当前位置:首页 >  科技 >  IT业界 >  正文

从“毕业生盗取学生信息”事件,看高校数据安全的六个问题、三个关键

 2023-07-05 16:10  来源: 互联网   我来投稿 撤稿纠错

  域名预订/竞价,好“米”不错过

这两天,一则#盗学生信息人大毕业生被刑拘#新闻冲上热搜,引发热议。

中国人民大学毕业生马某,在读硕士研究生期间通过非法技术手段,盗取了近几届学生的个人信息,并制作成网页供任何人随意浏览,甚至能够给该校女学生的颜值打分。

*据网上爆料,这个名叫“RUC IR FACE”的颜值打分网站疑似包含了该校从2014级到2022级学生的个人资料,甚至可以从身高、星座、籍贯、所在学院等多个维度进行精确筛选,估计波及超过5万名学生。

网络不是法外之地,目前,中国人民大学已第一时间联系警方,该毕业生被依法刑事拘留,案件正在进一步调查中。

从盐城7万余条学生信息被售卖获利,到学习通1.7亿条用户数据被泄露,再到今天毕业生窃取全校学生信息公之网络·····

近年来,在高校频频上演的隐私数据泄漏风波,也揭示了目前高校数据管理水平不足、数据安全防范能力不够、数据泄露风险隐患突出的现实短板,弥补差距,强化能力,需成为每个高校重点关注的工作。

01

高校数据安全

应重点关注六个问题

《数据安全法》、《个人信息保护法》等数据安全法律法规的颁布和实施,高校对数据安全保护工作逐步重视。但整体来看,高校数据安全能力还在起步阶段,伴随数字化的深入开展,威胁手段的持续升级,新问题、新风险交织,高校数据安全这六个问题需要重点关注:

1、数字化转型造成数据敏感级别不断提升

高校师生个人和家庭数据真实性强且不可逆性、数据量级不断增大,数据一量泄漏可能造成巨大影响;

重点实验室、科研项目等核心数据,财务数据、学生考评等数据,是窃取/篡改重点目标。

2、数据安全管理制度体系不够完善

高校管理链条较长,数据安全管理组织架构不健全,数据安全责任人不明确,信息中心有心无力,业务部门无的放矢,数据安全工作推进困难;

数据安全管理制度缺失,数据安全操作流程和规范没有明确要求,数据安全考核和效果评价没标准。

3、工作人员缺乏数据安全意识

安全法律法规不了解,数据安全风险意识低下,数据风险防范能力不足,敏感数据随便私存和分发;

难以均衡安全与便利性矛盾,对数据安全管控方案不理解、不支持,安全管控措施难有效推进。

4、数据安全精细化管控措施普遍缺位

业务系统众多,安全归口管理部门不一,敏感数据散落各处,安全防护力度不足,数据风险敞口大;

数据访问权限难梳理,数据流向不清晰,未开展数据分类分级,未落实差异化、精细化安全管控措施。

5、系统运维特权账号缺少管控措施

信息中心数据安全能力不足,过度依赖于第三方或兼职学生,并赋予特权账号,存在严重安全隐患;

运维人员受黑市诱惑、好奇心驱动、人情请托等因素,利用工作便利条件达到窃取数据、篡改数据。

6、API数据共享安全风险难感知

业务系统数据抽取和交换,多是通过API接口进行数据读取,未对敏感数据流向和数据安全风险进行监控和管理,难以感知数据滥用、数据窃取等风险;

缺少安全审计手段,无法对数据使用情况进行审查。

02

高校数据安全

需牢牢把握三个关键

针对高校数据安全现状和主要问题,如何做好数据安全建设?美创科技认为需要技术和管理双管齐下,以数据分类分级为起点,以管理制度为依据,在具体建设过程和环节中,充分利用和发挥好各种关键技术的作用,分段实施,体系规划,逐步构建覆盖数据全流程、全链路的数据安全防护技术体系,最后构建数据安全运营体系,实现数据安全的持续优化和提升。

分类分级是建设基础

经过多年信息化建设,高校已积累了规模庞大的数据资产,且涉及的信息量及群体规模十分复杂,数据资产有哪些?怎么分布?有哪些类型?借助技术手段摸清资产家底,进行数据分类分级成为数据安全建设的首要任务。

高校应结合法律法规、部门规章、行业标准(如:《教育部等七部门关于加强教育系统数据安全的通知》、《教育系统核心数据和重要数据识别认定工作指南(试行)的通知》等),制定数据分类分级标准,梳理出高校信息系统重要的数据目录,明确个人隐私和敏感数据保护范围。

管理制度是建设依据

《教育部等七部门关于加强教育系统数据安全的通知》中明确,应健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度。

对此,高校在制定数据安全管理与隐私保护相关办法中,需明确数据收集、存储、处理、共享等关键环节的操作规范、管理部门职责分工、应急管理与安全检查机制,充分发挥各部门和各类人员在数据安全保障工作中的作用,共同遵守和执行安全规章制度,保障数据安全策略的贯彻落实。

数据安全需全链路建设

数据在流动中创造价值,对数据的保护就是对流动过程的数据全链路分级保护。在数据安全建设中,高校需梳理数据应用重要业务场景,评估其数据安全现状,在数据分类分级的基础上,分段实施、体系规划、面向数据访问域、存储域、流动域,落实覆盖数据全链路的数据安全技术防护体系。

在数据存储域: 对师生敏感数据或重要数据进行加密存储,防止黑客拖库、磁盘丢失、备份文件被盗等原因造成敏感信息泄漏;对重要哑终端、数据库服务器、应用服务器、文件服务器等重要系统部署勒索软件防范勒索攻击;同时借用数据灾备保障业务连续。

在数据访问域: 通过数据库防水坝对运维人员的权限进行细粒度的操作权限控制,实现DBA权限分离控制、防止越权,实现DML/DDL操作指令控制,防止误操作;通过数据库防火墙防范黑客通过SQL注入漏洞和数据库漏洞进行网络攻击和数据窃取;采用DLP数据防泄漏系统对重要文件的处理、传输进行管控;通过数据库审计实现数据库访问的各类操作行为的监控和记录、审计溯源。

在数据流动域: 通过静态脱敏、水印溯源、API监测与访问控制等能力,加强数据流动场景下的安全保障和风险监测,实现数据可控流动。

安全是一个不断变化的过程。为了应对变化,高校应对数据安全进行持续优化改进与运营,以看见驱动安全,从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力,实现资产全域可管、风险全域可视、策略全域联动,充分盘活整体数据安全防护能力,最终形成一体化的数据安全管理、安全监控和安全运营体系,实现数据安全统一运营。

在数字化转型的持续推动下,越来越多的高校以数据为驱动力,利用新一代信息技术提升教育管理数字化、网络化、智能化水平的建设。数据驱动教育高质量创新发展,守好数据安全防线更是关键!

美创科技基于多年数据安全实践经验,结合《数据安全法》和《个人信息保护法》等法律法规的要求和高校实际的数据安全风险场景,为高校数据安全建设提供全方位的产品、服务、解决方案,让高校数据使用变得更加合规、安全。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
数据安全

相关文章

  • 2023美创科技百城巡展|首站北京迎来新老朋友,百家聚势共拓数安蓝海

    “新起点新战略共赢数安蓝海”2023年4月在首届渠道高峰论坛上美创通过一系列革新之举传递了坚定渠道化战略的决心2023年5月步履不停,加速渠道战略下沉与全国各地伙伴更深入沟通,互信赋能美创2023百城巡展正式启航5月23日,美创2023百城巡展·北京首站成功举办,100余家北京区域合作伙伴相聚,同奏

    标签:
    数据安全
  • 瑞数信息加入UOS主动安全防护计划(UAPP),构筑可信可控的数字安全屏障

    近日,由统信软件与龙芯中科联合主办,电子工业出版社华信研究院与北京信息化协会信息技术应用创新工作委员会支持的“2023通明湖论坛信息技术基础底座创新发展分论坛”在北京正式举办。会上,UOS主动安全防护计划(UAPP)2023授牌仪式正式举行,瑞数信息正式成为UAPP成员单位。UAPP授牌仪式当前,以

    标签:
    数据安全
  • 海泰方圆《数字政府密码应用与数据安全合规性建设指南》顺利通过评审

    近日,海泰方圆《数字政府密码应用与数据安全合规性建设指南》(以下简称《指南》)顺利通过专家评审。会议邀请来自中国信息协会、北京电子科技学院、中国电子技术标准化研究院、中国科学院信息工程研究所、水利部信息中心的专家对该《指南》进行评审。作为牵头编写企业,海泰方圆高级副总裁Zoe柳及数据安全事业部总经理

    标签:
    数据安全
  • 数字中国丨闪捷信息受邀出席,全栈数据安全能力广受关注

    4月27日,由国家网信办、国家发改委、工信部、福建省人民政府主办的第六届数字中国建设峰会在中国福州举办。该峰会旨在通过政策发布、经验交流、成果展示等方式,推动交流互鉴,促进开放合作。闪捷信息受邀出席本届峰会发表主题演讲,全面展示全栈数据安全技术与服务能力。【主题展区】本次闪捷信息的主题展区以云·管·

    标签:
    数据安全
  • 《数据安全产品与服务观察报告》重磅发布,美创科技深度参编!

    近日,由数据安全推进计划联合中国通信标准化协会大数据技术标准推进委员会举办的《数据安全产品与服务观察报告》发布会在北京成功召开。美创科技深度参与此次报告编写工作,受邀出席此次发布会。随着数字化时代的到来,数据安全问题越来越受到企业和社会的关注,安全产品和服务的需求也不断增加。《数据安全产品与服务观察

    标签:
    数据安全

信息推荐