午夜精品一区二区三区的区别,无码任你躁久久久久久久,WWW亚洲精品久久久,国产免费av片在线播放

隨著我國數(shù)據(jù)安全法律體系的建立，各級(jí)網(wǎng)信辦、教育主管部門開始加大教育系統(tǒng)數(shù)據(jù)安全檢查的頻度和力度。數(shù)據(jù)安全檢查工作主要依據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)，參考《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》（以下簡稱《指南》）等標(biāo)準(zhǔn)規(guī)范，重點(diǎn)檢查數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)等方面的工作。

數(shù)據(jù)安全檢查的重點(diǎn)方向

　　一是數(shù)據(jù)安全管理。重點(diǎn)檢查評(píng)估數(shù)據(jù)安全管理是否到位，包括數(shù)據(jù)安全制度體系、數(shù)據(jù)安全組織架構(gòu)、數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)分類分級(jí)、合作外包管理、開發(fā)運(yùn)維管理等制度落實(shí)情況，以及重大數(shù)據(jù)安全事件處置情況等。

　　二是數(shù)據(jù)處理活動(dòng)。重點(diǎn)檢查評(píng)估數(shù)據(jù)安全防護(hù)措施是否有效，包括數(shù)據(jù)邊界防護(hù)安全、訪問身份鑒別、訪問權(quán)限控制、安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警、數(shù)據(jù)對(duì)外接口管理、數(shù)據(jù)庫安全審計(jì)等安全措施的有效性。

　　三是數(shù)據(jù)安全技術(shù)。重點(diǎn)檢查評(píng)估數(shù)據(jù)處理活動(dòng)是否合規(guī)，包括：數(shù)據(jù)來源是否合法合規(guī)，數(shù)據(jù)存儲(chǔ)安全策略和操作規(guī)程是否完善，數(shù)據(jù)使用加工是否合法正當(dāng)，數(shù)據(jù)傳輸鏈路是否安全可靠，數(shù)據(jù)對(duì)外提供和數(shù)據(jù)公開是否經(jīng)過嚴(yán)格的安全評(píng)估和審批，數(shù)據(jù)出入境是否合規(guī)備案，數(shù)據(jù)刪除是否及時(shí)徹底，等等。

　　四是個(gè)人（含未成年人）信息保護(hù)。重點(diǎn)檢查評(píng)估個(gè)人信息保護(hù)要求是否落實(shí)，包括收集、使用個(gè)人信息是否遵循合法、誠信、正當(dāng)、必要原則，處理個(gè)人信息前是否取得個(gè)人同意，是否采取個(gè)人信息加密、去標(biāo)識(shí)化等安全技術(shù)措施，委托處理個(gè)人信息是否簽署合同、約定并監(jiān)督落實(shí)，是否按要求開展個(gè)人信息保護(hù)影響評(píng)估，是否建立個(gè)人信息投訴舉報(bào)機(jī)制和個(gè)人信息安全應(yīng)急預(yù)案，等等。

　　需要注意的是，個(gè)人信息保護(hù)包含未成年人個(gè)人信息保護(hù)，高校往往認(rèn)為自己不涉及，然而安全檢查的結(jié)果表明高校業(yè)務(wù)系統(tǒng)一般都管理有未滿十八歲的未成年人信息，應(yīng)該采取措施做好未成年人個(gè)人信息的保護(hù)。

數(shù)據(jù)安全現(xiàn)狀與問題

　　近年來，教育系統(tǒng)接連發(fā)生多起數(shù)據(jù)安全事件，影響惡劣。對(duì)這些安全事件進(jìn)行分析，主要存在這些安全漏洞：業(yè)務(wù)系統(tǒng)存在越權(quán)漏洞，管理賬號(hào)存在弱口令，導(dǎo)致非法入侵，泄露師生信息；運(yùn)維人員使用“廢棄”測(cè)試賬號(hào)，非法獲取信息；植入木馬，竊取數(shù)據(jù)；發(fā)布信息時(shí)未采取脫敏遮蔽處理。

　　通過安全檢查或自我評(píng)估，以上安全隱患并不是只在少數(shù)高校存在，而是時(shí)有發(fā)生，所幸的是多數(shù)學(xué)校暫未導(dǎo)致安全事件出現(xiàn)。面對(duì)嚴(yán)峻的數(shù)據(jù)安全形勢(shì)，高?？梢詫?duì)照《指南》組織自查，形成自查報(bào)告，同步開展整改工作。

　　總結(jié)最近幾次參與省市級(jí)數(shù)據(jù)安全檢查的情況，高校數(shù)據(jù)安全工作中突出的問題主要包括：存儲(chǔ)個(gè)人敏感信息時(shí)未采用數(shù)據(jù)庫加密技術(shù)，將個(gè)人敏感信息和其他一般信息分開存儲(chǔ)；UI界面展示個(gè)人敏感信息時(shí)，未進(jìn)行動(dòng)態(tài)脫敏，存在信息泄露風(fēng)險(xiǎn)；未建立數(shù)據(jù)資產(chǎn)分級(jí)分類管理制度；未對(duì)測(cè)試數(shù)據(jù)采用去標(biāo)識(shí)化處理；未對(duì)內(nèi)部數(shù)據(jù)操作人員進(jìn)行最小授權(quán)，使得其只能訪問職責(zé)所需的最少夠用的個(gè)人信息。

校園數(shù)據(jù)安全體系設(shè)計(jì)

　　數(shù)據(jù)安全檢查一般從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面開展，還會(huì)選取學(xué)校重要的業(yè)務(wù)系統(tǒng)進(jìn)行抽查，如統(tǒng)一身份認(rèn)證、辦事大廳、數(shù)據(jù)中臺(tái)或共享交換平臺(tái)、教務(wù)、研究生、學(xué)工、科研創(chuàng)新服務(wù)平臺(tái)、國際交流、留學(xué)生管理、對(duì)校外開放的小程序等。

　　目前，高校數(shù)據(jù)安全工作普遍處于起步階段，數(shù)據(jù)安全標(biāo)準(zhǔn)及規(guī)范尚不健全，缺乏統(tǒng)一管理，數(shù)據(jù)共享及交換缺少控制措施，加上很多高校在數(shù)據(jù)安全上缺少經(jīng)費(fèi)和專職人員，導(dǎo)致風(fēng)險(xiǎn)點(diǎn)多，需要整改的問題多。同時(shí)，由于高校各種業(yè)務(wù)系統(tǒng)建設(shè)周期不一，很多系統(tǒng)老舊、建設(shè)不規(guī)范、擴(kuò)展性低，針對(duì)安全風(fēng)險(xiǎn)升級(jí)改造的難度大。

　　因此，高校數(shù)據(jù)安全問題的解決難以一步到位，分階段逐步實(shí)施是務(wù)實(shí)的做法。當(dāng)務(wù)之急是進(jìn)行校園數(shù)據(jù)安全體系設(shè)計(jì)，打造出數(shù)據(jù)安全層，消除嚴(yán)重的安全隱患，行使必要的數(shù)據(jù)防護(hù)作用。以大數(shù)據(jù)中心應(yīng)用場(chǎng)景為例，可以采用如圖1所示的數(shù)據(jù)安全架構(gòu)，保證數(shù)據(jù)中臺(tái)的安全和數(shù)據(jù)規(guī)范使用。

　■ 數(shù)據(jù)庫審計(jì)

　　部署數(shù)據(jù)庫審計(jì)系統(tǒng)，防范數(shù)據(jù)庫系統(tǒng)重要數(shù)據(jù)丟失、被篡改等風(fēng)險(xiǎn)。數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)數(shù)據(jù)安全起著重要作用：一是對(duì)數(shù)據(jù)庫操作日志進(jìn)行管理分析，并確保日志不可篡改；二是對(duì)于數(shù)據(jù)庫操作進(jìn)行全程監(jiān)控和告警，同時(shí)提供事后現(xiàn)場(chǎng)還原和追溯的能力。

　　啟用數(shù)據(jù)庫審計(jì)，在解決數(shù)據(jù)安全隱患的同時(shí)，還能滿足《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》和《中華人民共和國網(wǎng)絡(luò)安全法》中對(duì)于數(shù)據(jù)訪問控制以及安全審計(jì)的合規(guī)性要求。

　　■ 數(shù)據(jù)加密

　　目前，用于存儲(chǔ)個(gè)人信息的數(shù)據(jù)庫絕大多數(shù)仍然處于明文存儲(chǔ)的狀態(tài)，存在極大的安全隱患與合規(guī)性問題。采用數(shù)據(jù)庫加密產(chǎn)品，對(duì)數(shù)據(jù)庫中的敏感字段進(jìn)行密文存儲(chǔ)，僅對(duì)授權(quán)用戶透明可見，從而有效防止數(shù)據(jù)庫高權(quán)限賬號(hào)泄露、黑客攻擊、硬件丟失、維修等造成數(shù)據(jù)泄露。

　　■ 數(shù)據(jù)脫敏（靜脫與動(dòng)脫）

　　在數(shù)據(jù)交換共享的場(chǎng)景下，防范數(shù)據(jù)安全風(fēng)險(xiǎn)，采用數(shù)據(jù)脫敏技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行“去標(biāo)識(shí)化”和“匿名化”處理。在滿足業(yè)務(wù)可用性的前提下，實(shí)現(xiàn)數(shù)據(jù)的“最小共享”，從而保證安全性與合規(guī)性。

數(shù)據(jù)安全整改實(shí)施

　　當(dāng)前，高校數(shù)據(jù)安全工作面臨資金不足、人才短缺等困難，可以以“最小必要”的要求務(wù)實(shí)開展整改工作。在數(shù)據(jù)安全管理方面，除了健全數(shù)據(jù)安全制度外，重點(diǎn)要做好數(shù)據(jù)分類分級(jí)工作。在數(shù)據(jù)安全技術(shù)上，除了采購必要的脫敏、加密專用設(shè)備外，還可利用新建或業(yè)務(wù)系統(tǒng)升級(jí)改造的機(jī)會(huì)，對(duì)敏感數(shù)據(jù)的處理增加軟件脫敏、加密等功能模塊，有效防范安全風(fēng)險(xiǎn)。

　　數(shù)據(jù)分類分級(jí)實(shí)踐

　　校園數(shù)據(jù)安全體系中，數(shù)據(jù)分類分級(jí)工作需要先行啟動(dòng)，便于后續(xù)各個(gè)環(huán)節(jié)針對(duì)不同的安全級(jí)別采取不同的安全措施。數(shù)據(jù)分類分級(jí)依據(jù)即將正式實(shí)施的《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》國家標(biāo)準(zhǔn)，根據(jù)數(shù)據(jù)的重要程度將數(shù)據(jù)從高到低分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個(gè)級(jí)別。

　　當(dāng)前，高校數(shù)據(jù)安全工作的困難之一是數(shù)據(jù)分類分級(jí)沒有找到高效的方法。很多高校為了應(yīng)對(duì)數(shù)據(jù)安全檢查，采用純手工方式對(duì)被抽查的數(shù)據(jù)源進(jìn)行分類定級(jí)。一些數(shù)據(jù)安全廠商可以提供數(shù)據(jù)分類分級(jí)工具，但實(shí)際使用起來效果不好，原因在于前期建設(shè)的業(yè)務(wù)系統(tǒng)設(shè)計(jì)不規(guī)范、數(shù)據(jù)文檔缺失、數(shù)據(jù)質(zhì)量差，難以應(yīng)用自動(dòng)化的方法。

　　高校業(yè)務(wù)系統(tǒng)之間、數(shù)據(jù)服務(wù)接口之間具有一定的邏輯關(guān)聯(lián)，這些個(gè)性化的關(guān)系通用的處理工具難以把握，值得自行研究相關(guān)算法進(jìn)行關(guān)聯(lián)性相似性分析、聚類分析，輔助數(shù)據(jù)的分類分級(jí)工作。

　　因此，現(xiàn)階段適合高校的數(shù)據(jù)分類分級(jí)工作應(yīng)該是將基于規(guī)則的人工處理、使用數(shù)據(jù)分類分級(jí)工具、適合學(xué)校的智能分析算法結(jié)合起來，進(jìn)行應(yīng)用導(dǎo)向的分類分級(jí)演進(jìn)處理，提高數(shù)據(jù)分類分級(jí)工作的有效性。

軟件脫敏與加密設(shè)計(jì)

　　高校教務(wù)、學(xué)工、人事等核心信息系統(tǒng)中管理著與師生相關(guān)的各種類型數(shù)據(jù)，包括部分敏感及隱私數(shù)據(jù)。數(shù)據(jù)安全要求對(duì)定級(jí)為“重要”以上的數(shù)據(jù)項(xiàng)，共享展示時(shí)應(yīng)進(jìn)行脫敏，存儲(chǔ)時(shí)應(yīng)進(jìn)行加密。為保障師生的隱私和公共安全，在上述業(yè)務(wù)系統(tǒng)升級(jí)改造時(shí)應(yīng)同時(shí)對(duì)涉及師生敏感及隱私數(shù)據(jù)的相關(guān)功能進(jìn)行脫敏和加密處理。具體可從以下幾個(gè)方面展開。

　　1.UI界面信息脫敏設(shè)計(jì)

　　學(xué)校核心業(yè)務(wù)系統(tǒng)中，很多查詢、瀏覽、統(tǒng)計(jì)功能往往將涉及師生隱私的信息明文顯示，如教職工庫、導(dǎo)師庫、專家?guī)臁W(xué)生學(xué)籍庫等信息的檢索查詢、瀏覽顯示、匯總統(tǒng)計(jì)等。為防止教職工、學(xué)生的敏感隱私數(shù)據(jù)被非法獲取或不當(dāng)使用，當(dāng)它們需要在UI界面里展示時(shí)，應(yīng)該進(jìn)行脫敏處理，以免敏感數(shù)據(jù)直接泄露。

　　2.脫敏展示及交互方式設(shè)計(jì)

　　對(duì)有關(guān)師生的敏感信息進(jìn)行變形處理，使其在軟件UI界面上展示時(shí)不會(huì)暴露真實(shí)的個(gè)人信息。為保持界面風(fēng)格一致，可以將脫敏部分用“***”來表示，例如對(duì)于11位手機(jī)號(hào)，可以將第4～7位進(jìn)行脫敏，統(tǒng)一顯示為星號(hào)；對(duì)于身份證號(hào)碼，可以將第7～14位進(jìn)行脫敏顯示；對(duì)于地址信息，可以將省市區(qū)街道后面的具體地址信息進(jìn)行脫敏顯示；等等。

　　3.脫敏管控設(shè)置

　　為保證系統(tǒng)的實(shí)用性和業(yè)務(wù)的完整性，在后臺(tái)設(shè)置信息脫敏開關(guān)，控制是否開啟信息脫敏，還可以進(jìn)行脫敏規(guī)則的管理，針對(duì)不同的數(shù)據(jù)項(xiàng)定義各自的脫敏規(guī)則。

　　從實(shí)用角度出發(fā)，脫敏處理還應(yīng)該支持合規(guī)、授權(quán)的原始信息查閱，系統(tǒng)應(yīng)該提供查看脫敏內(nèi)容的二次驗(yàn)證方式，即在相關(guān)UI界面上集成登錄密碼、手機(jī)驗(yàn)證、微信驗(yàn)證等驗(yàn)證方式，支持敏感數(shù)據(jù)的授權(quán)查閱。

　　4.日志管理及審計(jì)

　　安全改造后的系統(tǒng)，直接查看到的是脫敏后的信息。如需查看相關(guān)的詳細(xì)信息，則要彈出顯示框進(jìn)行二級(jí)賬號(hào)認(rèn)證，此時(shí)需要保存瀏覽日志至數(shù)據(jù)庫，后臺(tái)同步設(shè)計(jì)日志管理及審計(jì)功能。

　　授權(quán)用戶查看脫敏信息時(shí)，需要彈出框提示登錄二級(jí)賬號(hào)進(jìn)行驗(yàn)證，并保存瀏覽日志至數(shù)據(jù)庫。授權(quán)用戶編輯、修改脫敏信息時(shí)，也需要二級(jí)賬號(hào)驗(yàn)證，并保存修改日志至數(shù)據(jù)庫。

　　5.數(shù)據(jù)加密存儲(chǔ)

　　根據(jù)數(shù)據(jù)分類分級(jí)的情況，對(duì)于少數(shù)核心數(shù)據(jù)項(xiàng)，在系統(tǒng)數(shù)據(jù)采集界面設(shè)計(jì)數(shù)據(jù)加密功能，采用國產(chǎn)化密碼算法對(duì)原始數(shù)據(jù)項(xiàng)進(jìn)行加密運(yùn)算，將密文存儲(chǔ)在數(shù)據(jù)庫中。在需要使用該核心數(shù)據(jù)的場(chǎng)景，通過權(quán)限驗(yàn)證后將密文存儲(chǔ)讀取出來，使用對(duì)應(yīng)的解密算法對(duì)加密數(shù)據(jù)進(jìn)行解密，并進(jìn)行合規(guī)使用。

總結(jié)

　　高校數(shù)據(jù)安全工作的落實(shí)已極為迫切，文中介紹的校園數(shù)據(jù)安全體系是以數(shù)據(jù)中臺(tái)應(yīng)用場(chǎng)景為例進(jìn)行設(shè)計(jì)，傳統(tǒng)的業(yè)務(wù)數(shù)據(jù)庫應(yīng)用場(chǎng)景可以參照此架構(gòu)中數(shù)據(jù)安全層的工作內(nèi)容，在生產(chǎn)數(shù)據(jù)庫與業(yè)務(wù)功能模塊之間應(yīng)用數(shù)據(jù)審計(jì)、脫敏、加密等數(shù)據(jù)安全技術(shù)。

　　為了做好數(shù)據(jù)安全工作，可以根據(jù)《指南》和《數(shù)據(jù)安全（個(gè)人信息保護(hù)）風(fēng)險(xiǎn)檢查指標(biāo)表》，梳理本單位信息系統(tǒng)資產(chǎn)，形成信息系統(tǒng)清單和重要數(shù)據(jù)資產(chǎn)清單、重要信息系統(tǒng)《數(shù)據(jù)安全檢查業(yè)務(wù)系統(tǒng)評(píng)估調(diào)研表》，開展自查工作。在經(jīng)費(fèi)、人力緊張的情況下，也要盡早啟動(dòng)數(shù)據(jù)分類分級(jí)、審計(jì)、脫敏、加密等必要工作，消除安全隱患。

　　來源：《中國教育網(wǎng)絡(luò)》2024年8月刊

　　作者：徐明、陳昊、陳錦繁、張聰（深圳大學(xué)信息中心）

　　責(zé)編：陳永杰