盛世集团

提交需求
*
*

*
*
*
立即提交
点击”立即提交” ,表明我理解并同意 《盛世集团科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于盛世集团
    申请试用
      从“毕业生盗取学生信息”事件 ,看高校数据安全的六个问题、三个关键
      发布时间:2023-07-04 阅读次数: 1926 次

      这两天 ,一则#盗学生信息人大毕业生被刑拘#新闻冲上热搜 ,引发热议。

      中国人民大学毕业生马某 ,在读硕士研究生期间通过非法技术手段 ,盗取了近几届学生的个人信息 ,并制作成网页供任何人随意浏览 ,甚至能够给该校女学生的颜值打分。

      盛世集团·(中国大陆)官方网站

      *据网上爆料 ,这个名叫“RUC IR FACE”的颜值打分网站疑似包含了该校从2014级到2022级学生的个人资料 ,甚至可以从身高、星座、籍贯、所在学院等多个维度进行精确筛选 ,估计波及超过5万名学生。



      网络不是法外之地 ,目前 ,中国人民大学已第一时间联系警方 ,该毕业生被依法刑事拘留 ,案件正在进一步调查中。


      从盐城7万余条学生信息被售卖获利 ,到学习通1.7亿条用户数据被泄露 ,再到今天毕业生窃取全校学生信息公之网络·····


      近年来 ,在高校频频上演的隐私数据泄漏风波 ,也揭示了目前高校数据管理水平不足、数据安全防范能力不够、数据泄露风险隐患突出的现实短板 ,弥补差距 ,强化能力 ,需成为每个高校重点关注的工作。


      01

      高校数据安全

      应重点关注六个问题


      《数据安全法》、《个人信息;しā返仁莅踩煞ü娴陌洳己褪凳 ,高校对数据安全;すぷ髦鸩街厥。但整体来看 ,高校数据安全能力还在起步阶段 ,伴随数字化的深入开展 ,威胁手段的持续升级 ,新问题、新风险交织 ,高校数据安全这六个问题需要重点关注:


       1、数字化转型造成数据敏感级别不断提升  

      • 高校师生个人和家庭数据真实性强且不可逆性、数据量级不断增大 ,数据一量泄漏可能造成巨大影响;


      • 重点实验室、科研项目等核心数据 ,财务数据、学生考评等数据 ,是窃取/篡改重点目标。

      2、数据安全管理制度体系不够完善 

      • 高校管理链条较长 ,数据安全管理组织架构不健全 ,数据安全责任人不明确 ,信息中心有心无力 ,业务部门无的放矢 ,数据安全工作推进困难;


      • 数据安全管理制度缺失 ,数据安全操作流程和规范没有明确要求 ,数据安全考核和效果评价没标准。

      3、工作人员缺乏数据安全意识 

      • 安全法律法规不了解 ,数据安全风险意识低下 ,数据风险防范能力不足 ,敏感数据随便私存和分发;


      • 难以均衡安全与便利性矛盾 ,对数据安全管控方案不理解、不支持 ,安全管控措施难有效推进。


      4、数据安全精细化管控措施普遍缺位 

      • 业务系统众多 ,安全归口管理部门不一 ,敏感数据散落各处 ,安全防护力度不足 ,数据风险敞口大;

      • 数据访问权限难梳理 ,数据流向不清晰 ,未开展数据分类分级 ,未落实差异化、精细化安全管控措施。

      5、系统运维特权账号缺少管控措施 

      • 信息中心数据安全能力不足 ,过度依赖于第三方或兼职学生 ,并赋予特权账号 ,存在严重安全隐患;

      • 运维人员受黑市诱惑、好奇心驱动、人情请托等因素 ,利用工作便利条件达到窃取数据、篡改数据。

      6、API数据共享安全风险难感知 

      • 业务系统数据抽取和交换 ,多是通过API接口进行数据读取 ,未对敏感数据流向和数据安全风险进行监控和管理 ,难以感知数据滥用、数据窃取等风险;


      • 缺少安全审计手段 ,无法对数据使用情况进行审查。

      02

      高校数据安全

      需牢牢把握三个关键


      针对高校数据安全现状和主要问题 ,如何做好数据安全建设?盛世集团科技认为需要技术和管理双管齐下 ,以数据分类分级为起点 ,以管理制度为依据 ,在具体建设过程和环节中 ,充分利用和发挥好各种关键技术的作用 ,分段实施 ,体系规划 ,逐步构建覆盖数据全流程、全链路的数据安全防护技术体系 ,最后构建数据安全运营体系 ,实现数据安全的持续优化和提升。


       分类分级是建设基础 


      经过多年信息化建设 ,高校已积累了规模庞大的数据资产 ,且涉及的信息量及群体规模十分复杂 ,数据资产有哪些?怎么分布?有哪些类型?借助技术手段摸清资产家底 ,进行数据分类分级成为数据安全建设的首要任务。


      盛世集团·(中国大陆)官方网站▲ 点击上图 ,了解高校数据分类分级方法论与实战总结



      高校应结合法律法规、部门规章、行业标准(如:《教育部等七部门关于加强教育系统数据安全的通知》、《教育系统核心数据和重要数据识别认定工作指南(试行)的通知》等) ,制定数据分类分级标准 ,梳理出高校信息系统重要的数据目录 ,明确个人隐私和敏感数据;し段。


       管理制度是建设依据 


      《教育部等七部门关于加强教育系统数据安全的通知》中明确 ,应健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度。


      对此 ,高校在制定数据安全管理与隐私;は喙匕旆ㄖ ,需明确数据收集、存储、处理、共享等关键环节的操作规范、管理部门职责分工、应急管理与安全检查机制 ,充分发挥各部门和各类人员在数据安全保障工作中的作用 ,共同遵守和执行安全规章制度 ,保障数据安全策略的贯彻落实。


       数据安全需全链路建设 


      数据在流动中创造价值 ,对数据的;ぞ褪嵌粤鞫痰氖萑绰贩旨侗;。在数据安全建设中 ,高校需梳理数据应用重要业务场景 ,评估其数据安全现状 ,在数据分类分级的基础上 ,分段实施、体系规划、面向数据访问域、存储域、流动域 ,落实覆盖数据全链路的数据安全技术防护体系。


      盛世集团·(中国大陆)官方网站


      在数据存储域:对师生敏感数据或重要数据进行加密存储 ,防止黑客拖库、磁盘丢失、备份文件被盗等原因造成敏感信息泄漏;对重要哑终端、数据库服务器、应用服务器、文件服务器等重要系统部署勒索软件防范勒索攻击;同时借用数据灾备保障业务连续。


      在数据访问域:通过数据库防水坝对运维人员的权限进行细粒度的操作权限控制 ,实现DBA权限分离控制、防止越权 ,实现DML/DDL操作指令控制 ,防止误操作;通过数据库防火墙防范黑客通过SQL注入漏洞和数据库漏洞进行网络攻击和数据窃;采用DLP数据防泄漏系统对重要文件的处理、传输进行管控;通过数据库审计实现数据库访问的各类操作行为的监控和记录、审计溯源。


      在数据流动域:通过静态脱敏、水印溯源、API监测与访问控制等能力 ,加强数据流动场景下的安全保障和风险监测 ,实现数据可控流动。


      安全是一个不断变化的过程。为了应对变化 ,高校应对数据安全进行持续优化改进与运营 ,以看见驱动安全 ,从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力 ,实现资产全域可管、风险全域可视、策略全域联动 ,充分盘活整体数据安全防护能力 ,最终形成一体化的数据安全管理、安全监控和安全运营体系 ,实现数据安全统一运营。


      盛世集团·(中国大陆)官方网站



      在数字化转型的持续推动下 ,越来越多的高校以数据为驱动力 ,利用新一代信息技术提升教育管理数字化、网络化、智能化水平的建设。数据驱动教育高质量创新发展 ,守好数据安全防线更是关键!


      盛世集团科技基于多年数据安全实践经验 ,结合《数据安全法》和《个人信息;しā返确煞ü娴囊蠛透咝J导实氖莅踩缦粘【 ,为高校数据安全建设提供全方位的产品、服务、解决方案 ,让高校数据使用变得更加合规、安全。


      盛世集团·(中国大陆)官方网站

      上一条:盛世集团科技全面入选数据安全产业图谱 ,两大产品获重点推荐!
      下一条:数据安全服务 ,为“数字国贸” 筑牢安全防线
      盛世集团·(中国大陆)官方网站 免费试用
      盛世集团·(中国大陆)官方网站 服务热线
      盛世集团·(中国大陆)官方网站

      马上咨询

      400-811-3777

      盛世集团·(中国大陆)官方网站 回到顶部
      【网站地图】