阿里云優惠券 先領券再下單

這兩天，一則#盜學生信息人大畢業生被刑拘#新聞沖上熱搜，引發熱議。

中國人民大學畢業生馬某，在讀碩士研究生期間通過非法技術手段，盜取了近幾屆學生的個人信息，并制作成網頁供任何人隨意瀏覽，甚至能夠給該校女學生的顏值打分。

*據網上爆料，這個名叫“RUC IR FACE”的顏值打分網站疑似包含了該校從2014級到2022級學生的個人資料，甚至可以從身高、星座、籍貫、所在學院等多個維度進行精確篩選，估計波及超過5萬名學生。

網絡不是法外之地，目前，中國人民大學已第一時間聯系警方，該畢業生被依法刑事拘留，案件正在進一步調查中。

從鹽城7萬余條學生信息被售賣獲利，到學習通1.7億條用戶數據被泄露，再到今天畢業生竊取全校學生信息公之網絡·····

近年來，在高校頻頻上演的隱私數據泄漏風波，也揭示了目前高校數據管理水平不足、數據安全防范能力不夠、數據泄露風險隱患突出的現實短板，彌補差距，強化能力，需成為每個高校重點關注的工作。

01

高校數據安全

應重點關注六個問題

《數據安全法》、《個人信息保護法》等數據安全法律法規的頒布和實施，高校對數據安全保護工作逐步重視。但整體來看，高校數據安全能力還在起步階段，伴隨數字化的深入開展，威脅手段的持續升級，新問題、新風險交織，高校數據安全這六個問題需要重點關注：

1、數字化轉型造成數據敏感級別不斷提升

高校師生個人和家庭數據真實性強且不可逆性、數據量級不斷增大，數據一量泄漏可能造成巨大影響;

重點實驗室、科研項目等核心數據，財務數據、學生考評等數據，是竊取/篡改重點目標。

2、數據安全管理制度體系不夠完善

高校管理鏈條較長，數據安全管理組織架構不健全，數據安全責任人不明確，信息中心有心無力，業務部門無的放矢，數據安全工作推進困難;

數據安全管理制度缺失，數據安全操作流程和規范沒有明確要求，數據安全考核和效果評價沒標準。

3、工作人員缺乏數據安全意識

安全法律法規不了解，數據安全風險意識低下，數據風險防范能力不足，敏感數據隨便私存和分發;

難以均衡安全與便利性矛盾，對數據安全管控方案不理解、不支持，安全管控措施難有效推進。

4、數據安全精細化管控措施普遍缺位

業務系統眾多，安全歸口管理部門不一，敏感數據散落各處，安全防護力度不足，數據風險敞口大;

數據訪問權限難梳理，數據流向不清晰，未開展數據分類分級，未落實差異化、精細化安全管控措施。

5、系統運維特權賬號缺少管控措施

信息中心數據安全能力不足，過度依賴于第三方或兼職學生，并賦予特權賬號，存在嚴重安全隱患;

運維人員受黑市誘惑、好奇心驅動、人情請托等因素，利用工作便利條件達到竊取數據、篡改數據。

6、API數據共享安全風險難感知

業務系統數據抽取和交換，多是通過API接口進行數據讀取，未對敏感數據流向和數據安全風險進行監控和管理，難以感知數據濫用、數據竊取等風險;

缺少安全審計手段，無法對數據使用情況進行審查。

02

高校數據安全

需牢牢把握三個關鍵

針對高校數據安全現狀和主要問題，如何做好數據安全建設?美創科技認為需要技術和管理雙管齊下，以數據分類分級為起點，以管理制度為依據，在具體建設過程和環節中，充分利用和發揮好各種關鍵技術的作用，分段實施，體系規劃，逐步構建覆蓋數據全流程、全鏈路的數據安全防護技術體系，最后構建數據安全運營體系，實現數據安全的持續優化和提升。

分類分級是建設基礎

經過多年信息化建設，高校已積累了規模龐大的數據資產，且涉及的信息量及群體規模十分復雜，數據資產有哪些?怎么分布?有哪些類型?借助技術手段摸清資產家底，進行數據分類分級成為數據安全建設的首要任務。

高校應結合法律法規、部門規章、行業標準(如：《教育部等七部門關于加強教育系統數據安全的通知》、《教育系統核心數據和重要數據識別認定工作指南(試行)的通知》等)，制定數據分類分級標準，梳理出高校信息系統重要的數據目錄，明確個人隱私和敏感數據保護范圍。

管理制度是建設依據

《教育部等七部門關于加強教育系統數據安全的通知》中明確，應健全覆蓋數據收集、傳輸存儲、使用處理、開放共享等全生命周期的數據安全保障制度。

對此，高校在制定數據安全管理與隱私保護相關辦法中，需明確數據收集、存儲、處理、共享等關鍵環節的操作規范、管理部門職責分工、應急管理與安全檢查機制，充分發揮各部門和各類人員在數據安全保障工作中的作用，共同遵守和執行安全規章制度，保障數據安全策略的貫徹落實。

數據安全需全鏈路建設

數據在流動中創造價值，對數據的保護就是對流動過程的數據全鏈路分級保護。在數據安全建設中，高校需梳理數據應用重要業務場景，評估其數據安全現狀，在數據分類分級的基礎上，分段實施、體系規劃、面向數據訪問域、存儲域、流動域，落實覆蓋數據全鏈路的數據安全技術防護體系。

在數據存儲域： 對師生敏感數據或重要數據進行加密存儲，防止黑客拖庫、磁盤丟失、備份文件被盜等原因造成敏感信息泄漏;對重要啞終端、數據庫服務器、應用服務器、文件服務器等重要系統部署勒索軟件防范勒索攻擊;同時借用數據災備保障業務連續。

在數據訪問域： 通過數據庫防水壩對運維人員的權限進行細粒度的操作權限控制，實現DBA權限分離控制、防止越權，實現DML/DDL操作指令控制，防止誤操作;通過數據庫防火墻防范黑客通過SQL注入漏洞和數據庫漏洞進行網絡攻擊和數據竊取;采用DLP數據防泄漏系統對重要文件的處理、傳輸進行管控;通過數據庫審計實現數據庫訪問的各類操作行為的監控和記錄、審計溯源。

在數據流動域： 通過靜態脫敏、水印溯源、API監測與訪問控制等能力，加強數據流動場景下的安全保障和風險監測，實現數據可控流動。

安全是一個不斷變化的過程。為了應對變化，高校應對數據安全進行持續優化改進與運營，以看見驅動安全，從全局視角提升對數據安全威脅的發現識別、理解、分析和響應能力，實現資產全域可管、風險全域可視、策略全域聯動，充分盤活整體數據安全防護能力，最終形成一體化的數據安全管理、安全監控和安全運營體系，實現數據安全統一運營。

在數字化轉型的持續推動下，越來越多的高校以數據為驅動力，利用新一代信息技術提升教育管理數字化、網絡化、智能化水平的建設。數據驅動教育高質量創新發展，守好數據安全防線更是關鍵!

美創科技基于多年數據安全實踐經驗，結合《數據安全法》和《個人信息保護法》等法律法規的要求和高校實際的數據安全風險場景，為高校數據安全建設提供全方位的產品、服務、解決方案，讓高校數據使用變得更加合規、安全。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！