保卫数据,当下和未来最重要的工作是什么? | 封面报道
网络信息安全建设的目的是让攻击者进不来,进来以后也拿不走数据,即使拿到数据还是看不懂,就算看懂了仍然不能篡改。
“三管齐下”做好数据安全
于俊清 华中科技大学网络与计算中心主任
学校最应该保障的安全数据是基础数据,应明确权威部门,按照“谁产生、谁负责”的原则进行维护,基础数据主要包括组织机构、人事、学生、财务、资产、教学、科研、网络、总务、后勤等管理和服务数据。
目前高校对于数据安全应该主要从人员、制度、基础数据库的建设和共享平台的建设三个方面入手,明确人员责任、规范数据的采集和共享流程、加强系统建设,按照“最少够用”的原则使用数据,避免数据的过度采集和使用。
未来,管好人、管好事、管好系统,“三管齐下”是做好数据安全管理的关键,而其中最重要的就是制度建设,多数学校对于数据的采集和使用缺少制度和规范的约束,有的学校缺少技术人员,有的学校即使不缺人,但职责不清,责任不到位。做好数据采集、使用、维护过程中的管理必须从制度、人员和系统三个维度进行规范管理。
教育行业的数据涉及的人员多,涉及科研成果和核心技术多,这两个方面应该成为学校关注的核心,我们做数据安全的底线是“核心数据拿不走,敏感数据看不见”。
个人数据泄露问题应首先重视
张巍 大连理工大学网络与信息化中心主任
在数据安全工作中,有几个问题是最值得我们关注:
第一,数据泄露问题:包括教职工基本信息、学生基本信息等,特别是新生的基本信息,涵盖的信息非常全,包括身份证号、家庭住址、父母信息、联系电话等等,而新生涉世不深,对网络诈骗防范意识不强,容易上当受骗;还有研究生考生信息,也涵盖了本人及家庭的主要信息,数据如果泄露风险也很大。
第二,数据管理问题:包括数据的随意导出,通过电子邮件、U盘传递等;数据管理不规范,对非相关人员进行数据管理授权和超范围授权;数据的使用不规范,不严格履行审批程序获得数据,对数据超范围使用等。
第三,业务系统安全问题:业务系统自身安全漏洞是导致数据泄露的主要原因,需从根源上加强业务系统的安全建设和安全检测。
第四,用户数据安全意识不强问题:包括个人密码保护、安全防范意识;工作中公布的各种名单不能包含身份证、联系方式、家庭住址等敏感信息等。
信息脱敏是新的安全需求
卞艺杰 河海大学网络与信息管理中心主任
大数据时代,数据安全除了相对传统的数据存储安全、传输安全、应用安全以外,又出现了新的特点,如通过关联分析,可以挖掘出更多敏感信息,所以信息的脱敏发布成为一个新的安全需求。
此外,我们需要注意,由于高校的社会影响大,学校部门很多,建设的网站多,使用的技术多样,管理人员、开发人员多而杂,各种隐患难以杜绝,安全压力非常突出。
我们要重点保障的首先是学生的个人信息,包括学籍、学习成绩数据等极敏感的数据,分数的差错会影响各种荣誉的评审、各种资源的分配、毕业等涉及学生的切身利益,所以应慎重对待重点防护。其次是人事信息等教师个人信息,泄密或篡改都会造成严重的后果。
云安全又是另外一个热点,大数据时代,师生对大数据存储有越来越迫切的需求,由于经费、人员等资源的限制,学校提供私有云服务可能很难满足师生的需求。所以我们提出建设混合云的方案。学校的各种核心业务信息,不管是结构化的还是非结构化的信息都会放在私有云上,但是公开对外、对互联网开放的信息,如博硕士学位论文(非涉密)、学习系统的过程信息等都可以放到公有云上。
要建立立体、动态的数据防御体系
姜开达 上海交通大学网络信息中心安全负责人
高校网络安全工作的重要目标就是保障学校的信息系统资产安全,而数据正是学校的核心无形资产。
安全漏洞层出不穷,黑客攻击手段日新月异,面对网络空间持续增长的安全威胁,传统的防御手段在攻防对抗中始终处于被动的局面。高校需要全面系统地梳理对各种资产可能造成损害的威胁,并持续在各方面加强投入和付出成本,进而降低所面临的风险。
网络信息安全建设的目的是让攻击者进不来,进来以后也拿不走数据,即使拿到数据还是看不懂,就算看懂了仍然不能篡改。
传统Web安全之外,数据泄露防护(DLP)、数据库安全审计、数据库防火墙、数据库加密和脱敏、大数据安全分析平台也都进入了高校的视野。一个立体的、动态的数据安全防御体系需要多方面互相配合,不仅需要各类互补的安全产品,还需要一支可以支持常态化数据安全运维的团队,来保障完整的各项安全制度和定义的各类数据安全策略能够得到规范执行,及时发现和处置各种异常和隐患,把安全事故苗头扼杀在萌芽状态。
做好大数据安全防控规划
辛良 中国矿业大学财务资产部仪器设备管理办公室主任
数据安全是高校信息化建设的“生命线”。大数据时代,数据在存储、云计算、搜索、共享、访问等过程中存在一系列的安全问题。一旦发生数据泄露,用户的隐私将处于一种“裸奔”状态,无法控制。
面对数据泄露,各高校都应把工作做到前面,做好大数据安全防控战略规划,建立起完善的信息安全监测体制,尽早发现和处理各类漏洞;同时建立起事故应急预案,一旦发生问题,能够尽快及早处理,从源头上尽可能地消除泄露隐患。
在数据安全技术防控工作中,高校应对数据泄露不能仅从一个层面进行应对,必须从校园网的设施层、数据层、接口层和系统层等多个层面构建起有效的立体安全防护体系。
设施层的防护主要是针对底层的终端、服务器等硬件设施安全防护;数据层主要是针对数据处理过程中获取、篡改、混乱等问题,通过在采集、存储、挖掘等过程中加密,做好隐私保护;接口层主要是应对数据在不同角色间调用过程中面临的非法入侵、未授权访问、Dos攻击等问题,采用验证识别、实时监控、数据加密等技术加以防范;系统层主要应对系统运行过程中面临的APT攻击,远程操控等网络问题,可采用安全监测,APT攻击防御等技术。必须通过规划、投入、人员、管理、技术等多管齐下,才能够有效地防止和解决大数据时代的数据安全问题。
【回顾】把数据关进制度笼子
本文刊载于《中国教育网络》杂志2017年9月刊