面向“網(wǎng)絡攻防”的高校數(shù)據(jù)安全管理體系研究

田果 王鑫露

摘要：近年來，高校數(shù)據(jù)泄露事件頻發(fā)，如何加強高校數(shù)據(jù)安全已迫在眉睫。高校也試圖從“網(wǎng)絡攻防”視角，查找網(wǎng)絡、系統(tǒng)、應用潛在的安全風險和缺陷，提高學校應對安全威脅的能力。本文著眼于攻防演練過程中發(fā)現(xiàn)高校在數(shù)據(jù)安全方面存在的問題，提出以“數(shù)據(jù)資產(chǎn)”為核心的數(shù)據(jù)安全管理體系，該體系根據(jù)場景化需求，實現(xiàn)讓數(shù)據(jù)安全能看清、能管好、能防住。各高?？梢越Y(jié)合實際需求急用先行，強化數(shù)據(jù)安全技術保障能力，確保數(shù)據(jù)使用變得更加合規(guī)、安全。

關鍵詞：網(wǎng)絡攻防；數(shù)據(jù)安全；數(shù)據(jù)安全管理體系

1. 高校數(shù)據(jù)安全的現(xiàn)狀

2022年6月，西北工業(yè)大學發(fā)布《公開聲明》稱，該校電子郵件系統(tǒng)遭受境外網(wǎng)絡攻擊，被竊取了超過140GB的高價值數(shù)據(jù)[1]。2023年7月，網(wǎng)友在社交平臺爆料，北京某高校一個畢業(yè)生在讀研期間盜取全校學生的個人信息，包括照片、姓名、學號等，并搭建了顏值打分網(wǎng)站，還在個人社交賬號上公開此事。8月，南昌某高校3萬余條師生個人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣[2]。

面對嚴峻的數(shù)據(jù)安全風險狀況，十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數(shù)據(jù)安全法》（簡稱《數(shù)據(jù)安全法》），標志著數(shù)據(jù)安全上升到國家安全層面?！稊?shù)據(jù)安全法》規(guī)定國家建立數(shù)據(jù)分類分級保護制度，對數(shù)據(jù)實行分類分級保護，這為我國數(shù)據(jù)安全提供了基礎性法律保障。同時，教育行業(yè)的合規(guī)要求也持續(xù)加碼。教育部等七部門面向全國教育系統(tǒng)下發(fā)《關于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》[3]，明確提出“要建立教育系統(tǒng)數(shù)據(jù)安全責任體系和數(shù)據(jù)分類分級制度，形成教育系統(tǒng)數(shù)據(jù)資源目錄。健全覆蓋數(shù)據(jù)收集、傳輸存儲、使用處理、開放共享等全生命周期的數(shù)據(jù)安全保障制度，開展常態(tài)化的數(shù)據(jù)安全監(jiān)測預警通報”等工作目標。國家相繼出臺一系列教育數(shù)據(jù)安全保護的政策法規(guī)，為教育行業(yè)數(shù)據(jù)安全治理提供了重要的指導和參考。

在數(shù)據(jù)安全合規(guī)要求不斷升級的大背景下，教育行業(yè)又該如何深化數(shù)據(jù)安全防護能力建設，構(gòu)建數(shù)據(jù)安全管理體系？以國家法律法規(guī)為指導思想，從保護重要數(shù)據(jù)資產(chǎn)的視角出發(fā)，優(yōu)化完善現(xiàn)有的安全防御體系，從“網(wǎng)絡攻防”切換到“保護重要數(shù)據(jù)資產(chǎn)”，深挖高校數(shù)據(jù)安全的風險源，找出高校數(shù)據(jù)安全事件的風險源，建設由數(shù)據(jù)安全管理隊伍、軟硬件技術支持、政策法規(guī)標準、風險預警監(jiān)測、宣傳教育培訓等全方位防護，時間可持續(xù)、空間無盲區(qū)、領域全覆蓋、技術前沿化、流程無梗阻、治理全員化、機制全過程的預警應急一體化的數(shù)據(jù)安全防護體系已是必然趨勢。

2. 從“網(wǎng)絡攻防”視角深挖高校數(shù)據(jù)安全的風險源

近年來，高校也試圖通過攻防演練進行攻擊測試和安全演練，查找網(wǎng)絡、系統(tǒng)、應用潛在的安全風險和缺陷，并提高學校應對安全威脅的能力[4]。通過攻防演練發(fā)現(xiàn)高校存在以下問題：（1）弱口令、重復口令是教育單位的普遍情況；（2）開發(fā)過程不規(guī)范、代碼未經(jīng)測試上線、API接口不設防等原因?qū)е碌膽孟到y(tǒng)安全漏洞是教育單位用戶丟分重點；（3）互聯(lián)網(wǎng)安全防護到位但內(nèi)網(wǎng)安全防護形同虛設，攻擊人員通過VPN可隨意漫游，導致高校用戶一點破全盤皆失；（4）攻擊類、防守類、組織類安全人才匱乏，出現(xiàn)問題之后的應急響應處置能力亟須增強；（5）安全意識薄弱，雖然近年來高校用戶防釣魚意識逐漸增強，但在個人隱私保護和防信息泄露方面仍然處于空白階段；（6）第三方軟件廠商運維人員、相關應用開發(fā)廠商等一系列供應鏈帶來的風險逐漸成為教育單位新的風險爆發(fā)點。

通過這些“點的表象”，高校數(shù)據(jù)安全“面的問題”也浮現(xiàn)出來，總結(jié)如下：（1）缺少整體設計。目前，高校的安全建設多是圍繞網(wǎng)絡安全，數(shù)據(jù)安全建設往往僅開展合規(guī)要求部分，離實際需求相去甚遠[5]；（2）缺少數(shù)據(jù)安全的整體摸底。數(shù)據(jù)流轉(zhuǎn)復雜、業(yè)務不斷迭代、數(shù)據(jù)資源不斷擴大，運維管理、業(yè)務調(diào)用面臨巨大壓力，導致安全完全讓步于業(yè)務，與數(shù)據(jù)相關的使用流程通常很少考慮安全[6]；（3）缺少技術手段堵口。敏感數(shù)據(jù)在哪里？誰在用？有哪些風險？哪些業(yè)務涉敏？數(shù)據(jù)都流向了哪里？通常是一筆糊涂賬；（4）缺少賬號管控。賬號管理不嚴格，尤其缺少對特權(quán)賬號的梳理和有效管控；（5）審計覆蓋不全。誰在用數(shù)據(jù)？在什么時間？什么環(huán)境？通過什么方式？使用哪些數(shù)據(jù)？（6）缺少風險發(fā)現(xiàn)手段。風險發(fā)現(xiàn)機制仍是網(wǎng)絡安全思路，以發(fā)現(xiàn)漏洞、惡意流量為主，而對數(shù)據(jù)的泄露渾然不覺[7]。

3. 建設以“數(shù)據(jù)資產(chǎn)”為核心的數(shù)據(jù)安全管理體系

針對攻防演練發(fā)現(xiàn)的高校數(shù)據(jù)安全的風險源，提出以“數(shù)據(jù)資產(chǎn)”為核心，以“訪問控制、事件監(jiān)測、風險分析、策略調(diào)整”閉環(huán)防護技術為主導思想的管理體系。該體系建設根據(jù)場景化需求，實現(xiàn)讓數(shù)據(jù)安全能看清、能管好、能防住。各高校結(jié)合實際需求急用先行，確保安全合規(guī)不踩線。

基礎防護手段跟不上，數(shù)據(jù)安全保護猶如空中樓閣。那么，高校數(shù)據(jù)安全首要任務是“先理后治，補短固底”，其中，“補短板”是高校數(shù)據(jù)安全的當務之急。

先理后治，梳理業(yè)務，識別重要資產(chǎn)。這需要“盤好家底”，梳理業(yè)務系統(tǒng)，識別數(shù)據(jù)資產(chǎn)，明確重點保護目標，找出關鍵的業(yè)務數(shù)據(jù)場景，梳理業(yè)務訪問關系、梳理安全現(xiàn)狀。比如，高校根據(jù)數(shù)據(jù)訪問的主、客體不同，將活動場景分為內(nèi)部人員辦公、數(shù)據(jù)開發(fā)利用、數(shù)據(jù)運維管理、數(shù)據(jù)對外服務，如圖1所示。

補短固底，做好基礎安全防護。依據(jù)梳理出的重要數(shù)據(jù)資產(chǎn)，圍繞其關鍵場景進行風險分析以及安全加固，各高?？梢越Y(jié)合實際需求“補短板”，包括但不限于做好以下舉措：融入“零信任”思想，建立零信任網(wǎng)絡訪問系統(tǒng)，部署數(shù)據(jù)庫堡壘機、特權(quán)賬號管理及密碼保險箱、數(shù)據(jù)庫審計與防護系統(tǒng)、API安全網(wǎng)關、數(shù)據(jù)安全態(tài)勢感知等安全設備，將所有訪問數(shù)據(jù)庫的人員全部納入數(shù)據(jù)庫堡壘機，數(shù)據(jù)庫密碼必須托管，完整記錄用戶/系統(tǒng)對數(shù)據(jù)庫的訪問行為，對服務接口進行威脅檢測及防護，以及對風險行為、異常訪問、安全事件等做好監(jiān)測預警、全局分析、整體感知，減少數(shù)據(jù)泄露等風險的發(fā)生。

補短固底的目的在于形成統(tǒng)一的審計方案。由堡壘機提供運維人員操作的審計日志，特權(quán)賬號管理系統(tǒng)提供僵尸賬號、弱密碼賬號、長期不改密賬號、權(quán)限變更等風險日志，數(shù)據(jù)庫審計系統(tǒng)提供對數(shù)據(jù)中心的數(shù)據(jù)庫、大數(shù)據(jù)組件操作審計，API流量審計提供業(yè)務人員對業(yè)務系統(tǒng)的操作審計，數(shù)據(jù)安全態(tài)勢感知統(tǒng)一收集各安全組件日志，從而實現(xiàn)數(shù)據(jù)資產(chǎn)的流動監(jiān)測、風險預測等。

補齊“短板”，系統(tǒng)治理，體系規(guī)劃，建立數(shù)據(jù)安全評估和監(jiān)督評價制度。其中，系統(tǒng)治理方面，主要工作是結(jié)合業(yè)務系統(tǒng)，開展充分的現(xiàn)狀調(diào)研，再結(jié)合國家法律法規(guī)，對數(shù)據(jù)資產(chǎn)分類分級；識別數(shù)據(jù)主客體訪問關系，梳理數(shù)據(jù)訪問權(quán)限，繪制數(shù)據(jù)流轉(zhuǎn)圖；根據(jù)分類分級和流轉(zhuǎn)圖，對不同類型數(shù)據(jù)制定不同的管控方案，做好風險的感知和評估，并適時調(diào)整策略。至此，以“數(shù)據(jù)資產(chǎn)”為核心，“訪問控制、事件監(jiān)測、風險分析、策略調(diào)整”的完整閉環(huán)體系形成。數(shù)據(jù)安全閉環(huán)防護技術如圖2所示。

體系規(guī)劃是建立數(shù)據(jù)安全評估和監(jiān)督評價制度的重要一步。需要以閉環(huán)防護技術為指導思想，從管理、技術、運營多維度進行系統(tǒng)的體系規(guī)劃，包括數(shù)據(jù)分類與標記、訪問控制策略、數(shù)據(jù)監(jiān)測和審計、合規(guī)性與法規(guī)遵循等數(shù)據(jù)安全管理體系規(guī)劃，利用加密技術、防火墻和入侵檢測系統(tǒng)、漏洞管理、多因素認證、安全更新和補丁管理等技術的防護體系規(guī)劃，利用數(shù)據(jù)備份和恢復、風險管理、應急響應計劃、性能監(jiān)測、合作伙伴和供應商管理等的運營體系規(guī)劃。這些體系確保高校數(shù)據(jù)進行定期風險評估、定期進行數(shù)據(jù)安全監(jiān)測預警通報，及時發(fā)現(xiàn)數(shù)據(jù)安全風險、處置數(shù)據(jù)安全威脅，提供數(shù)據(jù)安全風險評估報告和整改建議。

數(shù)據(jù)安全工作并非一勞永逸，要維持安全、可持續(xù)的運營需要持續(xù)對數(shù)據(jù)資產(chǎn)進行發(fā)現(xiàn)、分類分級、標記等工作。為加固數(shù)據(jù)安全保障體系，有序建設，持續(xù)運營，提升防護效果，一方面，通過數(shù)據(jù)資產(chǎn)分布及流轉(zhuǎn)情況、數(shù)據(jù)風險情況以及業(yè)務數(shù)據(jù)使用情況，根據(jù)數(shù)據(jù)級別制定相應的分級管控與防護策略，以及場景化建設方案。例如，結(jié)合數(shù)據(jù)使用場景和生命周期，根據(jù)業(yè)務和數(shù)據(jù)流轉(zhuǎn)情況制定辦公網(wǎng)數(shù)據(jù)防泄漏場景解決方案、科研敏感數(shù)據(jù)泄露場景解決方案等，并制定相應的場景化的管控和防護策略。另一方面，采取“專家+流程+平臺”三者整合的運營模式，組建一個強大的數(shù)據(jù)安全生態(tài)系統(tǒng)，滿足法規(guī)和合規(guī)性要求的同時，確保數(shù)據(jù)的機密性、完整性和可用性[8]。

除此之外，高校需要建設由專業(yè)人員組成的數(shù)據(jù)安全團隊。該團隊需要對管理、運營、合規(guī)、技術等方面負責，保障數(shù)據(jù)安全的整體規(guī)劃實施落地。為提高數(shù)據(jù)安全法律意識，需要對團隊甚至全校師生持續(xù)開展針對性的專業(yè)培訓工作。通過以上建設，幫助高校實現(xiàn)數(shù)據(jù)可知、風險可視、安全可控、泄密可溯，讓數(shù)據(jù)的共享交換過程更安全。

結(jié)語

以“數(shù)據(jù)資產(chǎn)”為核心，將“訪問控制、事件監(jiān)測、風險分析、策略調(diào)整”閉環(huán)防護技術為主導思想的數(shù)據(jù)管理體系，堅持安全與發(fā)展并重，平衡數(shù)據(jù)安全與業(yè)務應用的關系，以全局數(shù)據(jù)流轉(zhuǎn)可見為基礎，以重點防護為原則，強化數(shù)據(jù)安全風險監(jiān)測能力，提高高校數(shù)據(jù)安全防護成效，實現(xiàn)數(shù)據(jù)可知、風險可視、安全可觀、泄密可溯的數(shù)據(jù)安全目標。同時，深度貫徹落實《數(shù)據(jù)安全法》，通過強化數(shù)據(jù)安全管理、技術、運營、人員能力，落實數(shù)據(jù)安全保護義務，明確各方數(shù)據(jù)安全責任，采取必要措施強化數(shù)據(jù)資源安全保障，建立健全的全流程數(shù)據(jù)安全管理制度，基于數(shù)據(jù)安全治理落實數(shù)據(jù)分級重點保護，面向業(yè)務場景建立數(shù)據(jù)安全建設體系，實現(xiàn)高校數(shù)據(jù)更安全。

參考文獻：

[1]西北工業(yè)大學發(fā)布聲明：我校電子郵件系統(tǒng)遭受境外網(wǎng)絡攻擊，已報警[EB/OL].（2022-06-22）[2024-05-05].https：//bj--bjd--com--cn--01057tkaa93fe.wsipv6.com/5b165687a010550e5ddc0e6a/contentShare/5b16573ae4b02a9fe2d558f9/AP62b2ee8de4b0c2cdf0a320fd.html.

[2]陳榮.數(shù)字化時代 高校探尋網(wǎng)絡安全新思路[J].中國教育網(wǎng)絡，2023（8）：9-13.

[3]教育部等七部門關于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知（教科信函〔2021〕20號）[A/OL].（2021-04-06）[2024-05-05].https：//nic.cczu.edu.cn/2022/0925/c1294a305140/page.htm.

[4]馮衛(wèi)華.網(wǎng)絡安全攻防演練在實際應用中的探索[J].電腦編程技巧與維護，2023（11）：162-165.

[5]邵美科.高校網(wǎng)絡安全漏洞治理探索[J].網(wǎng)絡安全技術與應用，2023（12）：84-85.

[6]胡康，郭金成，李健.數(shù)據(jù)分類分級標準化探索——以某研究院為例[J].中國信息化，2023（9）：54-56.

[7]黃欣.數(shù)字經(jīng)濟時代我國網(wǎng)絡安全保險發(fā)展研究[D].沈陽：遼寧大學，2023.

[8]姚曉斌.新時代企業(yè)網(wǎng)絡安全實戰(zhàn)攻防問題及防護策略研究[J].網(wǎng)絡安全技術與應用，2023（10）：109-110.

作者簡介：田果，碩士研究生，研究方向：網(wǎng)絡安全與信息化管理；王鑫露，碩士研究生，研究方向：網(wǎng)絡與系統(tǒng)安全、大數(shù)據(jù)、云計算。

基金項目：河南省重點研發(fā)與推廣專項（科技攻關）項目——面向內(nèi)容生產(chǎn)者移動的移動互聯(lián)網(wǎng)數(shù)據(jù)傳輸性能優(yōu)化關鍵技術研究（編號：212102210381）。