面向“網絡攻防”的高校數據安全管理體系研究

田果 王鑫露

摘要：近年來，高校數據泄露事件頻發，如何加強高校數據安全已迫在眉睫。高校也試圖從“網絡攻防”視角，查找網絡、系統、應用潛在的安全風險和缺陷，提高學校應對安全威脅的能力。本文著眼于攻防演練過程中發現高校在數據安全方面存在的問題，提出以“數據資產”為核心的數據安全管理體系，該體系根據場景化需求，實現讓數據安全能看清、能管好、能防住。各高校可以結合實際需求急用先行，強化數據安全技術保障能力，確保數據使用變得更加合規、安全。

關鍵詞：網絡攻防；數據安全；數據安全管理體系

1. 高校數據安全的現狀

2022年6月，西北工業大學發布《公開聲明》稱，該校電子郵件系統遭受境外網絡攻擊，被竊取了超過140GB的高價值數據[1]。2023年7月，網友在社交平臺爆料，北京某高校一個畢業生在讀研期間盜取全校學生的個人信息，包括照片、姓名、學號等，并搭建了顏值打分網站，還在個人社交賬號上公開此事。8月，南昌某高校3萬余條師生個人信息數據在境外互聯網上被公開售賣[2]。

面對嚴峻的數據安全風險狀況，十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數據安全法》（簡稱《數據安全法》），標志著數據安全上升到國家安全層面。《數據安全法》規定國家建立數據分類分級保護制度，對數據實行分類分級保護，這為我國數據安全提供了基礎性法律保障。同時，教育行業的合規要求也持續加碼。教育部等七部門面向全國教育系統下發《關于加強教育系統數據安全工作的通知》[3]，明確提出“要建立教育系統數據安全責任體系和數據分類分級制度，形成教育系統數據資源目錄。健全覆蓋數據收集、傳輸存儲、使用處理、開放共享等全生命周期的數據安全保障制度，開展常態化的數據安全監測預警通報”等工作目標。國家相繼出臺一系列教育數據安全保護的政策法規，為教育行業數據安全治理提供了重要的指導和參考。

在數據安全合規要求不斷升級的大背景下，教育行業又該如何深化數據安全防護能力建設，構建數據安全管理體系？以國家法律法規為指導思想，從保護重要數據資產的視角出發，優化完善現有的安全防御體系，從“網絡攻防”切換到“保護重要數據資產”，深挖高校數據安全的風險源，找出高校數據安全事件的風險源，建設由數據安全管理隊伍、軟硬件技術支持、政策法規標準、風險預警監測、宣傳教育培訓等全方位防護，時間可持續、空間無盲區、領域全覆蓋、技術前沿化、流程無梗阻、治理全員化、機制全過程的預警應急一體化的數據安全防護體系已是必然趨勢。

2. 從“網絡攻防”視角深挖高校數據安全的風險源

近年來，高校也試圖通過攻防演練進行攻擊測試和安全演練，查找網絡、系統、應用潛在的安全風險和缺陷，并提高學校應對安全威脅的能力[4]。通過攻防演練發現高校存在以下問題：（1）弱口令、重復口令是教育單位的普遍情況；（2）開發過程不規范、代碼未經測試上線、API接口不設防等原因導致的應用系統安全漏洞是教育單位用戶丟分重點；（3）互聯網安全防護到位但內網安全防護形同虛設，攻擊人員通過VPN可隨意漫游，導致高校用戶一點破全盤皆失；（4）攻擊類、防守類、組織類安全人才匱乏，出現問題之后的應急響應處置能力亟須增強；（5）安全意識薄弱，雖然近年來高校用戶防釣魚意識逐漸增強，但在個人隱私保護和防信息泄露方面仍然處于空白階段；（6）第三方軟件廠商運維人員、相關應用開發廠商等一系列供應鏈帶來的風險逐漸成為教育單位新的風險爆發點。

通過這些“點的表象”，高校數據安全“面的問題”也浮現出來，總結如下：（1）缺少整體設計。目前，高校的安全建設多是圍繞網絡安全，數據安全建設往往僅開展合規要求部分，離實際需求相去甚遠[5]；（2）缺少數據安全的整體摸底。數據流轉復雜、業務不斷迭代、數據資源不斷擴大，運維管理、業務調用面臨巨大壓力，導致安全完全讓步于業務，與數據相關的使用流程通常很少考慮安全[6]；（3）缺少技術手段堵口。敏感數據在哪里？誰在用？有哪些風險？哪些業務涉敏？數據都流向了哪里？通常是一筆糊涂賬；（4）缺少賬號管控。賬號管理不嚴格，尤其缺少對特權賬號的梳理和有效管控；（5）審計覆蓋不全。誰在用數據？在什么時間？什么環境？通過什么方式？使用哪些數據？（6）缺少風險發現手段。風險發現機制仍是網絡安全思路，以發現漏洞、惡意流量為主，而對數據的泄露渾然不覺[7]。

3. 建設以“數據資產”為核心的數據安全管理體系

針對攻防演練發現的高校數據安全的風險源，提出以“數據資產”為核心，以“訪問控制、事件監測、風險分析、策略調整”閉環防護技術為主導思想的管理體系。該體系建設根據場景化需求，實現讓數據安全能看清、能管好、能防住。各高校結合實際需求急用先行，確保安全合規不踩線。

基礎防護手段跟不上，數據安全保護猶如空中樓閣。那么，高校數據安全首要任務是“先理后治，補短固底”，其中，“補短板”是高校數據安全的當務之急。

先理后治，梳理業務，識別重要資產。這需要“盤好家底”，梳理業務系統，識別數據資產，明確重點保護目標，找出關鍵的業務數據場景，梳理業務訪問關系、梳理安全現狀。比如，高校根據數據訪問的主、客體不同，將活動場景分為內部人員辦公、數據開發利用、數據運維管理、數據對外服務，如圖1所示。

補短固底，做好基礎安全防護。依據梳理出的重要數據資產，圍繞其關鍵場景進行風險分析以及安全加固，各高校可以結合實際需求“補短板”，包括但不限于做好以下舉措：融入“零信任”思想，建立零信任網絡訪問系統，部署數據庫堡壘機、特權賬號管理及密碼保險箱、數據庫審計與防護系統、API安全網關、數據安全態勢感知等安全設備，將所有訪問數據庫的人員全部納入數據庫堡壘機，數據庫密碼必須托管，完整記錄用戶/系統對數據庫的訪問行為，對服務接口進行威脅檢測及防護，以及對風險行為、異常訪問、安全事件等做好監測預警、全局分析、整體感知，減少數據泄露等風險的發生。

補短固底的目的在于形成統一的審計方案。由堡壘機提供運維人員操作的審計日志，特權賬號管理系統提供僵尸賬號、弱密碼賬號、長期不改密賬號、權限變更等風險日志，數據庫審計系統提供對數據中心的數據庫、大數據組件操作審計，API流量審計提供業務人員對業務系統的操作審計，數據安全態勢感知統一收集各安全組件日志，從而實現數據資產的流動監測、風險預測等。

補齊“短板”，系統治理，體系規劃，建立數據安全評估和監督評價制度。其中，系統治理方面，主要工作是結合業務系統，開展充分的現狀調研，再結合國家法律法規，對數據資產分類分級；識別數據主客體訪問關系，梳理數據訪問權限，繪制數據流轉圖；根據分類分級和流轉圖，對不同類型數據制定不同的管控方案，做好風險的感知和評估，并適時調整策略。至此，以“數據資產”為核心，“訪問控制、事件監測、風險分析、策略調整”的完整閉環體系形成。數據安全閉環防護技術如圖2所示。

體系規劃是建立數據安全評估和監督評價制度的重要一步。需要以閉環防護技術為指導思想，從管理、技術、運營多維度進行系統的體系規劃，包括數據分類與標記、訪問控制策略、數據監測和審計、合規性與法規遵循等數據安全管理體系規劃，利用加密技術、防火墻和入侵檢測系統、漏洞管理、多因素認證、安全更新和補丁管理等技術的防護體系規劃，利用數據備份和恢復、風險管理、應急響應計劃、性能監測、合作伙伴和供應商管理等的運營體系規劃。這些體系確保高校數據進行定期風險評估、定期進行數據安全監測預警通報，及時發現數據安全風險、處置數據安全威脅，提供數據安全風險評估報告和整改建議。

數據安全工作并非一勞永逸，要維持安全、可持續的運營需要持續對數據資產進行發現、分類分級、標記等工作。為加固數據安全保障體系，有序建設，持續運營，提升防護效果，一方面，通過數據資產分布及流轉情況、數據風險情況以及業務數據使用情況，根據數據級別制定相應的分級管控與防護策略，以及場景化建設方案。例如，結合數據使用場景和生命周期，根據業務和數據流轉情況制定辦公網數據防泄漏場景解決方案、科研敏感數據泄露場景解決方案等，并制定相應的場景化的管控和防護策略。另一方面，采取“專家+流程+平臺”三者整合的運營模式，組建一個強大的數據安全生態系統，滿足法規和合規性要求的同時，確保數據的機密性、完整性和可用性[8]。

除此之外，高校需要建設由專業人員組成的數據安全團隊。該團隊需要對管理、運營、合規、技術等方面負責，保障數據安全的整體規劃實施落地。為提高數據安全法律意識，需要對團隊甚至全校師生持續開展針對性的專業培訓工作。通過以上建設，幫助高校實現數據可知、風險可視、安全可控、泄密可溯，讓數據的共享交換過程更安全。

結語

以“數據資產”為核心，將“訪問控制、事件監測、風險分析、策略調整”閉環防護技術為主導思想的數據管理體系，堅持安全與發展并重，平衡數據安全與業務應用的關系，以全局數據流轉可見為基礎，以重點防護為原則，強化數據安全風險監測能力，提高高校數據安全防護成效，實現數據可知、風險可視、安全可觀、泄密可溯的數據安全目標。同時，深度貫徹落實《數據安全法》，通過強化數據安全管理、技術、運營、人員能力，落實數據安全保護義務，明確各方數據安全責任，采取必要措施強化數據資源安全保障，建立健全的全流程數據安全管理制度，基于數據安全治理落實數據分級重點保護，面向業務場景建立數據安全建設體系，實現高校數據更安全。

參考文獻：

[1]西北工業大學發布聲明：我校電子郵件系統遭受境外網絡攻擊，已報警[EB/OL].（2022-06-22）[2024-05-05].https：//bj--bjd--com--cn--01057tkaa93fe.wsipv6.com/5b165687a010550e5ddc0e6a/contentShare/5b16573ae4b02a9fe2d558f9/AP62b2ee8de4b0c2cdf0a320fd.html.

[2]陳榮.數字化時代 高校探尋網絡安全新思路[J].中國教育網絡，2023（8）：9-13.

[3]教育部等七部門關于加強教育系統數據安全工作的通知（教科信函〔2021〕20號）[A/OL].（2021-04-06）[2024-05-05].https：//nic.cczu.edu.cn/2022/0925/c1294a305140/page.htm.

[4]馮衛華.網絡安全攻防演練在實際應用中的探索[J].電腦編程技巧與維護，2023（11）：162-165.

[5]邵美科.高校網絡安全漏洞治理探索[J].網絡安全技術與應用，2023（12）：84-85.

[6]胡康，郭金成，李健.數據分類分級標準化探索——以某研究院為例[J].中國信息化，2023（9）：54-56.

[7]黃欣.數字經濟時代我國網絡安全保險發展研究[D].沈陽：遼寧大學，2023.

[8]姚曉斌.新時代企業網絡安全實戰攻防問題及防護策略研究[J].網絡安全技術與應用，2023（10）：109-110.

作者簡介：田果，碩士研究生，研究方向：網絡安全與信息化管理；王鑫露，碩士研究生，研究方向：網絡與系統安全、大數據、云計算。

基金項目：河南省重點研發與推廣專項（科技攻關）項目——面向內容生產者移動的移動互聯網數據傳輸性能優化關鍵技術研究（編號：212102210381）。