把握契機推進标準出台
2020年(nián),全國人大常委會先後發布了《數據安全法(草(cǎo)案)》和(hé)《個人信息保護法(草(cǎo)案)》,這兩項法案的(de)出台表明國家層面有了明确的(de)數據安全要求。
根據法律專家的(de)意見,《數據安全法》的(de)國家法律定位是在《國家安全法》之下、《網絡安全法》之上,數據安全一(yī)旦出現問題追責是無限責任,因此高(gāo)校要高(gāo)度重視(shì)數據安全工作。
目前,高(gāo)校在這方面的(de)工作重點集中在規範數據管理(lǐ)、提高(gāo)數據安全防護能力、防範數據安全風險等三個方面。
其中,規範數據管理(lǐ)是指制定一(yī)套全校關于業務系統數據安全方面的(de)标準,進一(yī)步完善相關的(de)數據安全管理(lǐ)制度;
提高(gāo)數據安全防護能力是指增加數據庫安全防護系統和(hé)設備,采取重要數據加密等措施保證儲存安全和(hé)傳輸安全;
防範數據安全風險是指做(zuò)好重要核心數據的(de)容災備份,防止涉及全校師生的(de)關鍵敏感數據洩露、篡改、損毀、丢失和(hé)非法使用等情況。
數據安全工作面臨的(de)困難主要是缺失管理(lǐ)制度、缺乏安全設備及缺少運營人員等。
管理(lǐ)制度上需要出台全校性的(de)數據安全建設标準與指引;
安全設備上需要增加數據存儲、數據安全防護審計、數據加密、數據脫敏等專業設備;
運營人員上需要補充數據安全專職專崗人員。
此外,如(rú)何加強信息系統承建方等外包人員的(de)管理(lǐ),落實數據洩密的(de)追責機制等,也是數據安全工作中亟待解決的(de)問題。
以上所有問題的(de)解決,當務之急是要引起學(xué)校各個層面對數據安全的(de)重視(shì)。
我們希望能充分利用此次《數據安全法(草(cǎo)案)》、《個人信息保護法(草(cǎo)案)》出台的(de)機遇,在學(xué)校進行大力宣傳并積極與領導層面溝通交流,根據國家、省市、行業的(de)數據安全相關文件精神,結合學(xué)校自(zì)身情況制定适合本校的(de)數據安全管理(lǐ)制度,并向學(xué)校積極争取資源,将數據安全作為(wèi)下一(yī)步信息化工作重點予以高(gāo)度關注。
在行業層面,構建覆蓋數據全生命周期的(de)安全管理(lǐ)體系時,建立統一(yī)的(de)數據分級分類體系是關鍵,而這也是教育行業數據安全保護面臨一(yī)大問題。
雖然教育部2018年(nián)出台的(de)《教育部機關及直屬事業單位教育數據管理(lǐ)辦法》中,已對一(yī)些數據安全相關标準進行了相關規定,但我們更希望在此基礎上,教育管理(lǐ)部門能夠盡快規範教育數據安全分級分類程序,提升高(gāo)校數據安全分級分類的(de)可(kě)實施性和(hé)可(kě)操作性,為(wèi)各高(gāo)校數據安全管理(lǐ)工作提供指導,形成從上到下的(de)管理(lǐ)體系,從而有效地(dì)避免學(xué)校制定的(de)管理(lǐ)制度與上級規範不一(yī)緻的(de)情況出現。
多措并舉守護數據安全
目前在管理(lǐ)制度層面,深圳大學(xué)信息中心出台了相關的(de)數據安全保護制度,即《深圳大學(xué)數據共享管理(lǐ)辦法》和(hé)《數據庫運維服務管理(lǐ)規範》。
前者對包括學(xué)生成績、老師工資等隐私數據和(hé)個人敏感數據的(de)來源記錄、使用流程、監督管理(lǐ)辦法等進行規定,後者對學(xué)校建立的(de)統一(yī)數據庫在運行維護過程中要遵守的(de)規則和(hé)保密要求等進行規定。
深圳大學(xué)
在此基礎上,信息中心正在醞釀學(xué)校的(de)數據安全規範,即從數據的(de)創立到存儲使用,再到最後的(de)銷毀,整個生命周期均可(kě)遵循的(de)一(yī)套标準,進一(yī)步制定校級層面的(de)《數據安全管理(lǐ)辦法》,通過管理(lǐ)辦法明确公共數據的(de)數據權歸學(xué)校所有,建立數據中心實現全校公共數據的(de)統一(yī)存儲、彙聚、共享、開放、安全監督等。
在安全設備層面,通過十三五“三校互動教學(xué)智慧信息系統”信息化建設項目,補充了一(yī)批數據安全防護設備及系統,如(rú)數據庫防火牆、數據庫審計設備、雙活存儲、容災備份系統擴充數據存儲空間等。
并準備在“十四五”信息化建設項目中,進一(yī)步補充數據安全網關、數據脫敏系統、數據加密、數據安全交換、數據安全管理(lǐ)平台等,進一(yī)步保障數據安全。
在運營人員層面,之前深圳大學(xué)是系統管理(lǐ)人員兼管數據安全,但随着數據的(de)爆發式增長(cháng),相關人員存在專業與精力的(de)局限,準備2021年(nián)增加和(hé)充實數據安全管理(lǐ)隊伍建設,設立數據安全專門崗位進行全面的(de)數據安全管理(lǐ)。
然而,在這方面,學(xué)校信息化部門既面臨內(nèi)部的(de)編制限制,也面臨外部公司的(de)待遇競争,需要長(cháng)期的(de)投入。
此外,為(wèi)了避免數據權屬不清的(de)情況,落實數據安全責任制,明确數據安全歸口管理(lǐ)職責,深圳大學(xué)制定了提供者—管理(lǐ)者—使用者三方權責制度。
由信息中心負責統籌數據安全管理(lǐ)工作,制定數據安全相關工作規則和(hé)管理(lǐ)流程,部署數據安全技術防護措施,并對數據安全評估和(hé)檢查。
數據源(提供者)保障業務系統的(de)數據質量責任,負責及時維護和(hé)更新數據,保證業務數據的(de)真實性、準确性、完整性、時效性和(hé)可(kě)用性,并協助信息中心實施數據安全工作。
信息中心按最小化和(hé)必要性原則對數據使用進行授權,并做(zuò)好被授權主體的(de)監督管理(lǐ),而使用部門則加強共享數據使用全過程管理(lǐ)。
聚力攻堅克服兩大難點
在進行數據安全防護建設過程中,我們發現數據分級分類和(hé)容災備份快速恢複是數據安全工作的(de)兩項關鍵環節,其中分級分類是防護體系的(de)重要基礎,而容災備份則是體系連續運行的(de)強健保障。
1.分級分類
數據分級分類是建立數據全生命周期安全防護體系的(de)重要基礎,也是數據安全治理(lǐ)的(de)核心任務之一(yī)。
數據分級保護與分類保護兩者相輔相成,數據分類把具有共同屬性的(de)數據歸并在一(yī)起,數據分級根據數據所具有的(de)後果性标準構建技術保護體系,最後通過數據類别将其納入對應的(de)數據分級體系。
在分級分類的(de)基礎上,針對性地(dì)制定數據防護要求,設置不同的(de)訪問權限、對重要數據進行加密存儲和(hé)傳輸、敏感數據進行脫敏處理(lǐ)、重要操作進行審計記錄和(hé)分析等,才能形成有效的(de)數據安全防護體系。
深圳大學(xué)信息中心
前期,深圳大學(xué)信息中心參考《教育部機關及直屬事業單位教育數據管理(lǐ)辦法》、《信息安全技術數據安全能力成熟度模型》、《深圳經濟特區數據條例(征求意見稿)》等文件,已開始在部門內(nèi)部制定《數據安全标準(草(cǎo)案)》,依據數據屬性進行數據分類方面的(de)工作,并根據數據安全影響程度确定數據安全級别,将數據從高(gāo)到低(dī)分為(wèi)最高(gāo)級别數據、重要敏感數據、內(nèi)部辦公常用數據、可(kě)公開數據等不同安全級别,在此基礎上計劃出台《數據安全管理(lǐ)辦法》,進一(yī)步提高(gāo)數據安全防護能力。
我們的(de)經驗是,高(gāo)校進行數據分級分類時,除了根據數據來源、用途、內(nèi)容、價值、範圍等,還需結合學(xué)校實際情況與合規需求,遵循科學(xué)性、穩定性、實用性和(hé)擴展性原則,建立高(gāo)校自(zì)身的(de)數據分類分級方法,先根據數據屬性按重要程度進行分類,在此基礎上根據數據安全的(de)影響程度進行分級。
在這方面,其實可(kě)以參考金融行業等數據安全方面的(de)先行者,它們已經探索出了一(yī)整套的(de)分級分類辦法。另外,部分網絡安全公司已經儲備了數據分級分類技術,包括相關平台工具,甚至有的(de)已經有落地(dì)的(de)案例了,盡管整體上可(kě)能還不太成熟,但與這些企業合作顯然可(kě)以更快地(dì)找到适合的(de)解決方案。
2.容災備份
數據安全問題中最嚴重的(de)是數據的(de)丢失和(hé)篡改,容災備份是解決該問題最有效的(de)方案,能夠在災難來臨時,實現關鍵數據的(de)快速恢複,保證信息系統的(de)正常運行及數據的(de)一(yī)緻性,幫助學(xué)校實現業務連續性。
容災備份就其對象來說,包括操作系統、應用和(hé)數據,方式有本地(dì)、異地(dì)以及雲端等。系統、應用容災是在數據容災的(de)基礎上,建立一(yī)套完整的(de)與本地(dì)生産系統相當的(de)備份系統及應用,不僅需要一(yī)份可(kě)用的(de)數據複制,還需要網絡、主機、應用等資源之間的(de)良好協調,采用的(de)技術主要有負載均衡、集群技術、熱備份等。
深圳大學(xué)現有粵海、滄海、麗湖三大數據中心,各建有獨立的(de)雲平台,在此基礎上通過統一(yī)雲管平台對三校區雲平台進行統一(yī)管理(lǐ),各數據中心通過FCSAN或IPSAN構建存儲資源池。
其中粵海和(hé)滄海校區實現存儲層雙活,可(kě)以保證雲平台上的(de)業務系統的(de)存儲始終在線,通過配置SAN快照功能,當出現誤删除等操作引起數據邏輯錯誤時,數據可(kě)回滾到上一(yī)個快照時間點。同時在粵海校區數據中心部署了一(yī)套分布式多節點NAS(Network Attached Storage)存儲系統,實現關鍵數據的(de)在線備份。NAS具有成本低(dī)、效率高(gāo),具有良好的(de)可(kě)擴展性,并有效保護資源數據的(de)安全。
基于混合雲模式共建數據中心
此外,我們還計劃與運營商基于混合雲模式共建數據中心(如(rú)上圖所示),就是租用運營商的(de)部分機房,通過光纖直聯的(de)方式把學(xué)校的(de)數據中心與運營商數據中心互聯。
這麽做(zuò)的(de)好處,一(yī)是解決了場地(dì)的(de)限制,數據中心的(de)場地(dì)一(yī)般需要在建樓時就已規劃好,後續有增量需求時會有困難。但如(rú)果租用運營商機房,則不受局限。
二是省去(qù)了部分運維成本,尤其是人力成本。國內(nèi)高(gāo)校網信部門的(de)人員數量普遍比較緊缺,人力成本的(de)節約尤為(wèi)重要。
在享受以上便利的(de)同時,從長(cháng)遠來看自(zì)建備份數據中心和(hé)聯合共建總體成本差别并不大,因此可(kě)以選擇嘗試聯合共建模式。
“十四五”全面提升防護能力
網絡安全工作有個特點,就是它處于隐蔽戰場,不出問題時在信息化工作中是看不見、摸不着的(de)。近年(nián)來我們一(yī)直将網絡安全可(kě)視(shì)化作為(wèi)日常網絡安全工作的(de)管理(lǐ)要求。
但網絡安全工作的(de)重心在不同階段有所側重:
前些年(nián)是以網站安全與等保合規為(wèi)核心,近些年(nián)轉向以雲平台安全與終端安全為(wèi)核心,“十四五”期間将轉向以數據安全為(wèi)核心,通過對數據分類分級,從數據采集、傳輸、存儲、處理(lǐ)、交換、銷毀的(de)全生命周期角度開展數據安全治理(lǐ),在符合網絡安全管理(lǐ)要求與網絡安全合規建設前提下,構建動态自(zì)适應網絡安全防護體系。
一(yī)個具體的(de)例子(zǐ)是,校內(nèi)某部門出于管理(lǐ)需要,在學(xué)生宿舍門禁系統上使用了人臉識别技術,建立了一(yī)個人臉識别數據庫,但我們的(de)安全團隊很快就發現有漏洞,暫時停用了該系統。
因此我們在“十四五”期間,計劃建立一(yī)個統一(yī)規劃、統一(yī)建設的(de)、全校性的(de)人臉識别數據庫,将接口提供給校內(nèi)有需要的(de)部門,由信息中心來保障數據安全。
