日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

今年3月，教育部發(fā)布《關于加強新時代教育管理信息化工作的通知》，教育數(shù)據(jù)價值與日俱增，而數(shù)據(jù)安全威脅與挑戰(zhàn)也日趨嚴重。今年6月10日，《數(shù)據(jù)安全法》表決通過，很好地填補了國內(nèi)數(shù)據(jù)安全根本法律的空白，國家和行業(yè)監(jiān)管層面對數(shù)據(jù)安全的保護要求愈發(fā)嚴格。美創(chuàng)科技針對高校數(shù)據(jù)安全尚存的諸多風險與日趨嚴格的合規(guī)要求，“三力五步”助力高校數(shù)據(jù)安全建設。

      一、高校亟待提升數(shù)據(jù)安全防護力

我國高校信息化建設已歷經(jīng)40余年發(fā)展，但一直以來，數(shù)據(jù)安全在高校傳統(tǒng)認識中，仍是網(wǎng)絡信息安全的組成部分，絕大部分學校對數(shù)據(jù)安全工作缺乏重點關注，加之信息系統(tǒng)在建設初期缺少頂層的標準規(guī)范以及在數(shù)據(jù)安全方面考慮不足，導致當前高校數(shù)據(jù)安全能力普遍不高。

無論是2016年徐玉玉案、2018年常州大學懷德學院大規(guī)模學生信息泄露案，還是2020年的鄭州西亞斯學院近兩萬名學生信息遭泄露事件，我國高校數(shù)據(jù)安全事件屢見不鮮。

2020年，全國人大常委會先后發(fā)布了《數(shù)據(jù)安全法（草案）》和《個人信息保護法（草案）》，今年6月10日，《數(shù)據(jù)安全法》表決通過，很好地填補了國內(nèi)數(shù)據(jù)安全根本法律的空白，同時一系列地方法規(guī)和行業(yè)標準等相繼出臺也表明國家和行業(yè)監(jiān)管層面對數(shù)據(jù)安全的保護要求日趨嚴格。

目前，大多數(shù)高校已逐步意識到數(shù)據(jù)安全與個人隱私保護的重要性，并制定了相關的安全制度，采取了一定的技術(shù)防護手段，但這遠遠不足以消除現(xiàn)有隱患。日趨嚴格的合規(guī)要求下，高校數(shù)據(jù)安全尚存諸多風險：

      1、數(shù)據(jù)資產(chǎn)不清

高校數(shù)據(jù)資產(chǎn)數(shù)量眾多，且散落在校園內(nèi)各個信息系統(tǒng)中，摸清資產(chǎn)家底，進行數(shù)據(jù)分類分級成首要任務。但目前，高校缺少統(tǒng)一的分類分級標準，人才、技術(shù)、方法支撐不足，且高校在數(shù)據(jù)分類分級過程中 “先梳理現(xiàn)有數(shù)據(jù)，再結(jié)合人工方式進行分類分級”的思路，這種方式既不夠全面，又效率低下、周期長，且主觀性比較強。

      2、數(shù)據(jù)管控手段弱

由內(nèi)部導致的數(shù)據(jù)泄露事件連年升高，不少高校仍靠流程、制度約定，缺少相應的技術(shù)手段進行管控。以第三方運維人員、研發(fā)人員、數(shù)據(jù)庫管理員為例，由于過粗的管理顆粒度，這些特權(quán)用戶可以通過超級賬戶直接訪問核心敏感數(shù)據(jù)庫，造成數(shù)據(jù)盜竊、職工賄賂和售賣信息倒賣、運維人員報復性/誤刪除操作事件，影響惡劣。

數(shù)據(jù)管控手段弱

      3、外部風險防護手段弱

高校個人和科研信息價值不斷瘋長，也引起外部威脅的覬覦，近年來黑產(chǎn)猖獗，以竊取和篡改數(shù)據(jù)為目的的攻擊日趨增加，攻擊手段有系統(tǒng)漏洞、SQL注入、勒索病毒、采用社會工程學撞庫等等，技術(shù)復雜性和攻擊隱蔽性越來越高，防范難度越來越難。

      4、數(shù)據(jù)共享難平衡

隨著越來越多高校建立統(tǒng)一數(shù)據(jù)共享交換平臺/大數(shù)據(jù)平臺，在數(shù)據(jù)采集階段，是否存在過度收集？在數(shù)據(jù)交換共享階段，數(shù)據(jù)面臨不同角色、不同部門、不同單位的獲取，是否存在轉(zhuǎn)售、轉(zhuǎn)賣行為？是否存在違規(guī)使用？在數(shù)據(jù)安全保護與開放獲取的博弈中，這無疑是高校又一個迫切需要解決的新問題。

      5、數(shù)據(jù)上云的泄露風險

伴隨著互聯(lián)網(wǎng)+教育的進程的加速，特別是本次新冠疫情期間，大量在線教育模式的應用，越來越多高校也在探索教育上云，因此大量的教育數(shù)據(jù)正在往云端遷移，但上云意味更多風險的發(fā)生，數(shù)據(jù)以明文方式保存, 平臺自身漏洞、以及云端數(shù)據(jù)被超級權(quán)限D(zhuǎn)BA 訪問，都極易導致數(shù)據(jù)被竊取，防止云數(shù)據(jù)丟失和泄露以及對訪問授權(quán)進行規(guī)范管理，高校需要采取更為有效的防御手段。

      二、“三力五步”落地高校數(shù)據(jù)安全建設

針對高校數(shù)據(jù)安全建設當前面臨的問題難點，美創(chuàng)科技經(jīng)過多年在數(shù)據(jù)安全治理的專注研究和探索實踐，以“三力五步” 落地高校數(shù)據(jù)安全建設體系。

“三力五步” 落地高校數(shù)據(jù)安全建設體系

       三大數(shù)據(jù)安全能力

美創(chuàng)科技在實踐整個數(shù)據(jù)安全治理體系建設過程中，貫通數(shù)據(jù)安全咨詢能力、數(shù)據(jù)安全架構(gòu)能力、數(shù)據(jù)安全技戰(zhàn)能力三類能力，從現(xiàn)狀梳理、風險評估，再到數(shù)據(jù)安全架構(gòu)與產(chǎn)品技術(shù)保障，美創(chuàng)提供一站式數(shù)據(jù)安全能力建設服務，幫助高校用戶依據(jù)《中華人民共和國數(shù)據(jù)安全法》要求建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

     1、數(shù)據(jù)安全咨詢能力：采用敏捷咨詢規(guī)劃和方案設計，幫助高校從組織、制度、技術(shù)、人員四個維度厘清數(shù)據(jù)安全現(xiàn)狀、差距和風險，為數(shù)據(jù)安全建設奠定基礎。

     2、數(shù)據(jù)安全架構(gòu)能力：結(jié)合前期咨詢所獲結(jié)果，規(guī)劃數(shù)據(jù)安全整體建設架構(gòu)，制定符合組織戰(zhàn)略的數(shù)據(jù)安全架構(gòu)，同時根據(jù)實際情況制定短期、長期建設規(guī)劃。

     3、數(shù)據(jù)安全技戰(zhàn)能力：不僅涵蓋數(shù)據(jù)全生命周期技術(shù)工具，還包含安全設計、制度建設、人員能力提升等，根據(jù)數(shù)據(jù)安全體系架構(gòu)，有計劃提升數(shù)據(jù)安全治理能力。

     五大建設實施步驟

基于多年沉淀，美創(chuàng)科技從明現(xiàn)狀、立組織、定制度、建標準、訂規(guī)劃五個方面幫助高校建立健全數(shù)據(jù)安全治理體系，助力高校具備保障持續(xù)安全狀態(tài)的能力。

     1、現(xiàn)狀梳理：

基于組織現(xiàn)狀完成其數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級、基于現(xiàn)狀完成數(shù)據(jù)安全風險評估，為數(shù)據(jù)安全建設提供奠定基礎。

      厘清資產(chǎn)家底，進行分類分級：通過調(diào)研訪談、文件分析、工具探查，多維度了解數(shù)據(jù)資產(chǎn)，明確數(shù)據(jù)資產(chǎn)構(gòu)成、特征、范圍及流轉(zhuǎn)情況。根據(jù)國家行業(yè)標準及組織實際情況，對數(shù)據(jù)進行分類定級。基于自研的暗數(shù)據(jù)發(fā)現(xiàn)和分類分級系統(tǒng)，實現(xiàn)數(shù)據(jù)掃描、識別、定位、解析、分析、分類，同時為用戶生成完整、全面、直觀的可視化發(fā)現(xiàn)報告（包括：數(shù)據(jù)分級分類報告、數(shù)據(jù)質(zhì)量報告、數(shù)據(jù)資產(chǎn)報告等），讓用戶更快、更全地認識數(shù)據(jù)。

      安全風險評估，識別合規(guī)情況：美創(chuàng)科技從兩大視角出發(fā)，按照風險分析的方法，分析組織內(nèi)數(shù)據(jù)相關活動或數(shù)據(jù)資產(chǎn)所存在的安全風險，以生成數(shù)據(jù)資產(chǎn)的全面風險清單和風險預估、并基于評估結(jié)果給出風險處置建議的服務方案。

安全風險評估

      2、 組織構(gòu)建

依據(jù)數(shù)據(jù)安全法要求，幫助高校用戶建立健全數(shù)據(jù)安全團隊組織，明確數(shù)據(jù)安全責任人及具體責任要求，包括部門職責與人員角色確定，以及動態(tài)協(xié)同機制。如：在了解部門信息，明確敏感信息組成、特征、范圍及流轉(zhuǎn)情況的基礎上，建設完善的動態(tài)協(xié)同機制，明確數(shù)據(jù)訪問人員、數(shù)據(jù)生產(chǎn)人員、數(shù)據(jù)維護人員等目標對象，對于數(shù)據(jù)資產(chǎn)使用角色進行規(guī)范限定。

組織合規(guī)框架示例

      3、制度建設

根據(jù)數(shù)據(jù)安全治理的內(nèi)容，建立相應的流程，以及組織數(shù)據(jù)安全治理的制度規(guī)范，如規(guī)章制度、管控辦法、獎懲機制、技術(shù)規(guī)范等制度建設，為數(shù)據(jù)安全管理和保障提供依據(jù)。

目前數(shù)據(jù)安全教育已成為安全建設中不可或缺的內(nèi)容，美創(chuàng)在深度研究國內(nèi)外法律法規(guī)、政策標準、行業(yè)發(fā)文等基礎上，形成矩陣式的數(shù)據(jù)安全教育培訓內(nèi)容，并根據(jù)組織具體情況提供針對性宣貫和培訓，覆蓋數(shù)據(jù)安全基礎、安全意識、安全技術(shù)、安全事件、合規(guī)解讀等多個方向。

     4、 標準制定

數(shù)據(jù)安全法規(guī)定“相關行業(yè)組織按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團體標準，加強行業(yè)自律。”美創(chuàng)科技參與多項國家、行業(yè)數(shù)據(jù)安全標準制定工作，可協(xié)助高校進行內(nèi)部數(shù)據(jù)安全標準規(guī)范的制定

      5、 安全建設規(guī)劃

     以業(yè)務需求為導向，設計數(shù)據(jù)安全規(guī)劃路徑，進行階段性、體系化的安全建設，包括數(shù)據(jù)內(nèi)控合規(guī)、數(shù)據(jù)全域可管、數(shù)據(jù)全局可視，整個防護體系，覆蓋數(shù)據(jù)全生命周期管控、風險控制和資產(chǎn)保護，幫助組織建立數(shù)據(jù)安全能力。如：

數(shù)據(jù)內(nèi)控合規(guī)建設

基于法律法規(guī)及數(shù)據(jù)分類分級結(jié)果，采用敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)分級分類、數(shù)據(jù)動/靜態(tài)脫敏、數(shù)據(jù)庫日志審計、權(quán)限管控和數(shù)據(jù)資產(chǎn)保護、身份鑒別（人、終端、應用）、高危操作防護、訪問控制、特權(quán)管理等產(chǎn)品技術(shù)手段，加強內(nèi)部安全管控。

數(shù)據(jù)全域可管

基于現(xiàn)有網(wǎng)絡安全和內(nèi)控安全保障體系，防御外部和數(shù)據(jù)流動風險，采用入侵防護、漏洞防御、訪問控制、誤操作恢復、數(shù)據(jù)加密、溯源管理、數(shù)據(jù)加密等技術(shù)，通過數(shù)據(jù)安全管理平臺整體實現(xiàn)數(shù)據(jù)全域管理。

風險全局可視

基于數(shù)據(jù)安全管理平臺，對各類數(shù)據(jù)安全產(chǎn)品進行統(tǒng)一管理，從全局視角提升對數(shù)據(jù)安全威脅的發(fā)現(xiàn)識別、理解、分析和響應能力，實現(xiàn)資產(chǎn)全域可管、風險全域可視、策略全域聯(lián)動，充分盤活用戶整體數(shù)據(jù)安全防護能力，最終實現(xiàn)有序、快速響應的數(shù)據(jù)安全運營能力。

美創(chuàng)科技安全態(tài)勢感知中心

——本文為成都市教育城域網(wǎng) 2021年主任工作會美創(chuàng)科技資深數(shù)據(jù)安全顧問王彥翔分享《高校數(shù)據(jù)安全建設賦能—數(shù)據(jù)安全法之下的建設路徑》演講紀要。