买股票怎么加杠杆佰朔资本介绍-k线图形态24种经典图解-【东方资本】,股票配资交易app,配资炒股比例国家规定是多少,配资在线平台排行榜

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發展
    關于美創
    申請試用
      從“畢業生盜取學生信息”事件,看高校數據安全的六個問題、三個關鍵
      發布時間:2023-07-04 閱讀次數: 1247 次

      這兩天,一則#盜學生信息人大畢業生被刑拘#新聞沖上熱搜,引發熱議。

      中國人民大學畢業生馬某,在讀碩士研究生期間通過非法技術手段,盜取了近幾屆學生的個人信息,并制作成網頁供任何人隨意瀏覽,甚至能夠給該校女學生的顏值打分。

      *據網上爆料,這個名叫“RUC IR FACE”的顏值打分網站疑似包含了該校從2014級到2022級學生的個人資料,甚至可以從身高、星座、籍貫、所在學院等多個維度進行精確篩選,估計波及超過5萬名學生。



      網絡不是法外之地,目前,中國人民大學已第一時間聯系警方,該畢業生被依法刑事拘留,案件正在進一步調查中。


      從鹽城7萬余條學生信息被售賣獲利,到學習通1.7億條用戶數據被泄露,再到今天畢業生竊取全校學生信息公之網絡·····


      近年來,在高校頻頻上演的隱私數據泄漏風波,也揭示了目前高校數據管理水平不足、數據安全防范能力不夠、數據泄露風險隱患突出的現實短板,彌補差距,強化能力,需成為每個高校重點關注的工作。


      01

      高校數據安全

      應重點關注六個問題


      《數據安全法》、《個人信息保護法》等數據安全法律法規的頒布和實施,高校對數據安全保護工作逐步重視。但整體來看,高校數據安全能力還在起步階段,伴隨數字化的深入開展,威脅手段的持續升級,新問題、新風險交織,高校數據安全這六個問題需要重點關注:


       1、數字化轉型造成數據敏感級別不斷提升  

      • 高校師生個人和家庭數據真實性強且不可逆性、數據量級不斷增大,數據一量泄漏可能造成巨大影響;


      • 重點實驗室、科研項目等核心數據,財務數據、學生考評等數據,是竊取/篡改重點目標。

      2、數據安全管理制度體系不夠完善 

      • 高校管理鏈條較長,數據安全管理組織架構不健全,數據安全責任人不明確,信息中心有心無力,業務部門無的放矢,數據安全工作推進困難;


      • 數據安全管理制度缺失,數據安全操作流程和規范沒有明確要求,數據安全考核和效果評價沒標準。

      3、工作人員缺乏數據安全意識 

      • 安全法律法規不了解,數據安全風險意識低下,數據風險防范能力不足,敏感數據隨便私存和分發;


      • 難以均衡安全與便利性矛盾,對數據安全管控方案不理解、不支持,安全管控措施難有效推進。


      4、數據安全精細化管控措施普遍缺位 

      • 業務系統眾多,安全歸口管理部門不一,敏感數據散落各處,安全防護力度不足,數據風險敞口大;

      • 數據訪問權限難梳理,數據流向不清晰,未開展數據分類分級,未落實差異化、精細化安全管控措施。

      5、系統運維特權賬號缺少管控措施 

      • 信息中心數據安全能力不足,過度依賴于第三方或兼職學生,并賦予特權賬號,存在嚴重安全隱患;

      • 運維人員受黑市誘惑、好奇心驅動、人情請托等因素,利用工作便利條件達到竊取數據、篡改數據。

      6、API數據共享安全風險難感知 

      • 業務系統數據抽取和交換,多是通過API接口進行數據讀取,未對敏感數據流向和數據安全風險進行監控和管理,難以感知數據濫用、數據竊取等風險;


      • 缺少安全審計手段,無法對數據使用情況進行審查。

      02

      高校數據安全

      需牢牢把握三個關鍵


      針對高校數據安全現狀和主要問題,如何做好數據安全建設?美創科技認為需要技術和管理雙管齊下,以數據分類分級為起點,以管理制度為依據,在具體建設過程和環節中,充分利用和發揮好各種關鍵技術的作用,分段實施,體系規劃,逐步構建覆蓋數據全流程、全鏈路的數據安全防護技術體系,最后構建數據安全運營體系,實現數據安全的持續優化和提升。


       分類分級是建設基礎 


      經過多年信息化建設,高校已積累了規模龐大的數據資產,且涉及的信息量及群體規模十分復雜,數據資產有哪些?怎么分布?有哪些類型?借助技術手段摸清資產家底,進行數據分類分級成為數據安全建設的首要任務。


      ▲ 點擊上圖,了解高校數據分類分級方法論與實戰總結



      高校應結合法律法規、部門規章、行業標準(如:《教育部等七部門關于加強教育系統數據安全的通知》、《教育系統核心數據和重要數據識別認定工作指南(試行)的通知》等),制定數據分類分級標準,梳理出高校信息系統重要的數據目錄,明確個人隱私和敏感數據保護范圍。


       管理制度是建設依據 


      《教育部等七部門關于加強教育系統數據安全的通知》中明確,應健全覆蓋數據收集、傳輸存儲、使用處理、開放共享等全生命周期的數據安全保障制度。


      對此,高校在制定數據安全管理與隱私保護相關辦法中,需明確數據收集、存儲、處理、共享等關鍵環節的操作規范、管理部門職責分工、應急管理與安全檢查機制,充分發揮各部門和各類人員在數據安全保障工作中的作用,共同遵守和執行安全規章制度,保障數據安全策略的貫徹落實。


       數據安全需全鏈路建設 


      數據在流動中創造價值,對數據的保護就是對流動過程的數據全鏈路分級保護。在數據安全建設中,高校需梳理數據應用重要業務場景,評估其數據安全現狀,在數據分類分級的基礎上,分段實施、體系規劃、面向數據訪問域、存儲域、流動域,落實覆蓋數據全鏈路的數據安全技術防護體系。



      在數據存儲域:對師生敏感數據或重要數據進行加密存儲,防止黑客拖庫、磁盤丟失、備份文件被盜等原因造成敏感信息泄漏;對重要啞終端、數據庫服務器、應用服務器、文件服務器等重要系統部署勒索軟件防范勒索攻擊;同時借用數據災備保障業務連續。


      在數據訪問域:通過數據庫防水壩對運維人員的權限進行細粒度的操作權限控制,實現DBA權限分離控制、防止越權,實現DML/DDL操作指令控制,防止誤操作;通過數據庫防火墻防范黑客通過SQL注入漏洞和數據庫漏洞進行網絡攻擊和數據竊?。徊捎肈LP數據防泄漏系統對重要文件的處理、傳輸進行管控;通過數據庫審計實現數據庫訪問的各類操作行為的監控和記錄、審計溯源。


      在數據流動域:通過靜態脫敏、水印溯源、API監測與訪問控制等能力,加強數據流動場景下的安全保障和風險監測,實現數據可控流動。


      安全是一個不斷變化的過程。為了應對變化,高校應對數據安全進行持續優化改進與運營,以看見驅動安全,從全局視角提升對數據安全威脅的發現識別、理解、分析和響應能力,實現資產全域可管、風險全域可視、策略全域聯動,充分盤活整體數據安全防護能力,最終形成一體化的數據安全管理、安全監控和安全運營體系,實現數據安全統一運營。




      在數字化轉型的持續推動下,越來越多的高校以數據為驅動力,利用新一代信息技術提升教育管理數字化、網絡化、智能化水平的建設。數據驅動教育高質量創新發展,守好數據安全防線更是關鍵!


      美創科技基于多年數據安全實踐經驗,結合《數據安全法》和《個人信息保護法》等法律法規的要求和高校實際的數據安全風險場景,為高校數據安全建設提供全方位的產品、服務、解決方案,讓高校數據使用變得更加合規、安全。


      上一條:美創科技全面入選數據安全產業圖譜,兩大產品獲重點推薦!
      下一條:數據安全服務,為“數字國貿” 筑牢安全防線
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部