91av爱爱,一色桃子一区二区,少妇偷乱偷乱视频在线

99re8精品视频在线观看_邪恶帝无翼乌福利全彩_HD中字幕在线观看,拍床戏被肉h高h电影,四虎最新地址,美女视频黄免费观看

熱門閱讀

美創科技打造縣域醫療災備新標桿｜神木市醫院 HIS 系統數據庫分鐘級切換演練實錄

2025-07-02

百萬罰單警示！DCAS助力金融機構筑牢數據安全防線，實現監管合規

2025-06-20

2025中國互聯網產業年會丨《中國互聯網產業綠色算力發展倡議》正式發布

2025-02-07

美創用戶專訪 | 精細化管理：醫療行業數據分類分級的策略與實踐

2025-01-10

容災演練雙月報｜美創助力某特大型通信基礎設施央企順利完成多個核心系統異地容災演練

2025-01-10

深度解讀｜美創科技參編國家標準《數字水印技術實現指南》

2025-07-29

超強解鎖｜美創助力國際連鎖餐飲巨頭數據庫大流量審計實踐

2025-07-28

連續兩年｜美創數據庫審計市場份額 TOP5 !

2025-07-23

美創科技建設項目被評為中國信通院醫療領域“磐安”優秀案例

2025-07-18

解讀 | 美創深度參編GB/T 20988-2025《網絡安全技術信息系統災難恢復規范》

2025-07-18

因數據泄露被罰80萬！高校數據安全合規建設如何開展？

發布時間：2023-08-17 閱讀次數： 2079 次

8月16日，“南昌網警巡查執法”官方公號披露了一起高校數據泄露事件。

根據通報，南昌某高校3萬余條師生個人信息數據在境外互聯網上被公開售賣。南昌公安網安部門即刻開展一案雙查，抓獲犯罪嫌疑人3名，并對涉案高校不履行數據安全保護義務違法行為開展執法檢查。

經查，涉案高校在開展數據處理活動中：

未建立全流程數據安全管理制度
未采取技術措施保障數據安全
未履行數據安全保護義務

導致學校存儲教職工信息、學生信息、繳費信息等3000余萬條信息的數據庫被黑客非法入侵，其中3萬余條教職工、學生個人敏感信息數據被非法兜售。

南昌公安網安部門根據《數據安全法》第四十五條的規定，對該學校作出責令改正、警告并處80萬元人民幣罰款的處罰，對主要責任人作出人民幣5萬元罰款的處罰。

今年3月，株洲某軟件學校網站存在短文件名泄露漏洞；網站系統中存在大量敏感信息，未對前述數據采取應有的技術保護措施，未履行數據安全保護義務，株洲市公安局荷塘分局根據《數據安全法》給予該學校警告，并責令限期改正。

同年7月，國內知名高校畢業生馬某，在讀碩期間通過非法技術手段，盜取個人信息包含2014-2020級本碩博所有學生在內的個人信息，制作成顏值打分網站供任何人隨意瀏覽，被海淀公安分局依法刑事拘留。

2020年，鄭州某學校兩萬學生個人信息被泄露，以表格的形式在微信、QQ等社交平臺上流傳。新鄭市公安局依據《網絡安全法》對該校及負有領導責任的一名副校長和直接責任人進行行政處罰。

數據安全監管常態化

高校需“合規”而行

在《網絡安全法》、《數據安全法》、《個人信息保護法》“三駕馬車”相繼落地，為數據安全管理和體系建設奠定法治基石的宏觀背景之下，我國公安網信等監管部門也在不斷加強數據安全相關執法力度和頻度。

根據清華大學智能法治研究院6月17日發布報告顯示，公開發布依據《數據安全法》作出行政處罰決定典型案例有34起，2021年數據安全領域的行政執法案例共4起、2022年案例共7起，而僅2023年1月至6月依據《數據安全法》作出行政處罰決定案例就達23起。

今年3月，浙江某科技有限公司涉數據安全違法，當地警方依據數據安全法處以100萬罰款。

而此次南昌高校80萬罰款，則成為2023年公開報道的幾起數據安全處罰事件中，為數不多的高額罰款案例！

近年來，高校因數據安全防護不力，而導致大量數據泄露或被非法使用的情況屢屢發生，此前徐玉玉事件導致的悲劇，以及多起信息泄露事件，引發社會廣泛關注。

數據安全相關的立法、執法行動正日益交織成了一張細密的大網，高校作為我國高層次人才培養與科學研究的重要基地，掌握著大量個人信息、科研數據，更需全面提升數據安全防護意識，層層壓實責任，切實履行數據安全保護義務，建立健全全流程數據安全管理制度，采取相應的技術措施和其他必要措施保障數據安全。

進行數據安全合規建設

六個問題成主要挑戰

目前大多數高校已完成信息管理系統和公共數據平臺建設，并圍繞教育數據的共享、挖掘和利用開展多維度的創新工作，但傳統的信息安全建設無法覆蓋現有的數據安全問題，新問題、新風險交織：

數字化轉型造成數據敏感級別不斷提升

多年信息化、數字化建設，目前高校數據海量增長。高校師生個人和家庭數據真實性強且不可逆性、數據量級不斷增大；而重點實驗室、科研項目等核心數據，財務數據、學生考評等數據，因其高敏感高價值，成為竊取/篡改重點目標。

數據安全管理制度體系不夠完善

高校數據信息涉及部門眾多，涉及較廣，普遍存在鏈條較長，數據安全管理組織架構不健全，數據安全責任人不明確的普遍存在，導致數據安全管理制度缺失，數據安全操作流程和規范沒有明確要求，數據安全考核和效果評價沒標準。

工作人員缺乏數據安全意識

數據安全在高校傳統認識中，仍是網絡信息安全的一部分，對數據安全工作缺乏重點關注，對安全法律法規不了解，數據安全風險意識低下，數據風險防范能力不足，存在敏感數據隨便私存和分發等問題。

數據安全精細化管控措施普遍缺位

高校的業務系統眾多，安全歸口管理部門不一，這導致敏感數據散落各處，數據訪問角色復雜，系統漏洞百出；而由于大多高校未開展數據分類分級，不清晰數據流向，難摸清數據底賬，導致無法差異化、精細化落實安全管控措施。

系統運維特權賬號缺少管控措施

高校信息中心因人員不足的問題，會引入第三方或兼職學生進行響相關的運維工作，并賦予訪問權限，這存在嚴重安全隱患；運維人員極易受黑市誘惑、好奇心驅動、人情請托等因素，利用便利條件達到竊取數據、篡改數據。

API數據共享安全風險難感知

高校業務系統數據抽取和交換，多是通過API接口進行數據讀取，但由于缺少相應措施，對敏感數據流向和數據安全風險進行監控、管理和審計溯源，高校難以感知數據濫用、數據竊取等風險。

守好數據安全合規底線

制度、技術、運營是關鍵

針對高校數據安全現狀和主要問題，如何做好數據安全建設？

美創科技認為需要從制度、技術和運營著手，以數據分類分級為起點，以管理制度為依據，在具體建設過程和環節中，充分利用和發揮好各種關鍵技術的作用，分段實施，體系規劃，逐步構建覆蓋數據全流程、全鏈路的數據安全防護技術體系，最后構建數據安全運營體系，實現數據安全的持續優化和提升。

分類分級是建設基礎

《網絡安全法》規定網絡運營者應當采取數據分類、重要數據備份和加密等措施保護網絡安全。《數據安全法》則進一步規定，根據數據在經濟社會發展中的重要程度，對數據實行分類分級保護。

高校應結合法律法規、部門規章、行業標準（如：《教育部等七部門關于加強教育系統數據安全的通知》、《教育系統核心數據和重要數據識別認定工作指南（試行）的通知》等），制定數據分類分級標準，梳理出高校信息系統重要的數據目錄，明確個人隱私和敏感數據保護范圍，達到分類分級保護的效果。其中達到秘密級的數據應當遵循《保守國家秘密法》的規定。

管理制度是建設依據

《教育部等七部門關于加強教育系統數據安全的通知》中明確，應健全覆蓋數據收集、傳輸存儲、使用處理、開放共享等全生命周期的數據安全保障制度。

對此，高校可從決策層、管理層、執行層、配合層、監督層5個層面進行組織建設，明確數據安全責任人；在制定數據安全管理與隱私保護相關辦法中，明確數據收集、存儲、處理、共享等關鍵環節的操作規范、管理部門職責分工、應急管理與安全檢查機制，從而充分發揮各部門和各類人員在數據安全保障工作中的作用，共同遵守和執行安全規章制度，保障數據安全策略的貫徹落實。

數據安全需全鏈路建設

根據《數據安全法》的規定，數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

因此，在數據安全建設中，高校需梳理數據應用重要業務場景，評估其數據安全現狀，在數據分類分級的基礎上，分段實施、體系規劃、面向數據訪問域、存儲域、流動域，落實覆蓋數據全鏈路的數據安全技術防護體系。

在數據存儲域：對師生敏感數據或重要數據進行加密存儲，防止黑客拖庫、磁盤丟失、備份文件被盜等原因造成敏感信息泄漏；對重要啞終端、數據庫服務器、應用服務器、文件服務器等重要系統部署勒索軟件防范勒索攻擊；同時借用數據災備保障業務連續。

在數據訪問域：通過數據庫防水壩對運維人員的權限進行細粒度的操作權限控制，實現DBA權限分離控制、防止越權，實現DML/DDL操作指令控制，防止誤操作；通過數據庫防火墻防范黑客通過SQL注入漏洞和數據庫漏洞進行網絡攻擊和數據竊取；采用DLP數據防泄漏系統對重要文件的處理、傳輸進行管控；通過數據庫審計實現數據庫訪問的各類操作行為的監控和記錄、審計溯源。

在數據流動域：通過靜態脫敏、水印溯源、API監測與訪問控制等能力，加強數據流動場景下的安全保障和風險監測，實現數據可控流動。

安全是一個不斷變化的過程。為了應對變化，高校應對數據安全進行持續優化改進與運營，以看見驅動安全，從全局視角提升對數據安全威脅的發現識別、理解、分析和響應能力，實現資產全域可管、風險全域可視、策略全域聯動，充分盤活整體數據安全防護能力，最終形成一體化的數據安全管理、安全監控和安全運營體系，實現數據安全統一運營。