首页 > 传媒 > 关键词 > 数据安全最新资讯 > 正文

数据安全法之下,“三力五步”落地高校数据安全建设体系

2021-08-05 14:23 · 稿源:站长之家用户

    今年3月,教育部发布《关于加强新时代教育管理信息化工作的通知》,教育数据价值与日俱增,而数据安全威胁与挑战也日趋严重。今年6月10日,《数据安全法》表决通过,很好地填补了国内数据安全根本法律的空白,国家和行业监管层面对数据安全的保护要求愈发严格。美创科技针对高校数据安全尚存的诸多风险与日趋严格的合规要求,“三力五步”助力高校数据安全建设。

      一、高校亟待提升数据安全防护力

      我国高校信息化建设已历经40余年发展,但一直以来,数据安全在高校传统认识中,仍是网络信息安全的组成部分,绝大部分学校对数据安全工作缺乏重点关注,加之信息系统在建设初期缺少顶层的标准规范以及在数据安全方面考虑不足,导致当前高校数据安全能力普遍不高。

      无论是2016年徐玉玉案、2018年常州大学怀德学院大规模学生信息泄露案,还是2020年的郑州西亚斯学院近两万名学生信息遭泄露事件,我国高校数据安全事件屡见不鲜。

     2020年,全国人大常委会先后发布了《数据安全法(草案)》和《个人信息保护法(草案)》,今年6月10日,《数据安全法》表决通过,很好地填补了国内数据安全根本法律的空白,同时一系列地方法规和行业标准等相继出台也表明国家和行业监管层面对数据安全的保护要求日趋严格。

      目前,大多数高校已逐步意识到数据安全与个人隐私保护的重要性,并制定了相关的安全制度,采取了一定的技术防护手段,但这远远不足以消除现有隐患。日趋严格的合规要求下,高校数据安全尚存诸多风险:

     1数据资产不清

      高校数据资产数量众多,且散落在校园内各个信息系统中,摸清资产家底,进行数据分类分级成首要任务。但目前,高校缺少统一的分类分级标准,人才、技术、方法支撑不足,且高校在数据分类分级过程中 “先梳理现有数据,再结合人工方式进行分类分级”的思路,这种方式既不够全面,又效率低下、周期长,且主观性比较强。

     2数据管控手段弱

     由内部导致的数据泄露事件连年升高,不少高校仍靠流程、制度约定,缺少相应的技术手段进行管控。以第三方运维人员、研发人员、数据库管理员为例,由于过粗的管理颗粒度,这些特权用户可以通过超级账户直接访问核心敏感数据库,造成数据盗窃、职工贿赂和售卖信息倒卖、运维人员报复性/误删除操作事件,影响恶劣。

      数据管控手段弱

     3外部风险防护手段弱

      高校个人和科研信息价值不断疯长,也引起外部威胁的觊觎,近年来黑产猖獗,以窃取和篡改数据为目的的攻击日趋增加,攻击手段有系统漏洞、SQL注入、勒索病毒、采用社会工程学撞库等等,技术复杂性和攻击隐蔽性越来越高,防范难度越来越难。

     4数据共享难平衡

       随着越来越多高校建立统一数据共享交换平台/大数据平台,在数据采集阶段,是否存在过度收集?在数据交换共享阶段,数据面临不同角色、不同部门、不同单位的获取,是否存在转售、转卖行为?是否存在违规使用?在数据安全保护与开放获取的博弈中,这无疑是高校又一个迫切需要解决的新问题。

     5数据上云的泄露风险

      伴随着互联网+教育的进程的加速,特别是本次新冠疫情期间,大量在线教育模式的应用,越来越多高校也在探索教育上云,因此大量的教育数据正在往云端迁移,但上云意味更多风险的发生,数据以明文方式保存, 平台自身漏洞、以及云端数据被超级权限DBA 访问,都极易导致数据被窃取,防止云数据丢失和泄露以及对访问授权进行规范管理,高校需要采取更为有效的防御手段。

      二“三力五步”落地高校数据安全建设

      针对高校数据安全建设当前面临的问题难点,美创科技经过多年在数据安全治理的专注研究和探索实践,以“三力五步” 落地高校数据安全建设体系。

“三力五步” 落地高校数据安全建设体系

       三大数据安全能力

      美创科技在实践整个数据安全治理体系建设过程中,贯通数据安全咨询能力、数据安全架构能力、数据安全技战能力三类能力,从现状梳理、风险评估,再到数据安全架构与产品技术保障,美创提供一站式数据安全能力建设服务,帮助高校用户依据《中华人民共和国数据安全法》要求建立健全数据安全治理体系,提高数据安全保障能力。

     1、数据安全咨询能力:采用敏捷咨询规划和方案设计,帮助高校从组织、制度、技术、人员四个维度厘清数据安全现状、差距和风险,为数据安全建设奠定基础。

     2、数据安全架构能力:结合前期咨询所获结果,规划数据安全整体建设架构,制定符合组织战略的数据安全架构,同时根据实际情况制定短期、长期建设规划。

     3、数据安全技战能力:不仅涵盖数据全生命周期技术工具,还包含安全设计、制度建设、人员能力提升等,根据数据安全体系架构,有计划提升数据安全治理能力。

     五大建设实施步骤

     基于多年沉淀,美创科技从明现状、立组织、定制度、建标准、订规划五个方面帮助高校建立健全数据安全治理体系,助力高校具备保障持续安全状态的能力。

     1、现状梳理:

     基于组织现状完成其数据资产梳理、数据分类分级、基于现状完成数据安全风险评估,为数据安全建设提供奠定基础。

      厘清资产家底,进行分类分级:通过调研访谈、文件分析、工具探查,多维度了解数据资产,明确数据资产构成、特征、范围及流转情况。根据国家行业标准及组织实际情况,对数据进行分类定级。基于自研的暗数据发现和分类分级系统,实现数据扫描、识别、定位、解析、分析、分类,同时为用户生成完整、全面、直观的可视化发现报告(包括:数据分级分类报告、数据质量报告、数据资产报告等),让用户更快、更全地认识数据。

      安全风险评估,识别合规情况:美创科技从两大视角出发,按照风险分析的方法,分析组织内数据相关活动或数据资产所存在的安全风险,以生成数据资产的全面风险清单和风险预估、并基于评估结果给出风险处置建议的服务方案。

安全风险评估

     2 组织构建

      依据数据安全法要求,帮助高校用户建立健全数据安全团队组织,明确数据安全责任人及具体责任要求,包括部门职责与人员角色确定,以及动态协同机制。如:在了解部门信息,明确敏感信息组成、特征、范围及流转情况的基础上,建设完善的动态协同机制,明确数据访问人员、数据生产人员、数据维护人员等目标对象,对于数据资产使用角色进行规范限定。

组织合规框架示例

     3制度建设

      根据数据安全治理的内容,建立相应的流程,以及组织数据安全治理的制度规范,如规章制度、管控办法、奖惩机制、技术规范等制度建设,为数据安全管理和保障提供依据。

     目前数据安全教育已成为安全建设中不可或缺的内容,美创在深度研究国内外法律法规、政策标准、行业发文等基础上,形成矩阵式的数据安全教育培训内容,并根据组织具体情况提供针对性宣贯和培训,覆盖数据安全基础、安全意识、安全技术、安全事件、合规解读等多个方向。

     4、 标准制定

     数据安全法规定“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律。”美创科技参与多项国家、行业数据安全标准制定工作,可协助高校进行内部数据安全标准规范的制定

     5、 安全建设规划

     以业务需求为导向,设计数据安全规划路径,进行阶段性、体系化的安全建设,包括数据内控合规、数据全域可管、数据全局可视,整个防护体系,覆盖数据全生命周期管控、风险控制和资产保护,帮助组织建立数据安全能力。如:

      数据内控合规建设

      基于法律法规及数据分类分级结果,采用敏感数据发现、数据分级分类、数据动/静态脱敏、数据库日志审计、权限管控和数据资产保护、身份鉴别(人、终端、应用)、高危操作防护、访问控制、特权管理等产品技术手段,加强内部安全管控。

      数据全域可管

     基于现有网络安全和内控安全保障体系,防御外部和数据流动风险,采用入侵防护、漏洞防御、访问控制、误操作恢复、数据加密、溯源管理、数据加密等技术,通过数据安全管理平台整体实现数据全域管理。

     风险全局可视

     基于数据安全管理平台,对各类数据安全产品进行统一管理,从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力,实现资产全域可管、风险全域可视、策略全域联动,充分盘活用户整体数据安全防护能力,最终实现有序、快速响应的数据安全运营能力。

美创科技安全态势感知中心

      ——本文为成都市教育城域网2021年主任工作会美创科技资深数据安全顾问王彦翔分享《高校数据安全建设赋能—数据安全法之下的建设路径》演讲纪要。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务。

  • 相关推荐
  • 大家在看
  • 敬畏数据安全,华为云提供“3可”数据安全保护方案

    从昨天到今天,随着国家网信办对三个热门APP实施安全审查的消息传出,关于数据安全和数据隐私的话题一时之间占据了各大网站的热搜榜首,引起全民热议与关注。 而就在刚刚过去的 6 月,《中华人民共和国数据安全法》(以下简称数据安全法)也刚在十三届全国人大常委会第二十九次会议上审议通过,并将于 9 月 1 日起施行。 可见随着大数据时代的到来,数据安全已经成为了已经成为了举国关注的重要议题。 继承了华为 20 多年的安全积?

  • 数据安全与隐私保护战略峰会登场ISC 2021,共探数据安全新风向

    万物互联时代,数据安全问题已成为数字经济高质量持续发展的关键点和压舱石,加强数据安全与隐私保护是维护国家安全和国家竞争力的战略需要。为促进数据安全产业发展,7月28日,由大数据协同安全技术国家工程实验室、ISC互联网安全大会联合主办的数据安全与隐私保护战略峰会将在ISC2021上正式举办。该峰会汇聚专家院士、行业领袖、企业创始人,将共同就数据安全治理、风险与合规、隐私保护等热门议题进行探讨和分享,并进行法规政?

  • 数据安全”成为社会现实问题 金色算力发挥革新潜能

    在互联网技术背景下,各大媒体之中经常会出现一个被反复提及的词汇,那就是“数据安全”。为什么“数据安全”如此重要,需要政府机构、研发企业以及各大互联网公司投入如此海量的时间和精力?因为“数据安全”实际上涉及到民生领域,涉及到每一个人、每一个企业的切身利益。为何要如此表述呢?因为随着数字化技术、互联网技术,以及电商领域的逐步发展,每一个公民的银行卡、网络账户以及投资账户,都能够与手机绑定在一起。想要进行

  • 工信部:加强重要数据安全风险评估和出境管理

    2021年7月28日,工信部委托中国互联网协会组织召开重点互联网企业贯彻落实《数据安全法》座谈会。中国互联网协会、中国信息通信研究院及阿里、腾讯、美团、奇安信、小米、京东、微博、字节跳动、58同城、百度、拼多多、蚂蚁集团等12家企业近40人参会。

  • 星际大陆:云计算如何保证数据安全性?

    在文章《云计算是支撑大数据运行的“高速公路”》中我们已经了解了云计算与大数据之间密不可分的关系。随着现代网络技术、信息技术的快速发展,大数据、云计算已经渗透到各个行业。不过,在实践中,受各种因素的影响,用户在应用大数据、云计算的过程中,会出现不同程度的数据安全事故,从而带来了相应损失。在Web3. 0 时代,我们可以在分布式存储、分布式计算、智能合约等技术的支持下,全方面地保护数据安全。但是因为软件、产品

  • 隐私计算产业迎来发展,欧科云链徐明星守护数据安全

    最近,隐私计算成为热点话题,与大数据、物联网、5G等技术一起被认为是数据未来的发展方向。尤其是隐私计算与区块链的融合,被很多学术专家研究探讨。比如近日,由中国信通院、隐私计算联盟联合举办的 2021 隐私计算大会就在北京召开。大会还发布了《隐私计算与区块链技术融合研究报告(2021)》,强调两种技术的融合为数据要素市场化提供了一套完整、严密的解决方案,让数据流通、共享得到技术加持。事实上,隐私计算技术作为数据

  • 美创科技参与编制中国信通院《数据安全治理实践指南(1.0)》

    2021 年 7 月 14 日,在由中国信息通信研究院(以下简称“中国信通院”)举办的“ 2021 中国互联网大会—数据治理高峰论坛”上,《数据安全治理实践指南(1.0)》(以下简称“指南”)正式发布。指南由中国信息通信研究院牵头,联合北京天融信网络安全技术有限公司、OPPO广东移动通信有限公司、杭州美创科技有限公司、中国电信股份有限公司等在内的十余家单位共同起草编写。 作为指南编写单位之一,美创科技结合多年来在数据安全治

  • 阿里巴巴CEO张勇:公司内部正在进行数据安全合规自查

    在财报会议上,有分析师问到关于数据保护的问题,张勇表示,关于数据保护的问题,中国在6月份颁布了《数据安全法》,最近几个月也是公布了一些相关的指引。我们认为这些相关的立法,法规和政策非常重要,能够切实保护好数据安全和隐私,符合互联网行业长期健康发展的需要。我们高度重视做好数据保护,数据安全方面的工作,公司内部正在结合最新的法律法规和行政要求来进行合规的自查,以便加强合规方面的工作。

  • 讯飞输入法新升级:支持离线输入方式 加强用户数据安全

    【TechWeb】近日,讯飞输入法新版在全网上线,推出了一套离线输入方式,包括完全离线的拼音、语音以及手写输入,无疑能够更好地保护好用户数据安全。据了解,《信息安全技术移动互联网应用(App)收集个人信息基本规范》中规定,输入法类应用程序是为用户提供键盘、手写、语音等方式输入字符功能的服务,该服务类型必须遵循知情同意和最小必要原则,明确无须个人信息即可使用基本服务功能。基本规范的实施只是一场历史性变革的局部

  • 讯飞输入法新升级:力推离线输入方式,加强用户数据安全

    7月16日,讯飞输入法新版在小米应用商店首发上线,推出了一套离线输入方式,包括完全离线的拼音、语音以及手写输入,无疑能够更好地保护好用户数据安全。据了解,《信息安全技术移动互联网应用(App)收集个人信息基本规范》中规定,输入法类应用程序是为用户提供键盘、手写、语音等方式输入字符功能的服务,该服务类型必须遵循知情同意和最小必要原则,明确无须个人信息即可使用基本服务功能。基本规范的实施只是一场历史性变革的

  • 讯飞输入法新升级:力推离线输入方式 加强用户数据安全

    7 月 16 日,讯飞输入法新版在小米应用商店首发上线,推出了一套离线输入方式,包括完全离线的拼音、语音以及手写输入,无疑能够更好地保护好用户数据安全。据了解,《信息安全技术移动互联网应用(App)收集个人信息基本规范》中规定,输入法类应用程序是为用户提供键盘、手写、语音等方式输入字符功能的服务,该服务类型必须遵循知情同意和最小必要原则,明确无须个人信息即可使用基本服务功能。基本规范的实施只是一场历史性变?

  • 区块链基础设施建设助力数据安全共享 欧科云链“链上大师”为行业破冰

    近期以互联网出行平台为首的多款APP受到国家网络安全审查办公室的安全审查,引发全社会广泛关注。与以往针对反垄断、过度收集用户信息等的执法行动相比,此次审查公告开篇即提出“为防范国家数据安全风险,维护国家安全,保障公共利益”,足见国家层面对维护数据安全的高度关注和坚定决心。当然,数据作为生产要素,安全的意义绝不在于单纯隔离保护,更在于通过安全的流动共享,从而释放数据价值。要实现这一“鱼和熊掌兼得”的愿景,除了国?

  • 数据安全话题热度不减 360牵手信通院推个人信息保护权威报告

    近段时间以来,有关网络安全、个人信息保护的话题屡屡冲上热门,业内对于数据安全的重视度持续加码。在此之中,各类企业场景更是关注焦点。“企业在境内运营活动中收集的数据应存储在境内”、“企业对个人信息收集应遵循最小必要原则”、“企业收集信息应征得用户明示同意”……在 7 月 15 日召开的 2021 中国互联网大会“数字化治理论坛”中,三六零(股票代码:601360.SH,以下简称360)与中国信息通信研究院便联合披露了一份《?

  • 再斩殊荣!腾讯云数据安全中台获“2021企业数字化治理先锋实践案例”

    7 月 15 日,由中国信息通信研究院主办的“ 2021 中国互联网大会数字化治理论坛”在国家会议中心举办。大会公布了“ 2021 企业数字化治理先锋案例”奖项入围结果,腾讯云数据安全中台凭借领先的数据治理技术、完整的云数据安全治理解决方案以及丰富的行业落地案例成功入选。“ 2021 企业数字化治理先锋实践案例”评选是中国互联网协会信息技术(IT)风险治理工作委员会自去年成立以来首次针对企业数字化治理发展和应用展开的活动,是

  • 喜茶回应收购乐乐茶:深度了解对方业务数据后已完放弃

    日前,有报道称,元气森林和喜茶都欲收购新式茶饮品牌乐乐茶,并给出了40亿元估值。对此,喜茶创始人聂云宸回应称:“消息不实,此前经过中间人介绍的确有过一段时间接触,但在深度了解内部情况、业务数据和状况后已经彻底、完全、坚决放弃。”

  • 深圳数据条例正式公布 禁止APP不面授权就不让用

    今日,《深圳经济特区数据条例》正式公布,将于明年1月1日起实施。其中,《条例》规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。

  • 徐明星带领欧科云链为行业带来景式数据分析

    从区块链上获取数据作为大数据分析的补充是应有之义。尽管大数据的发展趋势使得对于大部分类型数据的精确性要求降低,但是对于某些追求正确性的重要数据,把不可篡改的区块链作为数据源就很有必要。金融市场本身存在的需求以及区块链行业的快速壮大发展,两者并行让链上数据服务作为基础设施显得越来越重要。作为在行业深耕多年的老牌企业,徐明星创办的欧科云链近两年也跟随宏观政策变化将区块链大数据作为一大主攻方向,推出更全

  • 鼎音大数据数据驱动决策

    基于巨大流量池,抖音正掀起一股二次创业潮。据抖音圈内人表示,日收入1W只是入门。然而,在抖音同时存在这一现象:超过95%以上的账号,粉丝数不足1W,而在1w—10w粉丝之间徘徊,迟迟不能突破的账号,又占据剩余5%的近半数之多。据鼎音大数据分析平台负责人表示,造成这一现象的主要有两大原因:一部分原因是,抖音运营者不懂数据分析,没有做好内容定位,盲目的模仿热点,无法输出值得粉丝肯定的内容;另一部分原因是抖音运营者凭

  • 国上半年离婚大数据:冷静期制度让离婚人数降了一半

    民政部发布的最新数据显示,今年上半年,全国离婚登记人数为96.6万对。需要说明的是,相比结婚登记,离婚有民政部门登记离婚和法院判决、调解离婚两种途径,这里统计的是民政部门登记离婚的数据,是离婚总人数的主体。据第一财经报道,去年上半年离婚人数是159.5万对,不过去年上半年受疫情因素影响,数据不具有可比性。因此以2020年全年数量的一半来计算,或者采用2019年上半年的数据,更具有可比性。其中,2020年全年离婚登记是3

  • 苹果更新数据库:iPhone 13系来了 还有其它惊喜新品!

    如果一切正常的话,那么苹果就要在下个月发布新一代iPhone了,大家是否很期待?据MacRumors报道称,苹果已经在近几日悄悄的更新了欧亚监管数据库,其中iPhone 13等新品已经浮出水面,比如还包含了新的Apple Watch 7等。汇总数据库的数据看,苹果新增了A2628、A2630、A2634、A2635、A2640、A2643和A2645等型号,对应的应该是iPhone 13、iPhone 13 mini、iPhone 13 Pro和iPhone 13 Pro Max,同时更新后都显示,这些机型运行了iOS 15?

  • 热门标签

热文

  • 3 天
  • 7天