校長,也要“考試”

發(fā)布時間:2022-05-09 07:37:10  |  來源:騰訊網(wǎng)  

沒想到,身為校長的老王,最近也迎來了一場重要的“考試”。

試題內(nèi)容是:構(gòu)建智慧校園,保障數(shù)據(jù)安全。

一邊是數(shù)據(jù)共享開放,一邊是數(shù)據(jù)安全保護(hù),看完試卷,老王犯起了難——

難題一 數(shù)據(jù)底數(shù)不清,分類管理的成本較高

構(gòu)建智慧校園,就要做好數(shù)字化轉(zhuǎn)型,高校包含海量的數(shù)據(jù)信息,隨著數(shù)字化轉(zhuǎn)型的深入:

教育數(shù)據(jù)價值越來越高!

業(yè)務(wù)系統(tǒng)數(shù)據(jù)越來越多!

數(shù)據(jù)安全隱患無處不在!

重大決策信息、財務(wù)信息、招生信息、資產(chǎn)信息、師生身份信息、健康信息、上網(wǎng)信息、一卡通信息、位置信息......數(shù)據(jù)資產(chǎn)散落在校園內(nèi)外的各個信息系統(tǒng)。

這些數(shù)據(jù)資產(chǎn)有多少?怎么分布?有哪些類型?哪些是活數(shù)據(jù)?哪些數(shù)據(jù)是沉淀數(shù)據(jù)?哪些可以科研利用?哪些是涉敏信息?實(shí)在難以摸清。如此一來,要對數(shù)據(jù)進(jìn)行分類管理,就要花費(fèi)大量的時間和精力,導(dǎo)致投入成本過高。

難題二 管理機(jī)制缺位,缺乏認(rèn)責(zé)依據(jù)

通常,學(xué)校的網(wǎng)絡(luò)、信息系統(tǒng)都有相應(yīng)的主管部門,但數(shù)據(jù)信息由于涉及的部門眾多,牽涉較廣,很難建立明確的管理機(jī)制。

數(shù)據(jù)跨學(xué)院、跨部門流轉(zhuǎn),沒有統(tǒng)一團(tuán)隊(duì)、專業(yè)人員牽頭,無法形成統(tǒng)一數(shù)據(jù)安全防護(hù)體系;數(shù)據(jù)流通性強(qiáng),安全事件發(fā)生后,難以有效溯源,缺乏認(rèn)責(zé)依據(jù)。無法認(rèn)責(zé)造成無所顧忌。

難題三 法律法規(guī)出臺,合規(guī)要求加碼

隨著《數(shù)據(jù)安全法》、《個人信息保護(hù)法》的頒布和實(shí)施,教育行業(yè)的合規(guī)要求持續(xù)加碼,教育部聯(lián)合七部門緊隨其后發(fā)布了《關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》(下稱:《通知》)。

《通知》明確了教育系統(tǒng)數(shù)據(jù)安全工作的重點(diǎn)目標(biāo)和教育行業(yè)數(shù)據(jù)安全的工作任務(wù),同時強(qiáng)調(diào),對師生個人信息保護(hù),要增強(qiáng)法律意識,嚴(yán)格按照法律法規(guī)的要求行事;對新技術(shù)、新應(yīng)用的推廣,要提升防入侵、防泄漏、防濫用、防竊取等整體防御水平和能力;面向師生的網(wǎng)絡(luò)安全意識教育也要同步跟進(jìn),形成重視數(shù)據(jù)安全保護(hù)的共識和氛圍。

難題四 基礎(chǔ)防護(hù)手段跟不上,數(shù)據(jù)安全保護(hù)猶如空中樓閣

新興技術(shù)的運(yùn)用給高校帶來了極大的便利,同時也引發(fā)了各種數(shù)據(jù)安全問題,包括網(wǎng)絡(luò)攻擊、程序缺陷、病毒或黑客等造成的數(shù)據(jù)損壞或數(shù)據(jù)丟失等,導(dǎo)致數(shù)據(jù)泄露風(fēng)險陡然加劇。

傳統(tǒng)的信息安全建設(shè)無法覆蓋現(xiàn)有的數(shù)據(jù)安全問題,因此,高校的數(shù)據(jù)安全保護(hù)建設(shè)亟需新的防護(hù)手段。

面對這些難題,老王做夢都在擔(dān)憂,到底該怎么辦?

為幫助老王擺脫困擾,深信服從組織、技術(shù)、運(yùn)維3個層面為他提供了一套數(shù)據(jù)安全解決方案,并形成了5個具體落地環(huán)節(jié)——

1、制定分類分級標(biāo)準(zhǔn)落地高校數(shù)據(jù)分類管理、分級保護(hù)

根據(jù)數(shù)據(jù)種類、數(shù)量、分布、流轉(zhuǎn)、權(quán)限、責(zé)任現(xiàn)狀,摸清底數(shù)、明確權(quán)責(zé),為數(shù)據(jù)安全保護(hù)奠定基礎(chǔ)。

通過靜態(tài)探查,查看數(shù)據(jù)庫、終端、業(yè)務(wù)系統(tǒng)等地方的數(shù)據(jù)都有哪些?有多少?是如何分布的?通過動態(tài)探查,弄清楚數(shù)據(jù)的流轉(zhuǎn)情況;通過權(quán)責(zé)探查,搞明白誰可以使用哪些數(shù)據(jù),這些數(shù)據(jù)又由誰來管理。

梳理好數(shù)據(jù)資產(chǎn)后,由深信服數(shù)據(jù)安全專家團(tuán)隊(duì)與高校一起,制定數(shù)據(jù)分類分級標(biāo)準(zhǔn),并展開數(shù)據(jù)分類分級工作。

數(shù)據(jù)分類分級工作是一個繁瑣且復(fù)雜的過程,靠人工來實(shí)現(xiàn)需要花費(fèi)大量時間和精力,往往事倍功半。

深信服智能數(shù)據(jù)分類分級基于人工智能和機(jī)器學(xué)習(xí)技術(shù),對數(shù)據(jù)字段進(jìn)行高維特征自動提取,為每個字段生成特征向量,并通過無監(jiān)督機(jī)器學(xué)習(xí)進(jìn)行相似字段分析,對相同數(shù)據(jù)字段進(jìn)行批量打標(biāo),大幅提升數(shù)據(jù)分類分級的效率;通過有監(jiān)督機(jī)器學(xué)習(xí)引擎實(shí)現(xiàn)數(shù)據(jù)分類分級知識和經(jīng)驗(yàn)學(xué)習(xí),對數(shù)據(jù)分類分級標(biāo)簽進(jìn)行智能推薦,完成數(shù)據(jù)分類分級的自動化。

有了深信服智能數(shù)據(jù)分類分級,便可輕松實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的自動發(fā)現(xiàn)和數(shù)據(jù)資源目錄生成,使數(shù)據(jù)資產(chǎn)全局可視,為后續(xù)的數(shù)據(jù)安全保護(hù)工作奠定良好的基礎(chǔ)。

2、健全數(shù)據(jù)安全保障體系定期進(jìn)行數(shù)據(jù)安全風(fēng)險評估

摸清了數(shù)據(jù)底數(shù)之后,就要建立數(shù)據(jù)安全評估和監(jiān)督評價制度。

為幫助高校健全數(shù)據(jù)安全保障體系,深信服特地配備了數(shù)據(jù)安全專家團(tuán)隊(duì),結(jié)合法律法規(guī)及教育行業(yè)的相關(guān)規(guī)定,對高校數(shù)據(jù)處理活動進(jìn)行定期風(fēng)險評估,將數(shù)據(jù)安全納入高校責(zé)任制考核評價;定期進(jìn)行數(shù)據(jù)安全監(jiān)測預(yù)警通報,及時發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險、處置數(shù)據(jù)安全威脅,輸出數(shù)據(jù)安全風(fēng)險評估報告和整改建議。

3、建章立制完善管理制度并確定數(shù)據(jù)安全責(zé)任人

要解決數(shù)據(jù)安全風(fēng)險問題,就需要建立由專業(yè)人員組成的數(shù)據(jù)安全統(tǒng)一團(tuán)隊(duì),推動數(shù)據(jù)安全保障工作有序、穩(wěn)定、持續(xù)開展。

數(shù)據(jù)安全團(tuán)隊(duì)需要包含決策層、管理層、執(zhí)行層、配合層、監(jiān)督層5個層面的成員。由網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組決策,網(wǎng)絡(luò)中心/信息中心統(tǒng)籌管理,二級學(xué)院、單位負(fù)責(zé)執(zhí)行,學(xué)校師生、合作伙伴整體配合,再由審計人員負(fù)責(zé)監(jiān)督,形成自上而下的數(shù)據(jù)安全組織架構(gòu)。團(tuán)隊(duì)需要對管理、運(yùn)營、合規(guī)、技術(shù)等方面負(fù)責(zé),保障數(shù)據(jù)安全的整體規(guī)劃實(shí)施落地。

此外,為提高數(shù)據(jù)安全法律意識,需要對團(tuán)隊(duì)持續(xù)開展針對性的專業(yè)培訓(xùn)工作。

4、圍繞保護(hù)數(shù)據(jù)處理活動構(gòu)建數(shù)據(jù)安全防護(hù)能力

針對高校的核心業(yè)務(wù)系統(tǒng),圍繞數(shù)據(jù)處理活動的過程,對數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開進(jìn)行保護(hù)。

深信服數(shù)據(jù)安全解決方案圍繞深信服數(shù)據(jù)安全管理中心,構(gòu)建身份認(rèn)證、行為監(jiān)測、信任評估、權(quán)限管理、訪問控制、脆弱性管理、威脅狩獵、響應(yīng)處置、時間管理、溯源調(diào)查等數(shù)據(jù)安全保護(hù)能力,幫助用戶應(yīng)對數(shù)據(jù)安全復(fù)雜的業(yè)務(wù)場景,實(shí)現(xiàn)用戶數(shù)字化建設(shè)的安全統(tǒng)一,運(yùn)維統(tǒng)一,策略統(tǒng)一。

安全管理中心在網(wǎng)絡(luò)安全的基礎(chǔ)上通過持續(xù)鑒白能力對訪問數(shù)據(jù)的用戶進(jìn)行環(huán)境、身份、行為的持續(xù)評估;通過持續(xù)鑒黑能力對訪問數(shù)據(jù)的風(fēng)險用戶進(jìn)行安全故事鏈的編排,還原入侵行為及安全風(fēng)險。

管理中心與安全組件的聯(lián)動,可以實(shí)現(xiàn)安全事件敏捷感知,安全風(fēng)險及時管控。

例如:某院系老師需要訪問該校的核心業(yè)務(wù)數(shù)據(jù),管理中心通過分析得出此次訪問有一定風(fēng)險,就會聯(lián)動組件阻斷此次訪問行為。

5、持續(xù)運(yùn)營,提升防護(hù)效果

數(shù)據(jù)安全工作并非一勞永逸,以高校數(shù)據(jù)資產(chǎn)安全管理為例,需要持續(xù)對數(shù)據(jù)資產(chǎn)進(jìn)行發(fā)現(xiàn)、分類分級、標(biāo)記等元數(shù)據(jù)管理工作,這些工作常常建立在數(shù)據(jù)血緣管理、數(shù)據(jù)唯一性管理、數(shù)據(jù)質(zhì)量管理等等數(shù)據(jù)治理活動中。

數(shù)據(jù)分析安全運(yùn)營則如同網(wǎng)絡(luò)漏洞威脅監(jiān)測預(yù)警一樣,需要對存在可疑數(shù)據(jù)訪問權(quán)限、敏感數(shù)據(jù)泄漏等進(jìn)行持續(xù)性安全監(jiān)測與響應(yīng),并基于問題持續(xù)推動數(shù)據(jù)安全工作改進(jìn)。

通過上述5個步驟,深信服數(shù)據(jù)安全解決方案幫助高校實(shí)現(xiàn)了數(shù)據(jù)可知、風(fēng)險可視、安全可控、問題可溯,讓數(shù)據(jù)的共享交換過程更安全,價值釋放更充分,徹底解決的校長老王的難題。幫助老王交上了一份滿意的“答卷”。

正如維納(Norbert Wiener)所言:“技術(shù)的發(fā)展,對善和惡都帶來了無限的可能性?!备咝R环矫嫦硎苤鴶?shù)據(jù)治理帶來的便捷數(shù)據(jù)服務(wù),另一方面也承擔(dān)著數(shù)據(jù)安全問題的威脅和挑戰(zhàn)。

數(shù)據(jù)安全是高校數(shù)據(jù)治理的重要內(nèi)容之一。深信服數(shù)據(jù)安全解決方案基于《數(shù)據(jù)安全法》和《個人信息保護(hù)法》等法律法規(guī)的要求和實(shí)際的數(shù)據(jù)安全風(fēng)險場景,通過人工智能和機(jī)器學(xué)習(xí)等先進(jìn)技術(shù),為政府、教育、醫(yī)療等各個行業(yè)用戶提供面向業(yè)務(wù)場景的數(shù)據(jù)安全建設(shè)體系,讓數(shù)據(jù)使用變得更加合規(guī)、安全。

雷峰網(wǎng)

關(guān)鍵詞: 也要考試

 

網(wǎng)站介紹  |  版權(quán)說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com