数据安全策略,这些高校这么做
编者按:
教育行业的数据安全总体来说处于比较初级的阶段,重视不够、体系不全、机制不顺、保障不力。伴随《网络安全法》的正式实施、数据泄露事件的增多、大数据应用中的各种挑战让高校越来越意识到制定一套行之有效的数据安全策略已迫在眉睫。这里展示一些高校的数据安全策略,总体来看,学校将个人信息的泄露、数据丢失、数据库安全等列入重点防护对象。
中国矿业大学网络信息中心主任侯效礼介绍说,中国矿业大学的数据安全是全方位的、立体的和层次化的。目前学校数据中心管理的业务系统均处于各类安全设备或系统的防护之下,主要有IPS、WAF、综合日志分析系统、漏洞扫描系统、存储备份系统、虚拟机杀毒系统、堡垒机系统、站点群系统以及数字加密系统等。不过,对于因主机操作系统漏洞或代码漏洞造成的风险,业务系统仍然缺乏发现和防护的能力。
中国矿业大学制订了《中国矿业大学网络信息安全管理办法(试行)》,明确了信息系统数据所有者是数据安全管理的责任主体,并负责规范数据的收集、存储、传输和使用,确保数据安全。
未来,学校主要做好以下几方面工作:一是进一步完善数据安全防护系统设施,要做到三点:1.搭建网络安全态势感知平台,主动感知数据访问动态;2.构建主数据库安全保护平台,包括数据库审计、数据库加密、数据脱敏等,确保数据使用安全;3.构建综合安全管理平台,统一管理数据中心安全设备。二是启动网络应急响应机制,增强主动防御能力。
除了实施备份、做好数据库安全管理等工作外,华东师大特别注重网站数据的安全。学校于2011年底开始部署了网站群系统。网站群系统通过统一的服务器安全措施能够更好地确保华东师大数百个校内网站的数据安全,且其单一的管理后台更容易排查和避免网站漏洞。
该系统采用制作、发布和数据库三类服务器物理分开的部署方式。其中,网站群的制作服务器作为数据存储端,提供了一个统一的管理后台,供部门管理员及信息发布人员进行后台页面制作和维护。网站群的发布服务器实现网站的前端访问,所有站点的页面生成均从制作服务器获取相应数据,再静态发布到发布服务器上。网站的浏览人群通过站点域名对发布服务器上的静态页面文件进行访问,而无需制作服务器在此过程中查找和返回数据库中相应数据,实现了前后台分离,提高了站点访问速度,增强了系统安全性。
在制作服务器和发布服务器之间,采用了SSL加密标准和防篡改程序,保障两者间的数据传输安全。此外,系统采用容灾与备份等安全措施,增强了网站数据和应用程序的安全性。
河海大学数据安全目前主要做的工作是数据防意外丢失,网信中心制定了数据的备份策略,对数据进行定期的备份。建立堡垒机,防止外协厂商的技术人员为了维护系统而拥有直接登录权限造成的拖库等恶意数据问题。
学校针对不同信息系统的情况,对数据进行一定的分析,了解该系统之内有没有机密的数据处于不安全的状态,如果有,对重要的系统分别采取一定的措施来保护。
下一步计划将数据安全管理纳入学校信息安全标准体系中,完善管理规章制度。对于数据进行一定的分类,在建设、运行、维护有关数据的工作中制定严格的访问控制和分级策略保护数据安全。
开展数据治理工作,提供统一的数据服务,减少或杜绝共享文件、视图方式进行数据共享,而是通过提供数据服务的方式来共享数据,并记录数据的流失量流向,便于跟踪审计。同时,开展宣传培训,加强审计,防止特权用户随意修改配置、改变或盗取数据,明确业务部门和网信中心职责分工,消除来自内部的数据安全威胁。