新形势下的高校数据防护思考
来源:河南大学 作者:任小金 河南大学信息化管理办公室副主任 发表于:2020.09.30 657浏览
文/任小金,河南大学信息化管理办公室副主任
随着《中华人民共和国数据安全法(草案)》的发布,数据安全治理与防护被提升到了法律层面,要求各行业切实履行数据在生成、传输、处理、存储、利用、销毁等方面的安全防护义务,确保数据的安全性。高校的安全建设方向以及思路也应遵循国家的总体指导方针,由传统的以“网络”为中心的安全思路转变为以“数据”为核心的安全防御理念,所有的安全管理制度与技术手段都应以保护数据安全为出发点,以“数据”的可用性、完整性、机密性三项指标为审核条件,做到高校数据安全防护的闭环管理。为此,我们认为需从数据资产梳理、管理与技术、安全运营评估三个方面对数据进行防护。
一、数据资产梳理
在资产梳理阶段需要考虑两件事:一是学校现有哪些数据资产以及资产相关的属性;二是数据资产使用与管理必然涉及开启、关闭,这是一个动态过程,因此需考虑引入管理机制。
从业务层面来讲学校的数据主要分为:组织机构信息,教职工数据,教学数据,科研数据,财务资产数据,数字档案,个人信息数据等。存储这些数据的服务器的物理位置、IP地址、开放端口、数据核心表字段等应为首要的梳理对象。其次,需关注数据资产直接关联的资产信息,包括中间件、运维审计平台、接入交换机、虚拟化平台等资产的相关信息。资产梳理的完整性直接决定了治理的有效性,是整个数据安全治理工作的核心。此项工作需各业务部门配合,明确分工、职责到人,做到不遗漏。
前期梳理完成后,在学校数据运营过程中会涉及资产的增删改,所以学校内部需要形成数据资产的审批流程,通过人工或自动方式实现数据资产的变动。
二、管理与技术
数据安全管理的核心为“人”,从访问数据的人员组成来区分,主要包括学校师生的安全意识、安全团队管理、三方运维人员管理。
1.安全防御最行之有效的方式就是提升数据使用人员的安全意识。学校的师生是管理的核心。学校可以通过多种途径加强其安全意识,如:设置公开课加强对学生的网络安全法制教育;对相关专业的学生增加数据安全知识防护相关课程;开设安全知识专题讲座;举办安全技能大赛;紧抓实事热点,在校园内开展数据安全宣传工作等。
2.加强安全人员的风险意识和知识技能。“看不见风险是最大的风险”,学校的安全团队应先识别风险,继而化解风险。提升风险意识就是把数据安全防控重点放在风险事件发生之前,不应总是疲于奔命的进行应急处置,不应总是担任“救火队员”,而应该将风险前移,将工作重心放在事前预防、事中控制,重点放在对尚未暴露的风险隐患的排查、发现和及时化解,做到未雨绸缪,心中有数,防患于未然。如果风险事件真正发生了,应深入总结分析,查明根本原因,举一反三,落实整改措施,直至彻底解决。要提升安全知识技能储备,提升漏洞的发现和修复能力,根据国家标准如《数据中心设计规范》、《网络安全等级保护基本要求》保障学校内部的数据中心安全。
3.引入三方外包增加了数据安全的风险点。数据资产作为学校的核心资产,其根本的控制权应该在学校,涉及到数据中心的账户管理、权限控制、审计策略、认证体系等需要自主管理与运营。涉及到业务侧的功能改造或是性能调优层面必须引入外包人员,则需要在受控的情况下开展工作,并对其行为进行完整记录。
同时,我们应从“数据”出发,明确访问数据的来源,并做好以下技术控制:
1.网络访问的访问控制:严格划分网络安全域,分为业务安全域、数据中心安全域、安全管理中心安全域。每个区域之间通过网络防护墙策略进行IP以及端口层面的控制,尤其需要注意的是安全域内部的主机主动外发的网络连接行为,如非必须一律禁止,原则上只允许运维审计堡垒机的IP和业务的IP可以访问数据中心IP的指定端口。
2.应用级别访问控制:通过自学习架构进行学校数据访问准入规则的固化——自动学习到数据访问行为的五元素“访问源地址、访问源主机名称、访问源用户名称、访问工具名称、登录帐号名称”,设置固化安全规则。未被固化的数据接入行为都会被进行应用层的实时预警和阻断会话。
3.访问行为控制:基于最小化权限原则,对数据库的传输协议进行解析控制。控制数据库的权限,要细化到关键表字段以及操作,如:对学生及教职工关键信息表设计的违规查询,对考试信息修改操作等设置行为基线策略,防止信息非法篡改与泄露,特别是学生成绩、一卡通、教职工职称等关系到个人切身权益的信息,最终提升关键数据的安全防护能力。
4.业务的漏洞防护:业务系统的漏洞安全问题会引发数据泄漏风险,因为业务系统一般都委托第三方软件提供商开发,因此是学校最不可控的安全风险。在这里提供一些风险的纵深处置思路:事前预防,事中控制。“事前预防”要求软件供应商提供内部的SDL安全开发标准流程,例如源代码中对数据访问的模块采用预编译技术控制,上传文件部分、调用系统命令采用白名单的过滤机制;要求采用多因素认证体系规避弱密码风险。“事中控制”,思考这一层的安全需要一个假设,假设业务是不安全的,因此需要构筑第二道数据安全防线,对业务SQL语句的关键字、逻辑关系等特征自动采样学习,并结合高性能的SQL语义分析计算,构建对应的SQL语法树,完成模态数据建模。从而对未知威胁进行高效、及时、精准的预警和阻断,并追踪到攻击源,这样就能彻底解决互联网接入、无线接入等外围接入方式造成的SQL注入、APT攻击等“脱裤”行为。
5.数据中心运维安全:在运维方面需要避免共享账号问题,需要做到为每个人分配不同权限的账号,并统一通过堡垒机进行数据中心的运维和审计,避免使用数据库特权账号的登录。
三、数据安全运营评估
安全是业务的属性,安全的目标是保障业务里信息资产的保密性、完整性和可用性,简记为CIA。CIA是安全的目标,自然也是安全架构要达成的目标。
学校的数据CIA是否能被有效保障,可以基于5A的安全架构进行评估,即身份认证、授权、访问控制、审计、资产保护。运营评估可以是内部审核也可以是借助第三方进行。
1.身份认证作为信任基础,最核心的评估手段是检查数据访问账户是否存在弱密码问题。
2.授权的评估可以基于“网络接入授权”和“数据可访问内容级别的授权”设计规范。
3.访问控制是授权设计的执行。评估手段主要是依靠基于授权的设计规范,查看网络端口级别的控制措施以及数据访问账号的权限。
4.运维和业务的数据流审计,主要指审计数据是否符合独立性原则(不可被篡改)和符合法律法规的存储时间要求。
5.资产保护涉及的内容有:基于数据资产的漏洞探测和修复,重要业务数据共享的安全控制机制,数据传输、存储过程的加密机制。
评估数据安全建设的手段还有很多,在资源有限的情况下可以基于5A框架有重点的进行分析评估,查漏补缺,不断地完善学校数据安全治理工作。
高校数据安全防护需要不断感知安全形势,完善组织建设,落实管理责任,优化制度流程,升级技术工具,提升专业技能,推动学校数据安全管理水平不断取得新突破、迈上新台阶。