8月16日,“南昌网警巡查执法”官方公号披露了一起高校数据泄露事件。
根据通报,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。南昌公安网安部门即刻开展一案双查,抓获犯罪嫌疑人3名,并对涉案高校不履行数据安全保护义务违法行为开展执法检查。
经查,涉案高校在开展数据处理活动中:
-
未建立全流程数据安全管理制度
-
未采取技术措施保障数据安全
-
未履行数据安全保护义务
导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
南昌公安网安部门根据《数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
今年3月,株洲某软件学校网站存在短文件名泄露漏洞;网站系统中存在大量敏感信息,未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,株洲市公安局荷塘分局根据《数据安全法》给予该学校警告,并责令限期改正。
同年7月,国内知名高校毕业生马某,在读硕期间通过非法技术手段,盗取个人信息包含2014-2020级本硕博所有学生在内的个人信息,制作成颜值打分网站供任何人随意浏览,被海淀公安分局依法刑事拘留。
2020年,郑州某学校两万学生个人信息被泄露,以表格的形式在微信、QQ等社交平台上流传。新郑市公安局依据《网络安全法》对该校及负有领导责任的一名副校长和直接责任人进行行政处罚。
01
数据安全监管常态化
高校需“合规”而行
在《网络安全法》、《数据安全法》、《个人信息保护法》“三驾马车”相继落地,为数据安全管理和体系建设奠定法治基石的宏观背景之下,我国公安网信等监管部门也在不断加强数据安全相关执法力度和频度。
根据清华大学智能法治研究院6月17日发布报告显示,公开发布依据《数据安全法》作出行政处罚决定典型案例有34起,2021年数据安全领域的行政执法案例共4起、2022年案例共7起,而仅2023年1月至6月依据《数据安全法》作出行政处罚决定案例就达23起。
今年3月,浙江某科技有限公司涉数据安全违法,当地警方依据数据安全法处以100万罚款。
而此次南昌高校80万罚款,则成为2023年公开报道的几起数据安全处罚事件中,为数不多的高额罚款案例!
近年来,高校因数据安全防护不力,而导致大量数据泄露或被非法使用的情况屡屡发生,此前徐玉玉事件导致的悲剧,以及多起信息泄露事件,引发社会广泛关注。
数据安全相关的立法、执法行动正日益交织成了一张细密的大网,高校作为我国高层次人才培养与科学研究的重要基地,掌握着大量个人信息、科研数据,更需全面提升数据安全防护意识,层层压实责任,切实履行数据安全保护义务,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施保障数据安全。
02
进行数据安全合规建设
六个问题成主要挑战
目前大多数高校已完成信息管理系统和公共数据平台建设,并围绕教育数据的共享、挖掘和利用开展多维度的创新工作,但传统的信息安全建设无法覆盖现有的数据安全问题,新问题、新风险交织:
数字化转型造成数据敏感级别不断提升
多年信息化、数字化建设,目前高校数据海量增长。高校师生个人和家庭数据真实性强且不可逆性、数据量级不断增大;而重点实验室、科研项目等核心数据,财务数据、学生考评等数据,因其高敏感高价值,成为窃取/篡改重点目标。
数据安全管理制度体系不够完善
高校数据信息涉及部门众多,涉及较广,普遍存在链条较长,数据安全管理组织架构不健全,数据安全责任人不明确的普遍存在,导致数据安全管理制度缺失,数据安全操作流程和规范没有明确要求,数据安全考核和效果评价没标准。
工作人员缺乏数据安全意识
数据安全在高校传统认识中,仍是网络信息安全的一部分,对数据安全工作缺乏重点关注,对安全法律法规不了解,数据安全风险意识低下,数据风险防范能力不足,存在敏感数据随便私存和分发等问题。
数据安全精细化管控措施普遍缺位
高校的业务系统众多,安全归口管理部门不一,这导致敏感数据散落各处,数据访问角色复杂,系统漏洞百出;而由于大多高校未开展数据分类分级,不清晰数据流向,难摸清数据底账,导致无法差异化、精细化落实安全管控措施。
系统运维特权账号缺少管控措施
高校信息中心因人员不足的问题,会引入第三方或兼职学生进行响相关的运维工作,并赋予访问权限,这存在严重安全隐患;运维人员极易受黑市诱惑、好奇心驱动、人情请托等因素,利用便利条件达到窃取数据、篡改数据。
API数据共享安全风险难感知
高校业务系统数据抽取和交换,多是通过API接口进行数据读取,但由于缺少相应措施,对敏感数据流向和数据安全风险进行监控、管理和审计溯源,高校难以感知数据滥用、数据窃取等风险。
03
守好数据安全合规底线
制度、技术、运营是关键
针对高校数据安全现状和主要问题,如何做好数据安全建设?
美创科技认为需要从制度、技术和运营着手,以数据分类分级为起点,以管理制度为依据,在具体建设过程和环节中,充分利用和发挥好各种关键技术的作用,分段实施,体系规划,逐步构建覆盖数据全流程、全链路的数据安全防护技术体系,最后构建数据安全运营体系,实现数据安全的持续优化和提升。
分类分级是建设基础
《网络安全法》规定网络运营者应当采取数据分类、重要数据备份和加密等措施保护网络安全。《数据安全法》则进一步规定,根据数据在经济社会发展中的重要程度,对数据实行分类分级保护。
高校应结合法律法规、部门规章、行业标准(如:《教育部等七部门关于加强教育系统数据安全的通知》、《教育系统核心数据和重要数据识别认定工作指南(试行)的通知》等),制定数据分类分级标准,梳理出高校信息系统重要的数据目录,明确个人隐私和敏感数据保护范围,达到分类分级保护的效果。其中达到秘密级的数据应当遵循《保守国家秘密法》的规定。
▲ 点击上图,了解高校数据分类分级方法论与实战总结
管理制度是建设依据
《教育部等七部门关于加强教育系统数据安全的通知》中明确,应健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度。
对此,高校可从决策层、管理层、执行层、配合层、监督层5个层面进行组织建设,明确数据安全责任人;在制定数据安全管理与隐私保护相关办法中,明确数据收集、存储、处理、共享等关键环节的操作规范、管理部门职责分工、应急管理与安全检查机制,从而充分发挥各部门和各类人员在数据安全保障工作中的作用,共同遵守和执行安全规章制度,保障数据安全策略的贯彻落实。
数据安全需全链路建设
根据《数据安全法》的规定,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
因此,在数据安全建设中,高校需梳理数据应用重要业务场景,评估其数据安全现状,在数据分类分级的基础上,分段实施、体系规划、面向数据访问域、存储域、流动域,落实覆盖数据全链路的数据安全技术防护体系。
在数据存储域:对师生敏感数据或重要数据进行加密存储,防止黑客拖库、磁盘丢失、备份文件被盗等原因造成敏感信息泄漏;对重要哑终端、数据库服务器、应用服务器、文件服务器等重要系统部署勒索软件防范勒索攻击;同时借用数据灾备保障业务连续。
在数据访问域:通过数据库防水坝对运维人员的权限进行细粒度的操作权限控制,实现DBA权限分离控制、防止越权,实现DML/DDL操作指令控制,防止误操作;通过数据库防火墙防范黑客通过SQL注入漏洞和数据库漏洞进行网络攻击和数据窃取;采用DLP数据防泄漏系统对重要文件的处理、传输进行管控;通过数据库审计实现数据库访问的各类操作行为的监控和记录、审计溯源。
在数据流动域:通过静态脱敏、水印溯源、API监测与访问控制等能力,加强数据流动场景下的安全保障和风险监测,实现数据可控流动。
安全是一个不断变化的过程。为了应对变化,高校应对数据安全进行持续优化改进与运营,以看见驱动安全,从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力,实现资产全域可管、风险全域可视、策略全域联动,充分盘活整体数据安全防护能力,最终形成一体化的数据安全管理、安全监控和安全运营体系,实现数据安全统一运营。
