在高校如火如荼的數字化轉型建設中,平衡合規與發展的天平,強化數據安全保障,是不可忽視的重要工作。
關于如何有效開展,美創與多所國內一流高校深入實踐,本案例作為美創護航高校數據安全的又一典型項目,覆蓋了組織建設、制度流程、技術工具和人員能力等各個維度,通過風險評估、數據流向分析、分類分級、安全能力搭建及運營服務等,實現一體化數據安全保障落地,值得參考。
浙江中醫藥大學(簡稱:浙中醫大)是浙江省重點建設高校、高水平大學建設高校,是浙江省人民政府、國家中醫藥管理局、教育部共建高校。在2023軟科世界大學學術排名1000強中,浙中醫大躋身779位(中醫藥院校第二位),3個學科進入ESI全球排名前1%。
近年來,浙中醫大積極推進數字技術與教育管理、教育教學科研的深度融合,已搭建完成數據中臺,實現校域核心業務數據動態匯聚、治理、授權開放。但隨著各類業務數據互聯互通,數據安全防護壓力隨之增加。
同時,教育行業合規要求也在持續加碼,尤其自《數據安全法》和《個人信息保護法》頒布實施以來,國家與教育部及相關部門下發多項推進教育領域數據安全工作的政策文件,如《教育部機關及直屬事業單位教育數據管理辦法》、《關于加強教育系統數據安全工作的通知》、《教育系統核心數據和重要數據識別認定工作指南(試行)》等,對數據安全治理與建設提出更明確的合規性要求。
為此,在統籌發展與安全的頂層規劃下,實現數據利用與安全防護一體兩翼,平衡發展的目標。浙中醫大攜手美創,開展以數據中臺為基礎的數據安全風險評估工作,并以此為切入點,通過識別目前風險現狀,進而建立健全數據安全防護體系,具體包括:
基于以上需求,美創結合自身完備的數據安全“咨詢+產品+運營服務”,一體謀劃、分三步開展,助力浙中醫大數據安全體系化升級落地:
結合法律法規及教育行業的相關規定,美創數據安全咨詢服務團隊對浙中醫大數據安全現狀進行綜合摸底,開展數據安全風險評估和分析,包括合規安全、組織建設、制度建設、技術工具等模塊,并完成輸出以下內容:
在組織建設方面,協助輸出完成數據安全管理辦法,明確數據安全管理層、執行層和監督層,建立安全保障小組或責任人機制。
在制度建設方面,結合浙中醫大已具備的信息安全保障體系和制度,新增《浙江中醫藥大學數據安全管理規范》、《浙江中醫藥大學數據合作方管理規范》和《浙江中醫藥大學數據安全演練方案》等。
結合大學人員情況,建立分類分級工作組,制定內部工作匯報流程。通過對校內數據資產進行盤點,劃定本次分類分級工作范圍和工期計劃。重點參考《教育系統核心數據和重要數據識別認定工作指南(試行)》、《教育系統數據分類分級指南(草稿)》、內部《數據目錄白皮書》等,制定分類分級標準,最終形成分類分級大綱。
實施過程,由美創數據安全分類分級平臺支撐,實現數據自動發現識別,并根據分類分級策略智能化處理分類分級標簽,可視化呈現分類分級結果。
數據分類分級大綱
數據分類分級報告
在安全技術建設方面,通過對數據中臺系統安全基線檢查、漏洞掃描、滲透測試等方式,發現數據處理環境中存在的安全漏洞,進行漏洞整改;并以人、行為、數據為中心,錨定重要場景,如數據治理、數據訪問、數據流轉、數據開發場景等,落實數據全鏈路的數據安全技術防護體系,包括:
通過部署數據庫防水壩進行權限細化和訪問處理數據規則細化。
數據庫防水壩
通過部署數據脫敏系統,對敏感數據匿名化處理,在不破壞數據使用價值的前提下,防止開發測試、數據共享、分析挖掘等場景中發生數據泄漏風險。
數據脫敏系統
通過部署存儲加密,對個人隱私數據執行加密存儲,防止明文存儲引起的數據泄露問題。
利用數據水印系統,對敏感數據按需進行水印處理,確保在數據發生泄漏的情況下進行溯源。
數據水印溯源
通過部署API安全監測與訪問控制系統,從資產脆弱性、資產暴露面、賬戶共用、異常訪問等維度,智能監測數據中臺API接口調用過程存在的各類風險,并進行告警阻斷、快速處置;通過數據庫防水壩-高危行為管控進行未授權用戶的操作告警阻斷。
API安全監測與訪問控制系統
以教職工基本信息表為例,如下圖所示,通過在數據源系統【人事系統】,數據開放平臺【數據中臺】,數據使用方【E搜系統】進行加密、脫敏、API監測安全能力建設,實現整體流轉鏈路表的數據安全防護落地。
通過對人事系統中的教職工基本信息表進行分類分級,按照判斷數據敏感等級為3級,基于《浙江中醫藥大學數據分類分級規范》3級要求,對教職工基本信息表進行數據訪問行為管理以及數據導出行為管控,同時對該教職工基本信息表在數據中臺API接口調用行為進行實時監測風險和告警處置。
浙公網安備 33010502006954號 
