網(wǎng)站首頁
產(chǎn)品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務(wù)與支持
關(guān)于敏捷
行業(yè)資訊
泄露3萬余條師生個(gè)人信息被罰80萬!敏捷數(shù)據(jù)安全防護(hù)方案助力高校數(shù)據(jù)無“泄”可擊
發(fā)布時(shí)間:2023-08-17    作者:敏捷科技

 事件回顧 


近期,南昌公安網(wǎng)安部門工作發(fā)現(xiàn),南昌某高校3萬余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣。經(jīng)查,涉案高校在開展數(shù)據(jù)處理活動(dòng)中,未建立全流程數(shù)據(jù)安全管理制度,未采取技術(shù)措施保障數(shù)據(jù)安全,未履行數(shù)據(jù)安全保護(hù)義務(wù),導(dǎo)致學(xué)校存儲(chǔ)教職工信息、學(xué)生信息、繳費(fèi)信息等3000余萬條信息的數(shù)據(jù)庫被黑客非法入侵,其中3萬余條教職工、學(xué)生個(gè)人敏感信息數(shù)據(jù)被非法兜售。


南昌公安網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條的規(guī)定,對該學(xué)校作出責(zé)令改正、警告并處80萬元人民幣罰款的處罰,對主要責(zé)任人作出人民幣5萬元罰款的處罰。


高校由于掌握大量個(gè)人信息通常是黑客進(jìn)行網(wǎng)絡(luò)攻擊的重點(diǎn)對象,近年來高校因網(wǎng)絡(luò)安全防護(hù)不力導(dǎo)致大量數(shù)據(jù)泄露或被非法使用的情況屢見不鮮。


 2020年,鄭州新鄭市某中等專業(yè)學(xué)校因不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)而被處罰。經(jīng)查,該校未制定內(nèi)部安全管理制度和操作規(guī)程,未按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志六個(gè)月。新鄭警方對該校及其網(wǎng)絡(luò)安全負(fù)責(zé)人分別處以1萬元和5000元罰款。


 貴陽某地警方根據(jù)《網(wǎng)絡(luò)安全法》對一高校及其負(fù)責(zé)人分別處以10萬元和5萬元的行政罰款。原因是該高校網(wǎng)站主頁遭遇黑客攻擊,登錄頁面被非法篡改為違法有害信息,影響惡劣。


 2022年,國家計(jì)算機(jī)病毒應(yīng)急處理中心和360聯(lián)合發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告。調(diào)查發(fā)現(xiàn),攻擊源頭是美國國家安全局(NSA)下屬的特定入侵行動(dòng)辦公室(TAO),對方疑似竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。


頻頻上演的內(nèi)部數(shù)據(jù)泄漏風(fēng)波,也揭示了目前高校數(shù)據(jù)管理水平不足、數(shù)據(jù)安全防范能力不夠、數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患突出的困境與痛點(diǎn),在數(shù)字化轉(zhuǎn)型的道路上及時(shí)筑牢數(shù)據(jù)安全防線,是當(dāng)下每個(gè)高校應(yīng)該重點(diǎn)關(guān)注的工作。


高校數(shù)據(jù)安全目前面臨的困境


數(shù)據(jù)量龐大且敏感級別不斷提升:包括高校師生個(gè)人和家庭數(shù)據(jù),重點(diǎn)實(shí)驗(yàn)室、科研項(xiàng)目等核心數(shù)據(jù),財(cái)務(wù)數(shù)據(jù)、學(xué)生考評等數(shù)據(jù),數(shù)據(jù)量級不斷增大,數(shù)據(jù)一量泄漏可能造成巨大影響;


數(shù)據(jù)安全精細(xì)化管控措施不到位:業(yè)務(wù)系統(tǒng)眾多,安全歸口管理部門不一,敏感數(shù)據(jù)散落各處,安全防護(hù)力度不足,數(shù)據(jù)訪問權(quán)限難梳理,未落實(shí)精細(xì)化安全管控措施;


數(shù)據(jù)安全管理制度體系不完善 :高校管理鏈條較長,數(shù)據(jù)安全管理組織架構(gòu)不健全,數(shù)據(jù)安全責(zé)任人不明確,數(shù)據(jù)安全管理制度缺失,數(shù)據(jù)安全操作流程和規(guī)范沒有明確要求;


內(nèi)部數(shù)據(jù)共享安全風(fēng)險(xiǎn)難把控:對敏感數(shù)據(jù)流向和數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和管理,難以感知數(shù)據(jù)濫用、數(shù)據(jù)竊取等風(fēng)險(xiǎn)。缺少數(shù)據(jù)溯源手段,無法對數(shù)據(jù)泄露事件進(jìn)行應(yīng)急處理。


敏捷方案鑄造數(shù)據(jù)安全的“定海神針”


針對這樣的數(shù)據(jù)安全現(xiàn)狀,高校該如何做好數(shù)據(jù)安全建設(shè)呢?敏捷科技認(rèn)為需要技術(shù)和管理雙管齊下,以數(shù)據(jù)分類分級為起點(diǎn),以管理制度為依據(jù),在具體建設(shè)過程和環(huán)節(jié)中,利用終端數(shù)據(jù)安全防護(hù)技術(shù),逐步構(gòu)建覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全防護(hù)體系,實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)與統(tǒng)一管理的持續(xù)優(yōu)化和逐步提升。


在管理制度方面

高校應(yīng)結(jié)合法律法規(guī)、部門規(guī)章、行業(yè)標(biāo)準(zhǔn),制定數(shù)據(jù)分類分級標(biāo)準(zhǔn),梳理出高校信息系統(tǒng)重要的數(shù)據(jù)目錄,明確個(gè)人隱私和敏感數(shù)據(jù)保護(hù)范圍。


比如,在制定數(shù)據(jù)安全管理與隱私保護(hù)相關(guān)辦法中,高校需明確數(shù)據(jù)收集、存儲(chǔ)、處理、共享等關(guān)鍵環(huán)節(jié)的操作規(guī)范、管理部門職責(zé)分工、應(yīng)急管理與安全檢查機(jī)制,充分發(fā)揮各部門和各類人員在數(shù)據(jù)安全保障工作中的作用,共同遵守和執(zhí)行安全規(guī)章制度,保障數(shù)據(jù)安全策略的貫徹落實(shí)。

在防護(hù)技術(shù)方面


>>> 數(shù)據(jù)存儲(chǔ):對師生敏感數(shù)據(jù)或重要數(shù)據(jù)進(jìn)行加密存儲(chǔ),防止黑客竊取、設(shè)備損壞、文件被盜等原因造成信息泄漏;對電腦終端、應(yīng)用服務(wù)器、文件服務(wù)器等重要系統(tǒng)部署勒索軟件防范勒索攻擊。


>>> 數(shù)據(jù)訪問:通過對核心數(shù)據(jù)定密,結(jié)合對內(nèi)部人員的權(quán)限進(jìn)行細(xì)粒度的操作權(quán)限控制,防止“高密低流”。通過與業(yè)務(wù)系統(tǒng)集成,實(shí)現(xiàn)上傳解密和下載加密,使得重要數(shù)據(jù)始終處于加密管控狀態(tài)。


>>> 數(shù)據(jù)交互:采用DLP數(shù)據(jù)防泄漏系統(tǒng)對重要文件的處理、傳輸進(jìn)行管控;配合多層級的外發(fā)審核和水印溯源技術(shù),加強(qiáng)數(shù)據(jù)流動(dòng)場景下的安全保障和風(fēng)險(xiǎn)監(jiān)測,實(shí)現(xiàn)數(shù)據(jù)可控流動(dòng)。


敏捷科技基于多年數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn),結(jié)合《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)的要求和高校數(shù)據(jù)安全風(fēng)險(xiǎn)場景,為高校數(shù)據(jù)安全建設(shè)提供全生命周期的數(shù)據(jù)防泄密解決方案,助力高校數(shù)據(jù)使用變得更加合法合規(guī)、安全高效。

電話:18120179909