摘要:通过多年网络安全等级保护工作的开展,各高校积累了丰富的网络安全管理经验。传统的网络安全包含物理安全、主机安全、网络安全、数据安全、应用安全、内容安全等,其中的“数据安全”,按照以往经验更多地被理解为数据库安全。然而,在当前数字驱动发展的时代背景下,数据安全的范
数据安全治理工作应调动全校上下共同参与,方可避免“短板效应”,实现数据安全防护“一盘棋”。
通过多年网络安全等级保护工作的开展,各高校积累了丰富的网络安全管理经验。传统的网络安全包含物理安全、主机安全、网络安全、数据安全、应用安全、内容安全等,其中的“数据安全”,按照以往经验更多地被理解为数据库安全。然而,在当前数字驱动发展的时代背景下,数据安全的范畴远不止于数据库安全。根据中国信息通信研究院发布的《数据安全治理实践指南(3.0)》,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。
由于传统网络安全与数据治理工作的侧重点不同,且数据具有“流动性”“分散性”等特征,使得数据安全治理与传统网络安全工作存在一定差别,从高校信息安全工作角度来看,主要分为三个层面,如表1所示。
表1 高校传统网络安全与数据安全治理的对比
基于这些区别,如果沿袭传统网络安全工作的思路开展数据安全治理,势必面临下述工作挑战:
◼︎ 数据资产识别、统计难度加大;
◼︎ 传统网络安全部署方式难以有效防范数据泄露;
◼︎ 重敏数据一旦发生泄露,处置手段有限,且非常被动;
◼︎ 数据的流动性特征使得安全责属不明,多方管理易产生懈怠推诿;
◼︎ 网络技术人员难以对数据安全防护的技术策略进行有效、全面的研判。
针对数据安全治理,高校在开展网络信息安全工作中,有必要调整思路和策略,在原有网络安全部署的基础上适当调整,增加管控维度,以兼顾传统网络安全与数据安全。
本文综合中国信息通信研究院发布的《数据安全治理实践指南(3.0)》(下称《实践指南》)和全国信息安全标准化技术委员会发布的《信息安全技术 数据安全能力成熟度模型(GB/T 37988-2019)》(下称《DSMM 标准》),从支撑保障和安全治理两个维度出发,对高校数据安全治理工作策略提出相关建议。
支撑保障工作维度
组织架构建立
高校可沿用现有网络安全工作的组织结构,如图1所示,由网络安全与信息化领导小组作为决策层,负责听取数据安全工作的重大事项汇报并进行决策;领导小组设置办公室作为管理层,是数据安全的核心机构,负责全校数据安全的制度规范制定、管理、监督、建设、宣传培训等工作;各数据采集、使用部门则作为执行层,接受领导小组办公室的管理、监督,并落实执行数据安全相关要求。参照《实践指南》,如具备条件,高校可设立独立的“监督层”负责全校数据安全监督、审计、风控工作。
图1 数据安全组织架构
需要特别注意的是,数据安全的技术团队建议由领导小组办公室下属的网络、数据安全团队及各数据采集、使用部门的数据运维团队共同构成。不同于传统的网络安全在各网络边界的空间维度部署方式,数据安全更强调整个数据生命周期的时间维度部署,且数据安全策略需融入数据及运维治理的各个层面,甚至涉及对数据结构、存储方式、程序代码的改造,这就要求数据运维团队必须紧密配合,方可保证安全策略能够真正落实。
制度流程建设
可在学校网络信息安全管理的总体方针政策下,基于“数据质量保证”“数据分级保护”“最小够用”“责任不随数据转移”“可审计”等原则,建立学校的《数据分级分类管理办法》《数据生命周期管理办法》《数据安全事件应急管理办法》等;并以此为基础根据实际情况制定各类数据技术及管理规范,如《数据结构标准》《数据共享接口规范》《数据脱敏技术规范》《供应链管理规范》等。
人员能力提升
主要针对校内非技术和技术人员两类群体,在日常网络安全培训中同时增加数据安全相关培训内容,具体提升方式参见表2。
表2 高校人员数据安全能力要求
数据安全治理维度
按照个人经验判断,《DSMM标准》2级(计划跟踪)、3级(充分定义)基本上应满足大部分学校数据安全能力要求。以下参照《DSMM标准》2级、3级相关要求,从数据生命周期安全角度,提出数据安全治理的管理及技术策略。
数据采集安全
1. 数据分类分级。数据分类分级可参照《TC260-PG-20212A网络安全标准实践指南——网络数据分类分级指引》(下称《网络数据分类分级指引》),数据分级规则见表3。针对教育行业,依据相关主管部门对数据分级要求,认定行业领域核心、重要数据。在认定国家和教育领域核心、重要数据的基础上,根据数据遭破坏、泄露、篡改、非法获取、非法利用后对个人合法权益或组织合法权益的影响,将“一般数据”划分为1级、2级、3级、4级。
表3 《网络数据分类分级指引》数据安全分级规则
针对“一般数据”,高校可结合自身实际情况,建立学校数据分类分级的原则和方法,定级及安全策略思路可参考表4。
表4 高校数据自主分级及安全策略参考表
结合数据分类的普遍做法,高校数据可参考表5分为三个大类,并基于元数据类型分类和实际应用场景进行进一步细化分类。参照《网络数据分类分级指引》,敏感个人信息为4级,一般个人信息不低于2级;数据发生变化导致原有安全级别不再适用时可重新定级,例如:敏感个人信息经脱敏处理后,数据安全级别可最低降为2级;特定事件导致数据敏感性增强,数据安全级别应升级。
表5 高校数据分类参考
2. 数据采集安全。数据采集一般来源于原始数据(Excel、Word 等文档)、内部信息系统(数据库、日志数据)、网络爬虫(URL)以及接口授权采集等形式。数据采集过程的安全策略包括:“最小够用”原则、加密通信、脱敏采集、完整性校验、日志审计等。数据采集过程中可通过数据加密技术(磁盘加密、文件加密、透明文档加密解密)、数字权限管控(Digital Rights Management,DRM)、数据防泄漏(Data Loss Prevention,DLP)技术,实现数据采集源头和采集过程的安全性。
3. 数据源鉴别及记录。针对外部采集的数据,为防止采集到错误或失真数据以及确保采集结果的可溯性,需对数据源进行鉴别和标识记录。可通过可信认证技术(如PKI数字证书)、身份认证技术(如动态口令、短信密码、双因素认证等)保证数据的真实性;基于标注法(适用于小型系统)和反向查询法(适用于颗粒度较细的复杂异构数据)技术进行数据溯源记录;必要时,还需对溯源关键信息进行备份。
4. 数据质量管理。根据《DSMM标准》对数据质量完整性、准确性、一致性等要求,需要同步考虑数据治理,并制定如《数据结构标准》等相关标准规范。
数据传输安全
1. 数据传输加密。本阶段要求对传输数据、传输节点、传输通道三要素进行适当的保护措施。建议对 3级以上的数据在传输之前必须进行加密或脱敏降级;一般通过CA数字证书技术来确认传输节点的身份识别;根据数据传输场景的不同,传输通道可采用SSL/TLS、IPSec等安全传输协议。
2. 网络可用性管理。为保证传输稳定性,需部署负载均衡、防入侵攻击、数据防泄漏监测与防护等设备。
数据存储安全
1. 存储介质安全。存储介质包含计算机硬盘、移动硬盘、U盘、存储卡、光盘等。重敏数据必须采取加密存储方式进行存储;在使用存储介质对数据进行存储和读取之前必须进行查杀病毒处理;在使用移动介质对重敏数据进行转移存储前,必须对该介质进行格式化处理,且在使用后立即删除该移动介质中的重敏数据;应避免将存储有重敏数据的介质外送维修。必要时,可对介质进行监控审计,Windows资源监视器,Linux的top、htop,Netdata和基于Web的开源软件 Cockpit等均可实现对系统存储介质的实时监控。
2. 逻辑存储安全。逻辑存储系统的容器一般是服务器,应通过账号权限管理、访问控制、存储容量预警、故障管理、病毒和补丁管理、安全配置策略、日志监控、安全基线检查等措施,保证数据逻辑存储的安全性。
3. 数据备份和恢复。数据备份和恢复策略的有效执行,可以提高数据的高可用性和灾难可恢复性。根据不同的数据内容,可采用定期全量备份、增量备份、差异备份三种形式;备份数据同样也需要根据其内容分级进行安全管控;为确保备份数据的有效性,还应对备份数据进行抽样数据恢复测试。
数据处理安全
1. 数据脱敏。数据脱敏技术包括静态脱敏技术(如数据库开发接口、代理软件、ETL技术)和动态脱敏技术(如代理网关、软件代理、透明网关),对数据进行隐藏、替换、截断、偏移、重写、加密,相对来说,动态脱敏安全性和灵活性高于静态脱敏。数据脱敏过程中应注意固化常用敏感数据(如身份证号、手机号)脱敏规则,同时针对不同的场景进行不同类别的脱敏处理,比如投屏显示数据可用掩码隐藏敏感信息;针对第三方运维人员可在保留数据特征基础上使用扰乱技术进行数据脱敏。
2. 数据分析安全。为了规范数据分析的行为,防止数据分析过程中非敏感的隐私信息泄露,需要进行数据分析安全管理。可采用语法隐私保护技术(在数据脱敏基础上,在统计数据库中修改初始数据半标识属性值)和语义隐私保护技术(如差分隐私保护技术)加强对个人隐私信息的保护。
3. 数据正当使用。为避免数据被非法获取、利用,需进行数据正当使用管理,学校应建立数据使用的内部流程和相关制度,在申请和授权使用数据时坚持“最小够用”原则。技术层面,可通过单点登录、访问授权控制技术、数据使用记录、日志审计手段,加强对数据正当使用的管理。
4. 数据处理环境安全。数据处理环境安全是为了避免软硬件故障或人为故障造成数据损坏丢失,可采取职权分离、访问控制、监控审计等措施,以保障数据在处理过程中能有安全可靠的管理和技术支持。相关技术有:网络访问控制(如网络隔离、堡垒机、VPN等)、账号管理及身份认证(如统一认证模式、信任代理模式、身份认证组件模式)、监控与审计系统(如日志审计、数据库审计、运维审计)。
5. 数据导入导出安全。为防止数据导入导出过程中出现可用性和完整性问题,学校应统一制定数据导入导出相关规范及流程制度,确定数据导入导出的范围、数据内容、格式、涉及部门、数据用途等;对操作人员进行权限认证;对导入导出数据采取安全措施(如木马及恶意代码检测、加密传输、完整性校验等);当使用介质进行数据导入导出时,还需确保介质的安全性。另外,重要数据在导入导出前,需进行标识,以确保标识信息能随数据操作一起流动,从而对数据有效跟踪审计。
数据交换安全
1. 数据共享安全。主要是针对面向第三方提供在线服务浏览、在线服务接口、离线服务等数据共享方式过程中,避免将敏感数据共享给无权获得的第三方,防范共享过程中的数据篡改、泄露等风险。安全措施包含:确定数据共享的范围及授权审批流程;确定共享双方各自的安全责任义务;共享前通过数据脱敏实现敏感数据的“可用不可见”;对数据共享过程的监控与审计。
2. 数据发布安全。主要针对通过网站宣传、新媒体发布、PPT宣讲等方式主动对外公开学校数据过程中,避免违规对外披露,造成对学校的不良影响。安全措施包含:建立数据发布管理制度;制定数据发布审核制度流程;制定数据发布事件应急处置流程。目前数据发布过程中的隐私保护数据发布(Privacy Preserving in Data Publishing,PPDP)技术,包括基于匿名、基于加密、基于失真三种代表性技术方案,可在保证数据可用的基础上,通过适当损失原始数据信息,提高数据发布安全性,实现数据发布环节数据可用性与安全之间的平衡。
3. 数据接口安全。学校应制定统一的数据接口开发规范,同时还应对接口调用操作进行日志审计,通过采用安全传输协议、不安全参数限制、签名机制、令牌授权机制、时间戳超时机制等安全措施降低接口调用过程中的安全风险。
数据销毁安全
1. 数据销毁处置。为避免数据泄露,针对不需要归档且已过期作废的数据,不得随意丢弃,应按照学校制定的相关制度要求进行数据销毁处置。如有必要,应采用硬销(物理层面销毁)和软销(逻辑数据层面销毁)方式对重敏数据进行彻底销毁。针对网络(云)存储数据,可通过基于时间过期机制的数据自销毁技术或基于密钥销毁的数据不可销毁技术进行安全销毁。
2. 存储媒体销毁处置。为防止淘汰或替换下的存储介质废弃丢失造成数据泄露,针对存储有重要敏感数据的介质如光盘等必须进行物理销毁。可通过消磁、剪碎、焚毁等方式,彻底破坏其数据读取性。
结语
综上,通过加强对数据安全管理的支撑保障和落实全生命周期的安全技术策略,可有效提高高校数据安全治理能力和水平。鉴于一步到位有一定难度,建议高校结合自身网络安全部署现状,制定数据安全治理体系化建设方案,并权衡投入效果与实现难易度,从成效显著或最容易实现的环节着手,分步实施。另外,相较以往传统网络安全管理,数据的采集、使用几乎涉及学校所有部门,数据安全治理工作更加强调高校各部门、学校数据安全管理部门的紧密配合、协同治理,必须调动起全校上下共同参与到数据安全治理的工作中来,方可避免“短板效应”,实现数据安全防护“一盘棋”。
来源:中国教育网