高校数据安全治理的思考

关键词：教务带来信息化系统

随着高校对教育信息化的重视, 各种用于教学教务支持服务的信息化系统, 大量的被使用或更新换代。这些系统在带来便利的同时, 也给学校的网络安全保障带来了新的安全要求。从近几年发生的几次较大的网络安全事件就可以看出, 如比特币勒索病毒在高校成为重灾区, 甚至某些公安内网也被感染, 14亿明文密码库的曝光, 挖矿木马入侵水处理服务器等, 持续有效的网络安全防护, 已经是我们迫切要求的, 尤其是信息系统中的敏感数据的安全, 因为数据, 特别是单位或企业多年沉积下的核心数据, 已经成为现金资产和技术价值之后, 又一重要核心的资产。

2017年6月1号实施的《网络安全法》, 第一条明确规定了, 制定网络安全法的目的, 就是要保障网络安全, 网络空间的主权和国家安全, 保护公民, 法人和其他组织的合法权益, 促进经济社会信息化健康发展。第十条也规定了建设运营网络或通过网络提供服务, 应当依法, 依照法律, 行政法规的规定和国家标准的强制性要求, 采取技术措施和其他必要措施, 保障网络安全稳定运行, 有效应对网络安全事件, 防范网络违法犯罪活动, 维护网络数据的完整性, 保密性和可用性。作为高校, 必须加强网络安全防范, 尤其是信息系统中涉及到的学生信息数据, 教师信息数据, 教学科研等敏感数据的安全, 高校数据安全的治理, 更需要进行系统化的建设, 从而确定用什么方法来进行数据保护, 确定不同数据的使用边界, 有谁来负责数据的使用安全, 数据的存储安全、数据的运维安全。同时, 也会涉及到对数据安全产品的合理采购。

一、数据安全治理的核心内容

(1) 对可用数据的安全保护, 对数据的合规性, 敏感性的管理。 (2) 对数据的分级分类, 对使用数据的不同成员, 合理授权, 不同场景数据的使用安全, 比如信息系统开发测试阶段, 对敏感数据的使用。 (3) 安全治理的组织建设, 策略制定, 行为稽查和持续改善。

二、根据这些核心内容, 我们可以采取如下措施

(1) 我们需要建立专门的数据安全治理机构, 来制定确实有效地治理政策。机构的组成人员需要由使用和维护这些关键信息系统的技术人员和业务部门的决策者组成。他们可能是数据的使用者, 也可能是数据所有者、维护者。在对某个信息系统关键数据的保护策略的制定时, 需要他们的共同参与, 因为数据的安全治理不是只是安全运维部门的事情, 它需要各个部门的通力合作。 (2) 要确定数据的安全等级、数据的分类, 这需要对数据能深刻的了解, 根据数据的类别和保密等级, 制定不同管理和使用方法。 (3) 确定各种角色对数据的使用范围, 而常见的角色包括使用人员、运维人员、开发人员、外包人员等, 并了解这些人员, 需要访问哪些数据和如何使用这些数据。同时针对不同的场景, 对不同角色使用不同的策略。如在信息系统的开发以及测试阶段的场景, 对某些关键敏感数据如学生的个人信息如电话、身份证、学籍等信息, 只需要使用满足开发测试的仿真模拟数据, 而在数据库的运维场景下, 要重视加强数据的加密和脱敏。对系统运维人员使用的场景下, 更因注意的是加强行为的记录和审计。 (4) 制定数据安全治理的规范并经常进行核查和持续改进。可以和学校的信息系统的等级保护的定级备案、评测、整改、复评等工作结合起来。数据的安全治理不是一个一蹴而就的过程, 需要根据实际的业务情况, 不断进行改进和调整, 最好在设计基础设施和应用时, 要先设计它的安全, 然后保证它的安全。并能够把制定的经过优化的治理规范有效地予以实施, 而不是一纸空文。

三、数据的安全治理, 除了规范策略等的制定, 还需要网络安全技术的支持

(1) 网络基础架构的安全保证。首要保证就是网络的安全, 可以通过软件设置或防护硬件实现, 比如进行内外网的隔离、配置访问控制策略、上网行为管理、防火墙, 日志记录和分析, 甚至有的必须通过大数据的分析和深度学习, 发现可疑的apt入侵攻击, 因为apt攻击的流量较少, 不容易被常规的安全设备所察觉。通过掌握的分析数据, 进而不断调整防护体系, 能动态的实现安全防护。当然这也需要我们对市面上主流的硬件防护系统有一个广度和深度的了解, 结合学校具体的网络使用状况以及网络安全等级保护等级的要求来进行来选型和采购。 (2) 信息系统的安全设计。同时信息系统本身也需要进行有效的改进, 在设计时就要把安全考虑进去, 而不是说光满足应用需求。比如可以把某些安全等级比较高的BS架构的信息系统的登录改成一次一密。登录密码通过短信网关发送到用户手机上, 虽然增加了系统使用成本, 但是有效地防止密码的泄露和系统被非授权的访问。 (3) 云服务的安全设计。随着云服务的不断发展, 以及云计算呈现的资源按需分配的便捷优势, 慢慢的高校都把很多信息系统迁移到云端, 但这也给敏感数据的安全带来一定的担忧, 毕竟数据到了云端, 信息的使用流量不管是合法的还是非法的, 都在虚拟化的网络中传输, 对数据使用的监测带来了一定的难度, 数据的安全治理需要云服务供应商和学校更密切的协作。可以采用常用的云服务安全架构, 把网络业务分为专网和互联网业务区, 两个业务区间通过网闸或者数据交换平台进行连接, 从而在确保专网内业务安全的前提下, 同时对互联网业务提供数据支撑。两个业务区可以通过使用同一个独立的管理网络, 实现两个业务区的统一管理。同时可采用大数据分析、云安全态势感知、可视化运维管理等功能, 通过安全服务链这个云安全不可或缺的重要功能, 为使用者提供灵活的安全服务编排和自动化部署能力。增加“东西向”流量的安全防护, 将虚拟机的流量从宿主机中引出, 使流量得到有效的监控, 解决虚机间的流量无法管控的问题。

最后我们也要加强学校内部所有人员的安全意识, 普及网络安全知识。提高了意识才能会注意防范, 可以通过经常组织师生学习网络安全的基础知识, 网络安全的防范技能、网络安全软件的使用技巧、介绍近阶段发生的网络安全事件、网络安全法等等。避免老师和学生自己的计算机系统, 手机系统中木马中病毒, 影响到学校内部网络安全, 进而造成学校或个人的数据的泄露以及财产损失。

摘要：随着网络的快速发展和高校信息化建设投入的不断加大, 各种依托网络的信息化系统被大量的使用, 在给学校的师生带来便捷高效的支持服务的同时, 也给网络安全带来了新的安全要求, 尤其是对数据安全保证。因为二三十年, 人们在设计网络时没有安全的概念, 同时现在计算机系统的复杂性, 防御比攻击难度更大。

关键词：数据安全治理,网络安全,信息化建设,数据脱敏,网络安全法,云服务