據(jù)在哪里？誰(shuí)在用？有哪些風(fēng)險(xiǎn)？哪些業(yè)務(wù)涉敏？數(shù)據(jù)都流向了哪里？通常是一筆糊涂賬；（4）缺少賬號(hào)管控。賬號(hào)管理不嚴(yán)格，尤其缺少對(duì)特權(quán)賬號(hào)的梳理和有效管控；（5）審計(jì)覆蓋不全。誰(shuí)在用數(shù)據(jù)？在什么時(shí)間？什么環(huán)境？通過(guò)什么方式？使用哪些數(shù)據(jù)？（6）缺少風(fēng)險(xiǎn)發(fā)現(xiàn)手段。風(fēng)險(xiǎn)發(fā)現(xiàn)機(jī)制仍是網(wǎng)絡(luò)安全思路，以發(fā)現(xiàn)漏洞、惡意流量為主，而對(duì)數(shù)據(jù)的泄露渾然不覺(jué)[7]。

3. 建設(shè)以“數(shù)據(jù)資產(chǎn)”為核心的數(shù)據(jù)安全管理體系

針對(duì)攻防演練發(fā)現(xiàn)的高校數(shù)據(jù)安全的風(fēng)險(xiǎn)源，提出以“數(shù)據(jù)資產(chǎn)”為核心，以“訪問(wèn)控制、事件監(jiān)測(cè)、風(fēng)險(xiǎn)分析、策略調(diào)整”閉環(huán)防護(hù)技術(shù)為主導(dǎo)思想的管理體系。該體系建設(shè)根據(jù)場(chǎng)景化需求，實(shí)現(xiàn)讓數(shù)據(jù)安全能看清、能管好、能防住。各高校結(jié)合實(shí)際需求急用先行，確保安全合規(guī)不踩線。

基礎(chǔ)防護(hù)手段跟不上，數(shù)據(jù)安全保護(hù)猶如空中樓閣。那么，高校數(shù)據(jù)安全首要任務(wù)是“先理后治，補(bǔ)短固底”，其中，“補(bǔ)短板”是高校數(shù)據(jù)安全的當(dāng)務(wù)之急。

先理后治，梳理業(yè)務(wù)，識(shí)別重要資產(chǎn)。這需要“盤(pán)好家底”，梳理業(yè)務(wù)系統(tǒng)，識(shí)別數(shù)據(jù)資產(chǎn)，明確重點(diǎn)保護(hù)目標(biāo)，找出關(guān)鍵的業(yè)務(wù)數(shù)據(jù)場(chǎng)景，梳理業(yè)務(wù)訪問(wèn)關(guān)系、梳理安全現(xiàn)狀。比如，高校根據(jù)數(shù)據(jù)訪問(wèn)的主、客體不同，將活動(dòng)場(chǎng)景分為內(nèi)部人員辦公、數(shù)據(jù)開(kāi)發(fā)利用、數(shù)據(jù)運(yùn)維管理、數(shù)據(jù)對(duì)外服務(wù)，如圖1所示。

補(bǔ)短固底，做好基礎(chǔ)安全防護(hù)。依據(jù)梳理出的重要數(shù)據(jù)資產(chǎn)，圍繞其關(guān)鍵場(chǎng)景進(jìn)行風(fēng)險(xiǎn)分析以及安全加固，各高?？梢越Y(jié)合實(shí)際需求“補(bǔ)短板”，包括但不限于做好以下舉措：融入“零信任”思想，建立零信任網(wǎng)絡(luò)訪問(wèn)系統(tǒng)，部署數(shù)據(jù)庫(kù)堡壘機(jī)、特權(quán)賬號(hào)管理及密碼保險(xiǎn)箱、數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)、API安全網(wǎng)關(guān)、數(shù)據(jù)安全態(tài)勢(shì)感知等安全設(shè)備，將所有訪問(wèn)數(shù)據(jù)庫(kù)的人員全部納入數(shù)據(jù)庫(kù)堡壘機(jī)，數(shù)據(jù)庫(kù)密碼必須托管，完整記錄用戶/系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)行為，對(duì)服務(wù)接口進(jìn)行威脅檢測(cè)及防護(hù)，以及對(duì)風(fēng)險(xiǎn)行為、異常訪問(wèn)、安全事件等做好監(jiān)測(cè)預(yù)警、全局分析、整體感知，減少數(shù)據(jù)泄露等風(fēng)險(xiǎn)的發(fā)生。

補(bǔ)短固底的目的在于形成統(tǒng)一的審計(jì)方案。由堡壘機(jī)提供運(yùn)維人員操作的審計(jì)日志，特權(quán)賬號(hào)管理系統(tǒng)提供僵尸賬號(hào)、弱密碼賬號(hào)、長(zhǎng)期不改密賬號(hào)、權(quán)限變更等風(fēng)險(xiǎn)日志，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)提供對(duì)數(shù)據(jù)中心的數(shù)據(jù)庫(kù)、大數(shù)據(jù)組件操作審計(jì)，API流量審計(jì)提供業(yè)務(wù)人員對(duì)業(yè)務(wù)系統(tǒng)的操作審計(jì)，數(shù)據(jù)安全態(tài)勢(shì)感知統(tǒng)一收集各安全組件日志，從而實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的流動(dòng)監(jiān)測(cè)、風(fēng)險(xiǎn)預(yù)測(cè)等。

補(bǔ)齊“短板”，系統(tǒng)治理，體系規(guī)劃，建立數(shù)據(jù)安全評(píng)估和監(jiān)督評(píng)價(jià)制度。其中，系統(tǒng)治理方面，主要工作是結(jié)合業(yè)務(wù)系統(tǒng)，開(kāi)展充分的現(xiàn)狀調(diào)研，再結(jié)合國(guó)家法律法規(guī)，對(duì)數(shù)據(jù)資產(chǎn)分類分級(jí)；識(shí)別數(shù)據(jù)主客體訪問(wèn)關(guān)系，梳理數(shù)據(jù)訪問(wèn)權(quán)限，繪制數(shù)據(jù)流轉(zhuǎn)圖；根據(jù)分類分級(jí)和流轉(zhuǎn)圖，對(duì)不同類型數(shù)據(jù)制定不同的管控方案，做好風(fēng)險(xiǎn)的感知和評(píng)估，并適時(shí)調(diào)整策略。至此，以“數(shù)據(jù)資產(chǎn)”為核心，“訪問(wèn)控制、事件監(jiān)測(cè)、風(fēng)險(xiǎn)分析、策略調(diào)整”的完整閉環(huán)體系形成。數(shù)據(jù)安全閉環(huán)防護(hù)技術(shù)如圖2所示。

體系規(guī)劃是建立數(shù)據(jù)安全評(píng)估和監(jiān)督評(píng)價(jià)制度的重要一步。需要以閉環(huán)防護(hù)技術(shù)為指導(dǎo)思想，從管理、技術(shù)、運(yùn)營(yíng)多維度進(jìn)行系統(tǒng)的體系規(guī)劃，包括數(shù)據(jù)分類與標(biāo)記、訪問(wèn)控制策略、數(shù)據(jù)監(jiān)測(cè)和審計(jì)、合規(guī)性與法規(guī)遵循等數(shù)據(jù)安全管理體系規(guī)劃，利用加密技術(shù)、防火墻和入侵檢測(cè)系統(tǒng)、漏洞管理、多因素認(rèn)證、安全更新和補(bǔ)丁管理等技術(shù)的防護(hù)體系規(guī)劃，利用數(shù)據(jù)備份和恢復(fù)、風(fēng)險(xiǎn)管理、應(yīng)急響應(yīng)計(jì)劃、性能監(jiān)測(cè)、合作伙伴和供應(yīng)商管理等的運(yùn)營(yíng)體系規(guī)劃。這些體系確保高校數(shù)據(jù)進(jìn)行定期風(fēng)險(xiǎn)評(píng)估、定期進(jìn)行數(shù)據(jù)安全監(jiān)測(cè)預(yù)警通報(bào)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)、處置數(shù)據(jù)安全威脅，提供數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告和整改建議。

數(shù)據(jù)安全工作并非一勞永逸，要維持安全、可持續(xù)的運(yùn)營(yíng)需要持續(xù)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行發(fā)現(xiàn)、分類分級(jí)、標(biāo)記等工作。為加固數(shù)據(jù)安全保障體系，有序建設(shè)，持續(xù)運(yùn)營(yíng)，提升防護(hù)效果，一方面，通過(guò)數(shù)據(jù)資產(chǎn)分布及流轉(zhuǎn)情況、數(shù)據(jù)風(fēng)險(xiǎn)情況以及業(yè)務(wù)數(shù)據(jù)使用情況，根據(jù)數(shù)據(jù)級(jí)別制定相應(yīng)的分級(jí)管控與防護(hù)策略，以及場(chǎng)景化建設(shè)方案。例如，結(jié)合數(shù)據(jù)使用場(chǎng)景和生命周期，根據(jù)業(yè)務(wù)和數(shù)據(jù)流轉(zhuǎn)情況制定辦公網(wǎng)數(shù)據(jù)防泄漏場(chǎng)景解決方案、科研敏感數(shù)據(jù)泄露場(chǎng)景解決方案等，并制定相應(yīng)的場(chǎng)景化的管控和防護(hù)策略。另一方面，采取“專家+流程+平臺(tái)”三者整合的運(yùn)營(yíng)模式，組建一個(gè)強(qiáng)大的數(shù)據(jù)安全生態(tài)系統(tǒng)，滿足法規(guī)和合規(guī)性要求的同時(shí)，確保數(shù)據(jù)的機(jī)密性、完整性和可用性[8]。

除此之外，高校需要建設(shè)由專業(yè)人員組成的數(shù)據(jù)安全團(tuán)隊(duì)。該團(tuán)隊(duì)需要對(duì)管理、運(yùn)營(yíng)、合規(guī)、技術(shù)等方面負(fù)責(zé)，保障數(shù)據(jù)安全的整體規(guī)劃實(shí)施落地。為提高數(shù)據(jù)安全法律意識(shí)，需要對(duì)團(tuán)隊(duì)甚至全校師生持續(xù)開(kāi)展針對(duì)性的專業(yè)培訓(xùn)工作。通過(guò)以上建設(shè)，幫助高校實(shí)現(xiàn)數(shù)據(jù)可知、風(fēng)險(xiǎn)可視、安全可控、泄密可溯，讓數(shù)據(jù)的共享交換過(guò)程更安全。

結(jié)語(yǔ)

以“數(shù)據(jù)資產(chǎn)”為核心，將“訪問(wèn)控制、事件監(jiān)測(cè)、風(fēng)險(xiǎn)分析、策略調(diào)整”閉環(huán)防護(hù)技術(shù)為主導(dǎo)思想的數(shù)據(jù)管理體系，堅(jiān)持安全與發(fā)展并重，平衡數(shù)據(jù)安全與業(yè)務(wù)應(yīng)用的關(guān)系，以全局?jǐn)?shù)據(jù)流轉(zhuǎn)可見(jiàn)為基礎(chǔ)，以重點(diǎn)防護(hù)為原則，強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)能力，提高高校數(shù)據(jù)安全防護(hù)成效，實(shí)現(xiàn)數(shù)據(jù)可知、風(fēng)險(xiǎn)可視、安全可觀、泄密可溯的數(shù)據(jù)安全目標(biāo)。同時(shí)，深度貫徹落實(shí)《數(shù)據(jù)安全法》，通過(guò)強(qiáng)化數(shù)據(jù)安全管理、技術(shù)、運(yùn)營(yíng)、人員能力，落實(shí)數(shù)據(jù)安全保護(hù)義務(wù)，明確各方數(shù)據(jù)安全責(zé)任，采取必要措施強(qiáng)化數(shù)據(jù)資源安全保障，建立健全的全流程數(shù)據(jù)安全管理制度，基于數(shù)據(jù)安全治理落實(shí)數(shù)據(jù)分級(jí)重點(diǎn)保護(hù)，面向業(yè)務(wù)場(chǎng)景建立數(shù)據(jù)安全建設(shè)體系，實(shí)現(xiàn)高校數(shù)據(jù)更安全。

參考文獻(xiàn)：

[1]西北工業(yè)大學(xué)發(fā)布聲明：我校電子郵件系統(tǒng)遭受境外網(wǎng)絡(luò)攻擊，已報(bào)警[EB/OL].（2022-06-22）[2024-05-05].https：//bj--bjd--com--cn--01057tkaa93fe.wsipv6.com/5b165687a010550e5ddc0e6a/contentShare/5b16573ae4b02a9fe2d558f9/AP62b2ee8de4b0c2cdf0a320fd.html.

[2]陳榮.數(shù)字化時(shí)代 高校探尋網(wǎng)絡(luò)安全新思路[J].中國(guó)教育網(wǎng)絡(luò)，2023（8）：9-13.

[3]教育部等七部門(mén)關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知（教科信函〔2021〕20號(hào)）[A/OL].（2021-04-06）[2024-05-05].https：//nic.cczu.edu.cn/2022/0925/c1294a305140/page.htm.

[4]馮衛(wèi)華.網(wǎng)絡(luò)安全攻防演練在實(shí)際應(yīng)用中的探索[J].電腦編程技巧與維護(hù)，2023（11）：162-165.

[5]邵美科.高校網(wǎng)絡(luò)安全漏洞治理探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（12）：84-85.

[6]胡康，郭金成，李健.數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)化探索——以某研究院為例[J].中國(guó)信息化，2023（9）：54-56.

[7]黃欣.數(shù)字經(jīng)濟(jì)時(shí)代我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展研究[D].沈陽(yáng)：遼寧大學(xué)，2023.

[8]姚曉斌.新時(shí)代企業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防問(wèn)題及防護(hù)策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（10）：109-110.

作者簡(jiǎn)介：田果，碩士研究生，研究方向：網(wǎng)絡(luò)安全與信息化管理；王鑫露，碩士研究生，研究方向：網(wǎng)絡(luò)與系統(tǒng)安全、大數(shù)據(jù)、云計(jì)算。

基金項(xiàng)目：河南省重點(diǎn)研發(fā)與推廣專項(xiàng)（科技攻關(guān)）項(xiàng)目——面向內(nèi)容生產(chǎn)者移動(dòng)的移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)傳輸性能優(yōu)化關(guān)鍵技術(shù)研究（編號(hào)：212102210381）。