“知、識、控、察、行”五步法鑄就高校資料安全堡壘

綠盟科技發表於2022-03-14

全文共2451字,閱讀大約需5分鐘。


高校資訊化在發展過程中,常常會出現業務系統數量多、規模大、複雜度高,業務資料增長迅猛等情況。大資料及資料集中化雖然方便了管理,但也帶來了風險的集中化。在利益驅動下,針對資料安全的內外部攻擊層出不窮。


2021年4月,教育部發布了《關於加強教育系統資料安全工作的通知》,國家層面也相繼出臺了《資料安全法》《個人資訊保護法》等法律法規,為教育行業資料安全治理提供了重要的指導和參考,對於使用者個人資訊的保護要求空前嚴格。



當前,高校在資料安全方面,普遍存在以下幾方面的問題:

  • 資料跨學院、跨部門流轉,涉及不同院系、部門。缺乏統一團隊、專業人員牽頭,無法形成統一資料安全防護體系;

  • 資料流通性強,涉及多個院系、部門的人員,資料安全事件發生後,難以有效溯源,缺乏認責依據,無法認責造成部分人員無所顧忌;

  • 校園內部敏感資訊洩露、以及敏感資訊資料使用情況、違規訪問和洩漏分析的日誌記錄,缺乏統一分析去溯源;

  • 對於運維人員、開發測試人員使用資料流程和方法缺乏監控;

  • 資料庫沒有廠家運維,或資料庫過低不能升級新版本,容易被攻擊;缺乏資料識別、審計能力。


在高校資料安全建設方面,可圍繞“一箇中心,四個領域,五個階段”構建資料安全體系頂層設計。“一箇中心”,即以資料安全防護為中心;“四個領域”,即資料安全建設的四個領域,包括組織建設、制度流程,技術工具和人員能力;“五個階段”是指資料安全建設的五個階段,分別為業務梳理、分級分類、策略制定、技術管控、最佳化改進。


在資料安全建設體系中,組織建設、制度流程、技術工具、人員能力四個領域,均需同步開展建設工作。同時,應做好對資料安全的相關管理工作,管理是技術的運營依據、技術是管理的落地保障,兩者相輔相成,缺一不可。

“知、識、控、察、行”五步法鑄就高校資料安全堡壘


綠盟科技借鑑Gartner的資料安全治理框架,定義了資料安全建設的五個階段。形成了綠盟科技的資料安全方法論,即“知”“識”“控”“察”“行”。

  • 知:分析政策法規、梳理業務及人員對資料的使用規範,定義敏感資料;

  • 識:根據定義好的敏感資料,利用工具對全網進行敏感資料掃描發現,對發現的資料進行資料定位、資料分類、資料分級;

  • 控:根據敏感資料的級別,設定資料在全生命週期中的可用範圍,利用規範和工具對資料進行細粒度的許可權管控;

  • 察:對資料進行監督監察,保障資料在可控範圍內正常使用的同時,也對非法的資料行為進行了記錄,為事後取證留下了清晰準確的日誌資訊;

  • 行:對不斷變化的資料做持續性的跟蹤,提供策略最佳化與持續運營的服務。


五步法——鑄就高校資料安全堡壘


1. 業務資料梳理與敏感資料識別

在組織與制度設計方面,應自上而下形成由學校高層牽頭,橫跨學校業務部門與安全部門的組織架構。由資訊保安管理團隊和資料業務管理團隊共同商討建立資料安全制度流程體系。制定好的制度體系應以文件化的方式進行落地管理,並嚴格執行。

在敏感資料識別與定義方面,應基於業務特點進行資料的識別、資料分類、資料分級。可根據《中華人民共和國網路安全法》要求對個人資訊和重要資料分開進行評估與定級,再按照就高不就低的原則對資料條目進行整體定級。


2. 資料全生存週期安全風險評估

在高校資料安全進行風險評估方面,可以從資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全、資料銷燬安全等資料的生存週期角度進行考慮。

“知、識、控、察、行”五步法鑄就高校資料安全堡壘


綠盟科技敏感資料發現與風險評估系統,可以實現智慧資料分類分級、全網資料資產測繪、實時資料流轉測繪、大資料平臺風險掃描的能力。同時,結合綠盟資料安全評估服務,從資料生存週期各個階段評估資料安全風險,應該可以幫助您解決很大部分的敏感資料發現與風險評估問題。


3. 高校資料安全縱深防護

對於資料安全的風險,應以資料為中心,由內而外對業務、網路、裝置、使用者採取“零信任”的態度,管控手段覆蓋全部環節,任意環節失信後都能實現熔斷保護。


使用者側、終端側、網路側、業務側,以及資料中心,均應做好安全防護措施,由外向內防攻擊防入侵防篡改,由內向外防濫用防偽造防洩露。同時,對全部縱深防護環節進行整體控制,實現環境感知、可信控制和全面審計。整合多層次的縱深防禦,及時發現、阻止安全問題。


4. 敏感資料監察分析

敏感資料監察分析、發現安全問題與異常事件。應從使用者、資產和資料行為模式出發,依託5W1H分析模型進行敏感資料行為分析,基於行為模式發現資料異常事件。


同時,還應基於歷史的可信訪問行為提取訪問規則,利用各類演算法進行行為聚類,形成可劃分的訪問行為簇並視覺化呈現。透過這種圖譜分析與視覺化展示讓管理者對於敏感資料訪問情況,由一無所知轉變為可視可管。


5. 最佳化改進與持續運營

業務與資料都處在不斷變化的過程中,還應對資料安全進行持續的最佳化改進與運營。合規要求指導安全策略的設定,安全策略支撐合規治理要求的落地,二者相輔相成,配合持續最佳化改進運營的“知識控察行”體系,實現持續自適應的資料安全防護能力。

“知、識、控、察、行”五步法鑄就高校資料安全堡壘


高校資料安全建設優勢


1. 滿足合規要求

進一步加強資料安全監管機制,完善資料安全管理制度,提升大資料環境下資料合規使用能力。


2. 資料安全集中管控、智慧分析

實現資料安全集中管控,實現對雲環境下的整體資訊資產、安全事件、安全風險、訪問行為等的統一分析與監管,透過關聯分析技術,使系統管理人員能夠迅速發現問題,定位問題,有效應對安全事件的發生。


3. 資料生命週期全面掌控

掌握資料的全生命週期是對資料風險的提前預知,利用本方案對資料的生命週期中各個環節做監控,掌握資料的動態,瞭解資料的流向,提前對可能發生的資料洩露風險進行預警,保障資料在安全的可控範圍內流轉、使用與儲存。


4. 降低個人資訊洩露風險

透過對個人資訊的掃描與跟蹤,利用內容識別、UEBA、機器學習等技術,及時發現個人資訊所承載的系統、業務、網路、終端中的安全威脅,提前做好防範措施,讓洩密風險看得見、使個人資訊洩漏防得住。


5. 提高個人資訊使用者安全意識

資料安全解決方案的應用,讓資料使用者瞭解資料的重要程度,規範資料使用者的操作行為,從潛意識裡指導與幫助人們正確使用資源,合理利用資源,保護資料的安全。



相關文章