在《数据安全法》新合规要求下,教育行业如何做好数据安全治理?
2021-07-10
来源:深信服科技
基于学校业务发展需要,如果想要打破各学院间存在的‘信息孤岛’和‘数据鸿沟’问题,不仅需要建设数据中台、做好数据治理,还要同步考量数据安全,打消二级学院数据上报的顾虑。
我们会先将各院系的教研、科研项目及合作项目中产生的大量数据汇聚到信息中心的大数据平台,并通过大数据共享交换平台推送给学校各部门。但我们不清楚哪些部门、在什么时候、使用过什么数据,以及敏感信息如果出现泄露,该用什么办法进行溯源追责。
——某高校信息中心
高校信息中心如何开展数据安全工作?
相关政策法规指明方向
2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)表决通过,标志着数据安全上升到国家安全层面。《数据安全法》规定国家建立数据分类分级保护制度,对数据实行分类分级保护。
其实,早在《数据安全法》颁布前,教育行业就已经将数据安全治理工作推上了教育信息化建设的前线。2020年9月,国家发布《关于加强教育系统数据安全的指导意见》;2021年4月,国家印发《关于加强教育系统数据安全工作的通知》,提出建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录;健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报。
不到一年的时间,国家相继出台一系列教育数据安全保护的政策法规,为教育行业数据安全治理提供了重要的指导和参考。在数据安全合规要求不断升级的大背景下,教育行业又该如何深化数据安全防护能力建设,构建数据安全治理体系?
深信服数据安全技术,护航数据流转全流程
“数据安全治理的本质在于激活数据价值。而数据价值的充分释放取决于数据的通畅流转,数据通畅流转的关键在于流转全程的安全性。”深信服教育事业部运营总监张涛提到。
如何才能确保数据流转过程的安全性,让数据共享交换更安全,数据价值释放更充分?张涛表示,深信服为支撑数据流转全程保护提供了技术保障。
1. 落实分类分级标准,梳理重要数据资产清单
依据国家与教育行业相关数据分类分级标准和规范进行设置,其中数据分类策略用于定义数据的类型,数据分级策略用于定义数据的安全等级。
对接各类型数据库,实现数据资产的自动发现和数据目录的生成,通过机器学习算法对数据进行多维度元数据特征向量自动提取,对相似字段的数据字段进行聚合归类。
智能分类分级推荐。对相似的数据类别与级别进行智能推荐,实现数据的智能分类分级;同时,在用户分类分级过程中还会不断学习用户对数据的标注,提升智能推荐率。目前,分类分级智能推荐率已达到90%以上。
2. 敏感数据梳理与数据资产探查,做到数据全景心中有数
扫描数据中心,生成数据资产全景视图。
根据业务定义分类分级和敏感特征规则,自动识别敏感数据,生成敏感数据地图。
业务动态访问过程中,采集流量,进行涉敏分析,生成涉敏数据集、涉敏应用集、涉敏接口集和涉敏账户集视图。
3. 数据流转监测,风险实时感知
基于大数据计算以及UEBA用户行为分析技术,对用户数据访问流量进行建模,自动生成安全基线。
基线内容包括谁在访问数据,什么时间在访问数据,通过何种途径,访问什么数据,访问了多少数据等。
基于安全基线以及异常行为特征模型对数据访问行为进行研判。
4. 共享交换泄露溯源,责任界定有理有据
基于大数据分析技术,对泄露内容进行检测,快速寻找可能的数据泄露源头。
5. 以运维安全管控,加强数据库的使用安全防护
结合数据分级分类,对不同数据制定不同的数据管控方案,针对不同用户、不同使用场景提供丰富的管理策略。
6. 数据安全态势分析
开展常态化的数据安全监测预警通报,从数据资产、数据访问两种视角出发,对异常状态、异常行为进行监测预警,消除安全隐患。
“数据安全治理是一个聚焦数据全生命周期关键风险要素的全过程,深信服借助大数据和AI的核心技术优势,帮助教育用户实现了‘数据可知、风险可视、安全可管、泄密可塑’的数据安全目标。”
张涛认为,数据安全问题需要一套安全机制来应对,除了利用技术手段加强数据安全保护,建议教育用户建立健全数据安全生命周期管理制度,明确数据安全负责人和管理机构;组织开展数据安全意识培训,建立应急处置机制。从管理、技术、运营多维度保障数据安全,推动数据资产发挥最大价值,赋能教育高质量发展。