数据安全是高校安全建设的重中之重,然而伴随高校信息化、数字化工作深入开展,数据安全威胁挑战更加复杂,如何明晰建设路径,推动数据安全工作有的放矢开展,仍面临诸多问题。本文介绍的高校数据安全治理建设实践,是美创数据安全治理咨询服务赋能高校安全建设的又一经典案例,希望通过该案例实践经验,给更多高校的数据安全建设提供参考。
某高校是全国重点大学,国家部委和市人民政府共建的"双一流"、 "211工程"高校,中国著名的高等学府。
图片源自网络
近年来,方兴未艾的数字化浪潮为高校注入新内核,校园管理工作逐步从线下模式转变为线上服务模式,通过服务大厅,为学生、教职工提供一站式服务。为进一步消除"数据孤岛",该高校网络信息中心(下称"信息中心")探索建立数据平台,形成学校各部门之间的数据共享,包括人事处、教务处、财务处等业务部门,实现学生选课、资产报修、学校公章、在读证明、就业手续办理等业务对接。
然而各类型应用系统不断增多,系统间业务协同交互场景逐渐增加,业务数据不断汇聚整合,也带来新挑战,数据安全问题也随之而来,在合规监管要求不断提升的背景下,如何进一步加强数据安全和师生个人信息保护提上了日程。
为响应国家号召,全力保障"智慧校园"发展,同时也为有效摸清目前高校在管理、技术层面可能存在风险隐患,规划下一阶段数据安全建设目标,该高校携手美创开启本次数据安全治理咨询工作。
现状分析
数据安全必须贯穿数字化业务全过程,能否守住安全底线至关重要,目前该高校数据安全面临的主要问题包括:
1
**安全理念不匹配:**高校内部部门二十多个,且系统多样,有统推部门系统(如教师职称、学生入学、学籍管理等),也有学校自建系统(如招生就业、门户网站、校园一卡通等),这些业务系统负责的部门由于缺乏专业的网络和数据管理人员,对这些系统业务数据的使用和管理上缺乏了解和控制。
2
**职责划分不清晰:**数据安全治理工作是一项从上至下、持续性、长期的系统工程,从现有的组织架构上看,目前数据安全管理组织架构比较完整,但职责划分上仍需进一步明确,尤其是数据共享使用场景下,暂未形成规范化的流程,一旦发生数据安全事件,将无从定责追责。
3
**数据标准不统一:**虽然该校信息中心建立了数据平台,实现了多部门之间数据共享,并按照教育部《教育系统核心数据和重要数据识别认定工作指南(试行)》文件要求,制定了数据分级分类策略,但由于业务系统庞杂,并且业务优先的原则,导致各部门使用数据标准不统一,阻碍了数据分类分级的落地。
4
**数据安全难保障:**在目前的安全建设体系中,数据安全存在一定的风险隐患。例如数据库运维管理松散,学校合作第三方开发人员和运维人员私存数据库账号密码,存在数据泄露风险,并且数据资源的使用没有约定范围和有效期,导致数据使用失控。
解决方案
针对该高校上述存在的各方面问题,美创结合高校当前实际情况,认为可从以下几个方面进行入手:
◼︎ 对现有的应用系统数据库进行全面摸底,做到"底数清、情况明",熟悉各部门业务系统、数据敏感程度、数据使用多方面情况,尤其需要关注个人信息数据存储、使用情况;
◼︎ 数据所属业务的职能部门是数据的主管单位,应当向各业务部门明确数据使用处理规则和防护要求,尤其是业务部门在数据共享交换的场景下,应当对申请的数据资源范围、期限进行明确;
◼︎ 参考DSMM模型内容,开展数据安全风险评估,了解目前的数据安全工作程度,也可完善高校的数据安全检查内容,作为定期开展安全检查的依据;
◼︎ 根据风险等级,结合现有的安全技术手段,以及部门间业务运行、数据流转过程,规划下一阶段的改进和建设任务目标,并针对具体场景的风险程度进行优先级设定。
具体服务内容包括:
数据资产梳理
以系统级、表级的颗粒度,对针对评估范围内的数据开展梳理工作,共计梳理3万张表、50万个数据字段,数据类型覆盖业务数据、个人信息等,如流程表单、户口所在地等。大部分数据为"个人身份信息类"、"个人财产信息类"等敏感个人信息,如户口地址、一卡通卡号、余额等。
基础环境风险评估
对系统和数据库服务器进行安全扫描、安全配置核查和分析,以及对数据权限分配情况的探查,发现配置的不合规项。例如高权限的废弃账户,美创结合实际需求提出了整改修复建议。
数据安全能力评估
结合高校现状以及对数据安全管理的目标诉求,从组织建设、制度流程、技术工具和人员能力等方面,分别对标数据安全能力成熟度模型(DSMM)二级和三级能力要求,从差距分析的结果来看,组织与三级能力仍存在较大差距,故后期若开展能力规划,可先设定到二级,再逐步进行推进。
数据安全合规评估
根据所在教育(高校)行业和地区的法律法规、政策规范等,进行筛选、识别、关联分析,对相关条款逐一进行阐述,根据现状进行对标分析。通过合规评估工作,除了发现潜在的合规风险,也帮助高校对数据安全相关政策要求有了更进一步理解。本次合规评估主要参考文件如下:
数据安全风险评估
数据安全风险评估是以围绕数据全生命周期的数据处理活动,采用了定性和定量相结合的风险分析方法,对数据资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。通过风险分析,发现数据在全生命周期的处理活动中,均存在不同程度的风险。
数据安全建设规划
在管理层面,根据行业、地区、上级要求以及高校现行制度,结合实际场景,制定了《个人信息保护管理办法》、《数据全生命周期安全管理制度》、《数据分类分级规范》、《数据安全事件应急预案》、《数据安全监督检查管理办法》等制度文件,明确了数据在多个阶段的安全管理要求。同时对多个现行的制度内容进行了审查,提出了优化建议以及持续关注点,如网络安全事件应急预案、数据共享交换规范等。
在技术层面,结合具体的数据使用场景,根据风险情况提出下一步的整改建议,包括技术手段、依托产品工具的建设方式、建设周期、建设优先级等。
成果价值
通过本次数据安全治理咨询,该高校明晰了当下数据资产的重要性以及潜在的安全风险,确定了下一步的工作任务和重心,主要产生的成果价值如下:
- **厘清了数据资产敏感程度:**通过资产梳理明晰了目前数据的规模、敏感程度,以及存在的废弃数据。结合风险评估结果识别出存在中、高风险级别的数据资产,同时以同行业最佳实践做法为参考,讨论现有的分类分级策略的合理性,提出了数据分类分级的改进方向。
- **落实了数据安全主体责任:**依据教育部发文以及现行的数据管理相关制度,在现有的部门职责定义的基础上进行了修订和更新,按照"谁主管谁负责、谁运营谁负责、谁使用谁负责"的原则,与信息中心讨论并重新定义了"数据主管部门"、"数据运营部门"、"数据使用部门"三大数据职能机构的责任和义务。
- **健全了数据安全管理体系:**参考ISO四层体系要求和DSMM模型,规划数据在各个阶段、场景的安全管理规范和流程,通过逐步建立具体的安全操作规范和流程,制定更具体的约束性措施,全面满足管理需求。在本项目过程中落实的部分制度内容,也在一定程度上完善了高校的数据安全管理体系。
- **提升了数据安全防护理念:**目前数据安全整体缺乏体系化建设,没有从数据全生命周期来考虑数据安全建设,仅基于合规要求部署网络安全设备或单点防御、检测设备,造成风险隐患。通过从数据处理风险较高的场景入手,结合现有的安全技术手段,以及部门间业务运行、数据流转过程,规划建立围绕数据资产的安全保障体系。