案例分享丨数据安全保护从数据分级做起
数据是学校的核心资产和战略资源,保障数据安全已成为网络安全工作中的普遍共识和现实需求。
然而在高校的传统认识中,数据安全只是网络信息安全的一个组成部分,而网络信息安全又只是信息化建设的一个组成部分,信息化建设是为学校的教学和科研提供支撑服务的,并非学校的核心业务。
因此,绝大部分学校并未对数据安全工作予以重点关注,加上信息系统在建设初期缺少顶层的标准规范以及在安全方面考虑不足,导致当前高校数据安全能力普遍不高。
把握契机推进标准出台
2020年,全国人大常委会先后发布了《数据安全法(草案)》和《个人信息保护法(草案)》,这两项法案的出台表明国家层面有了明确的数据安全要求。
根据法律专家的意见,《数据安全法》的国家法律定位是在《国家安全法》之下、《网络安全法》之上,数据安全一旦出现问题追责是无限责任,因此高校要高度重视数据安全工作。
目前,高校在这方面的工作重点集中在规范数据管理、提高数据安全防护能力、防范数据安全风险等三个方面。
其中,规范数据管理是指制定一套全校关于业务系统数据安全方面的标准,进一步完善相关的数据安全管理制度;
提高数据安全防护能力是指增加数据库安全防护系统和设备,采取重要数据加密等措施保证储存安全和传输安全;
防范数据安全风险是指做好重要核心数据的容灾备份,防止涉及全校师生的关键敏感数据泄露、篡改、损毁、丢失和非法使用等情况。
数据安全工作面临的困难主要是缺失管理制度、缺乏安全设备及缺少运营人员等。
管理制度上需要出台全校性的数据安全建设标准与指引;
安全设备上需要增加数据存储、数据安全防护审计、数据加密、数据脱敏等专业设备;
运营人员上需要补充数据安全专职专岗人员。
此外,如何加强信息系统承建方等外包人员的管理,落实数据泄密的追责机制等,也是数据安全工作中亟待解决的问题。
以上所有问题的解决,当务之急是要引起学校各个层面对数据安全的重视。
我们希望能充分利用此次《数据安全法(草案)》、《个人信息保护法(草案)》出台的机遇,在学校进行大力宣传并积极与领导层面沟通交流,根据国家、省市、行业的数据安全相关文件精神,结合学校自身情况制定适合本校的数据安全管理制度,并向学校积极争取资源,将数据安全作为下一步信息化工作重点予以高度关注。
在行业层面,构建覆盖数据全生命周期的安全管理体系时,建立统一的数据分级分类体系是关键,而这也是教育行业数据安全保护面临一大问题。
虽然教育部2018年出台的《教育部机关及直属事业单位教育数据管理办法》中,已对一些数据安全相关标准进行了相关规定,但我们更希望在此基础上,教育管理部门能够尽快规范教育数据安全分级分类程序,提升高校数据安全分级分类的可实施性和可操作性,为各高校数据安全管理工作提供指导,形成从上到下的管理体系,从而有效地避免学校制定的管理制度与上级规范不一致的情况出现。
多措并举守护数据安全
目前在管理制度层面,深圳大学信息中心出台了相关的数据安全保护制度,即《深圳大学数据共享管理办法》和《数据库运维服务管理规范》。
前者对包括学生成绩、老师工资等隐私数据和个人敏感数据的来源记录、使用流程、监督管理办法等进行规定,后者对学校建立的统一数据库在运行维护过程中要遵守的规则和保密要求等进行规定。
深圳大学
在此基础上,信息中心正在酝酿学校的数据安全规范,即从数据的创立到存储使用,再到最后的销毁,整个生命周期均可遵循的一套标准,进一步制定校级层面的《数据安全管理办法》,通过管理办法明确公共数据的数据权归学校所有,建立数据中心实现全校公共数据的统一存储、汇聚、共享、开放、安全监督等。
在安全设备层面,通过十三五“三校互动教学智慧信息系统”信息化建设项目,补充了一批数据安全防护设备及系统,如数据库防火墙、数据库审计设备、双活存储、容灾备份系统扩充数据存储空间等。
并准备在“十四五”信息化建设项目中,进一步补充数据安全网关、数据脱敏系统、数据加密、数据安全交换、数据安全管理平台等,进一步保障数据安全。
在运营人员层面,之前深圳大学是系统管理人员兼管数据安全,但随着数据的爆发式增长,相关人员存在专业与精力的局限,准备2021年增加和充实数据安全管理队伍建设,设立数据安全专门岗位进行全面的数据安全管理。
然而,在这方面,学校信息化部门既面临内部的编制限制,也面临外部公司的待遇竞争,需要长期的投入。
此外,为了避免数据权属不清的情况,落实数据安全责任制,明确数据安全归口管理职责,深圳大学制定了提供者—管理者—使用者三方权责制度。
由信息中心负责统筹数据安全管理工作,制定数据安全相关工作规则和管理流程,部署数据安全技术防护措施,并对数据安全评估和检查。
数据源(提供者)保障业务系统的数据质量责任,负责及时维护和更新数据,保证业务数据的真实性、准确性、完整性、时效性和可用性,并协助信息中心实施数据安全工作。
信息中心按最小化和必要性原则对数据使用进行授权,并做好被授权主体的监督管理,而使用部门则加强共享数据使用全过程管理。
聚力攻坚克服两大难点
在进行数据安全防护建设过程中,我们发现数据分级分类和容灾备份快速恢复是数据安全工作的两项关键环节,其中分级分类是防护体系的重要基础,而容灾备份则是体系连续运行的强健保障。
1.分级分类
数据分级分类是建立数据全生命周期安全防护体系的重要基础,也是数据安全治理的核心任务之一。
数据分级保护与分类保护两者相辅相成,数据分类把具有共同属性的数据归并在一起,数据分级根据数据所具有的后果性标准构建技术保护体系,最后通过数据类别将其纳入对应的数据分级体系。
在分级分类的基础上,针对性地制定数据防护要求,设置不同的访问权限、对重要数据进行加密存储和传输、敏感数据进行脱敏处理、重要操作进行审计记录和分析等,才能形成有效的数据安全防护体系。
深圳大学信息中心
前期,深圳大学信息中心参考《教育部机关及直属事业单位教育数据管理办法》、《信息安全技术数据安全能力成熟度模型》、《深圳经济特区数据条例(征求意见稿)》等文件,已开始在部门内部制定《数据安全标准(草案)》,依据数据属性进行数据分类方面的工作,并根据数据安全影响程度确定数据安全级别,将数据从高到低分为最高级别数据、重要敏感数据、内部办公常用数据、可公开数据等不同安全级别,在此基础上计划出台《数据安全管理办法》,进一步提高数据安全防护能力。
我们的经验是,高校进行数据分级分类时,除了根据数据来源、用途、内容、价值、范围等,还需结合学校实际情况与合规需求,遵循科学性、稳定性、实用性和扩展性原则,建立高校自身的数据分类分级方法,先根据数据属性按重要程度进行分类,在此基础上根据数据安全的影响程度进行分级。
在这方面,其实可以参考金融行业等数据安全方面的先行者,它们已经探索出了一整套的分级分类办法。另外,部分网络安全公司已经储备了数据分级分类技术,包括相关平台工具,甚至有的已经有落地的案例了,尽管整体上可能还不太成熟,但与这些企业合作显然可以更快地找到适合的解决方案。
2.容灾备份
数据安全问题中最严重的是数据的丢失和篡改,容灾备份是解决该问题最有效的方案,能够在灾难来临时,实现关键数据的快速恢复,保证信息系统的正常运行及数据的一致性,帮助学校实现业务连续性。
容灾备份就其对象来说,包括操作系统、应用和数据,方式有本地、异地以及云端等。系统、应用容灾是在数据容灾的基础上,建立一套完整的与本地生产系统相当的备份系统及应用,不仅需要一份可用的数据复制,还需要网络、主机、应用等资源之间的良好协调,采用的技术主要有负载均衡、集群技术、热备份等。
深圳大学现有粤海、沧海、丽湖三大数据中心,各建有独立的云平台,在此基础上通过统一云管平台对三校区云平台进行统一管理,各数据中心通过FCSAN或IPSAN构建存储资源池。
其中粤海和沧海校区实现存储层双活,可以保证云平台上的业务系统的存储始终在线,通过配置SAN快照功能,当出现误删除等操作引起数据逻辑错误时,数据可回滚到上一个快照时间点。同时在粤海校区数据中心部署了一套分布式多节点NAS(Network Attached Storage)存储系统,实现关键数据的在线备份。NAS具有成本低、效率高,具有良好的可扩展性,并有效保护资源数据的安全。
基于混合云模式共建数据中心
此外,我们还计划与运营商基于混合云模式共建数据中心(如上图所示),就是租用运营商的部分机房,通过光纤直联的方式把学校的数据中心与运营商数据中心互联。
这么做的好处,一是解决了场地的限制,数据中心的场地一般需要在建楼时就已规划好,后续有增量需求时会有困难。但如果租用运营商机房,则不受局限。
二是省去了部分运维成本,尤其是人力成本。国内高校网信部门的人员数量普遍比较紧缺,人力成本的节约尤为重要。
在享受以上便利的同时,从长远来看自建备份数据中心和联合共建总体成本差别并不大,因此可以选择尝试联合共建模式。
“十四五”全面提升防护能力
网络安全工作有个特点,就是它处于隐蔽战场,不出问题时在信息化工作中是看不见、摸不着的。近年来我们一直将网络安全可视化作为日常网络安全工作的管理要求。
但网络安全工作的重心在不同阶段有所侧重:
前些年是以网站安全与等保合规为核心,近些年转向以云平台安全与终端安全为核心,“十四五”期间将转向以数据安全为核心,通过对数据分类分级,从数据采集、传输、存储、处理、交换、销毁的全生命周期角度开展数据安全治理,在符合网络安全管理要求与网络安全合规建设前提下,构建动态自适应网络安全防护体系。
一个具体的例子是,校内某部门出于管理需要,在学生宿舍门禁系统上使用了人脸识别技术,建立了一个人脸识别数据库,但我们的安全团队很快就发现有漏洞,暂时停用了该系统。
因此我们在“十四五”期间,计划建立一个统一规划、统一建设的、全校性的人脸识别数据库,将接口提供给校内有需要的部门,由信息中心来保障数据安全。
这就要求我们开展数据安全顶层设计,将数据安全内化于网络及信息系统建设中,实现同步规划、同步建设、同步运行,从组织建设、制度流程、技术工具、人员能力四个维度,全面提升数据安全能力,最终构建可持续运营的数据安全防护体系。
*本文所提数据均指非涉密数据,涉密数据管理按涉密有关规定进行
作者:江魁(深圳大学信息中心)