随着我国数据安全法律体系的建立,各级网信办、教育主管部门开始加大教育系统数据安全检查的频度和力度。数据安全检查工作主要依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参考《网络安全标准实践指南——网络数据安全风险评估实施指引》(以下简称《指南》)等标准规范,重点检查数据安全管理、数据处理活动、数据安全技术等方面的工作。

01 数据安全检查的重点方向

一是数据安全管理。重点检查评估数据安全管理是否到位,包括数据安全制度体系、数据安全组织架构、数据资产管理、数据分类分级、合作外包管理、开发运维管理等制度落实情况,以及重大数据安全事件处置情况等。

二是数据处理活动。重点检查评估数据安全防护措施是否有效,包括数据边界防护安全、访问身份鉴别、访问权限控制、安全风险监测预警、数据对外接口管理、数据库安全审计等安全措施的有效性。

三是数据安全技术。重点检查评估数据处理活动是否合规,包括:数据来源是否合法合规,数据存储安全策略和操作规程是否完善,数据使用加工是否合法正当,数据传输链路是否安全可靠,数据对外提供和数据公开是否经过严格的安全评估和审批,数据出入境是否合规备案,数据删除是否及时彻底,等等。

四是个人(含未成年人)信息保护。重点检查评估个人信息保护要求是否落实,包括收集、使用个人信息是否遵循合法、诚信、正当、必要原则,处理个人信息前是否取得个人同意,是否采取个人信息加密、去标识化等安全技术措施,委托处理个人信息是否签署合同、约定并监督落实,是否按要求开展个人信息保护影响评估,是否建立个人信息投诉举报机制和个人信息安全应急预案,等等。

需要注意的是,个人信息保护包含未成年人个人信息保护,高校往往认为自己不涉及,然而安全检查的结果表明高校业务系统一般都管理有未满十八岁的未成年人信息,应该采取措施做好未成年人个人信息的保护。

02 数据安全现状与问题

近年来,教育系统接连发生多起数据安全事件,影响恶劣。对这些安全事件进行分析,主要存在这些安全漏洞:业务系统存在越权漏洞,管理账号存在弱口令,导致非法入侵,泄露师生信息;运维人员使用“废弃”测试账号,非法获取信息;植入木马,窃取数据;发布信息时未采取脱敏遮蔽处理。

通过安全检查或自我评估,以上安全隐患并不是只在少数高校存在,而是时有发生,所幸的是多数学校暂未导致安全事件出现。面对严峻的数据安全形势,高校可以对照《指南》组织自查,形成自查报告,同步开展整改工作。

总结最近几次参与省市级数据安全检查的情况,高校数据安全工作中突出的问题主要包括:存储个人敏感信息时未采用数据库加密技术,将个人敏感信息和其他一般信息分开存储;UI界面展示个人敏感信息时,未进行动态脱敏,存在信息泄露风险;未建立数据资产分级分类管理制度;未对测试数据采用去标识化处理;未对内部数据操作人员进行最小授权,使得其只能访问职责所需的最少够用的个人信息。

03 校园数据安全体系设计

数据安全检查一般从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面开展,还会选取学校重要的业务系统进行抽查,如统一身份认证、办事大厅、数据中台或共享交换平台、教务、研究生、学工、科研创新服务平台、国际交流、留学生管理、对校外开放的小程序等。

目前,高校数据安全工作普遍处于起步阶段,数据安全标准及规范尚不健全,缺乏统一管理,数据共享及交换缺少控制措施,加上很多高校在数据安全上缺少经费和专职人员,导致风险点多,需要整改的问题多。同时,由于高校各种业务系统建设周期不一,很多系统老旧、建设不规范、扩展性低,针对安全风险升级改造的难度大。

因此,高校数据安全问题的解决难以一步到位,分阶段逐步实施是务实的做法。当务之急是进行校园数据安全体系设计,打造出数据安全层,消除严重的安全隐患,行使必要的数据防护作用。以大数据中心应用场景为例,可以采用如图1所示的数据安全架构,保证数据中台的安全和数据规范使用。

图1 校园数据安全体系架构

图1中,红框标识的工作内容构成安全层,主要内容包括数据标准、分类分级以及管理制度的建立等数据安全管理工作,还包括数据库审计、数据加密和脱敏等数据安全技术的采用。其中,数据库审计、数据加密和脱敏属于“最小必要”的技术手段,需要增加投入。

■ 数据库审计

部署数据库审计系统,防范数据库系统重要数据丢失、被篡改等风险。数据库审计系统对数据安全起着重要作用:一是对数据库操作日志进行管理分析,并确保日志不可篡改;二是对于数据库操作进行全程监控和告警,同时提供事后现场还原和追溯的能力。

启用数据库审计,在解决数据安全隐患的同时,还能满足《网络安全等级保护2.0》和《中华人民共和国网络安全法》中对于数据访问控制以及安全审计的合规性要求。

■ 数据加密

目前,用于存储个人信息的数据库绝大多数仍然处于明文存储的状态,存在极大的安全隐患与合规性问题。采用数据库加密产品,对数据库中的敏感字段进行密文存储,仅对授权用户透明可见,从而有效防止数据库高权限账号泄露、黑客攻击、硬件丢失、维修等造成数据泄露。

■ 数据脱敏(静脱与动脱)

在数据交换共享的场景下,防范数据安全风险,采用数据脱敏技术对原始数据进行“去标识化”和“匿名化”处理。在满足业务可用性的前提下,实现数据的“最小共享”,从而保证安全性与合规性。

04 数据安全整改实施

当前,高校数据安全工作面临资金不足、人才短缺等困难,可以以“最小必要”的要求务实开展整改工作。在数据安全管理方面,除了健全数据安全制度外,重点要做好数据分类分级工作。在数据安全技术上,除了采购必要的脱敏、加密专用设备外,还可利用新建或业务系统升级改造的机会,对敏感数据的处理增加软件脱敏、加密等功能模块,有效防范安全风险。

数据分类分级实践

图1所示的校园数据安全体系中,数据分类分级工作需要先行启动,便于后续各个环节针对不同的安全级别采取不同的安全措施。数据分类分级依据即将正式实施的《数据安全技术数据分类分级规则》国家标准,根据数据的重要程度将数据从高到低分为核心数据、重要数据、一般数据三个级别。

当前,高校数据安全工作的困难之一是数据分类分级没有找到高效的方法。很多高校为了应对数据安全检查,采用纯手工方式对被抽查的数据源进行分类定级。一些数据安全厂商可以提供数据分类分级工具,但实际使用起来效果不好,原因在于前期建设的业务系统设计不规范、数据文档缺失、数据质量差,难以应用自动化的方法。

高校业务系统之间、数据服务接口之间具有一定的逻辑关联,这些个性化的关系通用的处理工具难以把握,值得自行研究相关算法进行关联性相似性分析、聚类分析,辅助数据的分类分级工作。

因此,现阶段适合高校的数据分类分级工作应该是将基于规则的人工处理、使用数据分类分级工具、适合学校的智能分析算法结合起来,进行应用导向的分类分级演进处理,提高数据分类分级工作的有效性(如图2所示)。

图2 数据分类分级方法

软件脱敏与加密设计

高校教务、学工、人事等核心信息系统中管理着与师生相关的各种类型数据,包括部分敏感及隐私数据。数据安全要求对定级为“重要”以上的数据项,共享展示时应进行脱敏,存储时应进行加密。为保障师生的隐私和公共安全,在上述业务系统升级改造时应同时对涉及师生敏感及隐私数据的相关功能进行脱敏和加密处理。具体可从以下几个方面展开。

1.UI界面信息脱敏设计

学校核心业务系统中,很多查询、浏览、统计功能往往将涉及师生隐私的信息明文显示,如教职工库、导师库、专家库、学生学籍库等信息的检索查询、浏览显示、汇总统计等。为防止教职工、学生的敏感隐私数据被非法获取或不当使用,当它们需要在UI界面里展示时,应该进行脱敏处理,以免敏感数据直接泄露。

2.脱敏展示及交互方式设计

对有关师生的敏感信息进行变形处理,使其在软件UI界面上展示时不会暴露真实的个人信息。为保持界面风格一致,可以将脱敏部分用“***”来表示,例如对于11位手机号,可以将第4~7位进行脱敏,统一显示为星号;对于身份证号码,可以将第7~14位进行脱敏显示;对于地址信息,可以将省市区街道后面的具体地址信息进行脱敏显示;等等。

3.脱敏管控设置

为保证系统的实用性和业务的完整性,在后台设置信息脱敏开关,控制是否开启信息脱敏,还可以进行脱敏规则的管理,针对不同的数据项定义各自的脱敏规则。

从实用角度出发,脱敏处理还应该支持合规、授权的原始信息查阅,系统应该提供查看脱敏内容的二次验证方式,即在相关UI界面上集成登录密码、手机验证、微信验证等验证方式,支持敏感数据的授权查阅。

4.日志管理及审计

安全改造后的系统,直接查看到的是脱敏后的信息。如需查看相关的详细信息,则要弹出显示框进行二级账号认证,此时需要保存浏览日志至数据库,后台同步设计日志管理及审计功能。

授权用户查看脱敏信息时,需要弹出框提示登录二级账号进行验证,并保存浏览日志至数据库。授权用户编辑、修改脱敏信息时,也需要二级账号验证,并保存修改日志至数据库。

5.数据加密存储

根据数据分类分级的情况,对于少数核心数据项,在系统数据采集界面设计数据加密功能,采用国产化密码算法对原始数据项进行加密运算,将密文存储在数据库中。在需要使用该核心数据的场景,通过权限验证后将密文存储读取出来,使用对应的解密算法对加密数据进行解密,并进行合规使用。

05 总结

高校数据安全工作的落实已极为迫切,文中介绍的校园数据安全体系是以数据中台应用场景为例进行设计,传统的业务数据库应用场景可以参照此架构中数据安全层的工作内容,在生产数据库与业务功能模块之间应用数据审计、脱敏、加密等数据安全技术。

为了做好数据安全工作,可以根据《指南》和《数据安全(个人信息保护)风险检查指标表》,梳理本单位信息系统资产,形成信息系统清单和重要数据资产清单、重要信息系统《数据安全检查业务系统评估调研表》,开展自查工作。在经费、人力紧张的情况下,也要尽早启动数据分类分级、审计、脱敏、加密等必要工作,消除安全隐患。

来源:《中国教育网络》2024年8月刊

作者:徐明、陈昊、陈锦繁、张聪(深圳大学信息中心)

声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。