当前位置: 防御器材 >> 防御器材资源 >> 数据安全治理教育行业实践
教育行业应立足《网络安全法》、《数据安全法》和《个人信息保护法》,从数据安全面临的主要痛点和需求出发,形成多方共同参与的监督管理和自律管理相结合的数据安全治理体系。
教育行业应从以下几个方面持续开展数据安全治理:
(1)按照等保要求建设层面。
参考GB/T《网络安全等级保护基本要求》,保护的重要数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
具体来说,教育类核心网站应采取全链路数据安全审计,通过可视化方式全面分析、记录敏感数据分布、流动、命令执行成功/失败、风险事件等相关日志。教职员工应加强数据安全培训,丰富相关人员的数据安全知识,提升教工职员的安全意识,很大程度上可以预防因处理不当导致教师和学生的个人数据泄露。
(2)防网络数据攻击层面。
可参考《数据安全法》“第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。......教育、科技等主管部门承担本行业、本领域数据安全监管职责。”
随着国际国内网络空间形势愈加复杂,教育行业数据安全在此大环境下要采取更多的防护手段。首先承载关键数据的信息系统要具有隐蔽性;若网络攻击者已找到承载关键数据的信息系统,我们就需做好技术层面的防护,例如访问控制、身份鉴别、数据脱敏、数据库加密、数据防泄露等手段,当然,要想做好数据安全治理,最重要和最基础的是数据分类分级、教育系统核心数据和重要数据识别认定工作。
()不同业务场景保护层面。
可参考《数据安全法》“第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序安全流动,促进以数据为关键要素的数字经济发展。”
无论是由于漏洞利用而造成的被动黑客攻击,还是内部人员有意或无意导致的数据泄露,都对教育行业单位声誉造成极为严重的影响。因此,各教育单位一是制定完善网络与数据安全规划和管理制度,并在实际工作中予以落实;二是做好数据库文件管理和备份,避免各种故障或攻击导致数据丢失;三是定期检查弱口令和修改密码,不使用与其他网站相同密码,防止“撞库”攻击。
数据安全治理教育行业实践图行业主管部门年教育部举行党组理论学习中心组集体学习暨教育信息化首场辅导报告会,教育部党组书记、部长怀进鹏强调:“要以标准安全运行保障为支撑,筑牢数据安全底线,探索创造富有中国特色的教育数字化治理标准,构建可持续的数据安全防护体系。”这里“筑牢数据安全底线”说明满足数据安全合规的需求愈发主动、强烈。数据安全合规的具体内容应包括:建立法律法规监管标准库、教育数据资产梳理和分类分级、数据安全评估和个人信息安全影响评估等。
教育部作为教育行业主管部门,在落实全面加强网络安全,推进教育信息化过程中,教育部办公厅于年印发《教育部机关及直属事业单位教育数据管理办法》及《教育信息化2.0行动计划》,加强教育部机关及直属事业单位教育数据管理工作,推进各类教育数据的规范管理、互联互通和共享公开,确保数据安全,更好地服务教育改革发展,为数据安全治理提供坚实、有针对性的方向指引。
教育部自身应用系统众多,生产数据库中存储着大量的学生学籍信息、教师管理信息、学籍调度信息等重要敏感数据,这些敏感信息都应得到有效的保护。在业务系统的开发过程中,第三方开发/测试、第三方应用以及大数据教学分析使用的数据均由生产库抽取的真实数据,这些数据中往往包含未经过处理的敏感信息,保证在开发测试、数据分析场景下的安全,成为一个重要的问题。
Web应用系统是通过互联网向社会公众提供服务的,要综合考虑黑客的攻击方式的多样性,如通过SQL注入、挖掘数据库漏洞等技术。两大核心主系统,教师管理系统、学生学籍管理系统,其数据存储的形态均为明文形式,应考虑加密存储。
教育部应首先制定可落地执行数据安全管理规范,全面梳理各系统的敏感数据资产,采取数据安全评估、管控和审计技术,个人信息和重要数据采取脱敏、加密和安全防护技术。
地方主管部门各省教育厅应按照教育部《省级教育数据中心建设指南》及《省级教育数据中心安全建设指南》,基本按国家A级数据中心标准建设起了一个分布式、多中心的教育云数据中心。教育厅承载了来自全省各地级市的业务,地级市的业务系统也大都都迁移到省教育厅数据中心做统一集中化管理,服务器有约上千台之多,对外业务系统就达多个。其中,包括:教职评审、教岗前培训、继教系统、电子证照、公文交换、综合监督、管理门户网站群、综评初中、综评高中、就业在线、门户数据管理、教师报表、学前、学籍、教师和资助等,这些业务系统里面都存放着众多个人信息(学生、学生家长、教师等)、一旦发生数据泄露或丢失的后果是灾难性的,因此迫切需要构建一整套数据安全防护方案,保证这些敏感数据安全性。
目前各省教育厅都已经建成了教育数据中心,直接可访问业务数据的有系统开发人员、系统驻场运维人员、还有数据库厂商维护人员,应对数据库行为操作应做好审批管理。
省教育厅数据中心业务系统后台数据库,除了少数sql-server和mysql数据库以外,大部分都是oracle数据库系统,数据库安全建设方面较为薄弱,而且大部分都没有针对敏感数据进行加密处理,DBA、系统开发、测试人员和部分内部IT人员可直接连接数据库,所以针对重要和敏感数据做存储加密显得尤为重要。
根据各省教育厅数据中心数据的安全现状和风险,应采用数据库防火墙、数据库运维管控、数据库加密和数据库审计来满足数据安全建设需求。
招生考试部门招生考试工作一般由省教育考试院承担,主要负责普通高考、成人高考、自学考试、研究生考试、社会考试等考试招生、教育评估工作。每年几百万考生通过省教育考试院门户网站及各业务信息系统完成网上报名、志愿填报、成绩查询等工作,每年六月至十月高考相关业务系统承担了极大的并发访问压力,同时外部黑客攻击风险较大。教育工作者通过教育考试网完成考生信息采集、网上阅卷、网上录取投档、成绩信息发布等工作,同时各类考试招生信息管理系统、教育评估系统在开发、应用和维护,大量各类考试信息数据的归档汇总。
参照《教育部关于做好年普通高校招生工作的通知》教学〔〕1号文件中要求:“加强高校考试招生治理体系和治理能力建设,确保考试招生工作安全、有序实施。”,“.严格招生信息安全管理。要高度重视信息安全防护,落实国家信息系统安全等级保护相关要求,加强对重要设备、信息系统和网站的监测和运行维护,及时堵塞安全技术漏洞。要强化考生志愿填报等环节安全管理,教育学生提高风险防范意识,采取切实有效措施,确保学生个人及招考信息安全,严防信息泄露或被他人操控。”
从数据安全风险需求分析,教育考试院应采用数据库审计、数据库防火墙、数据库运维安全产品来满足现阶段防护,采用主动防御为主,事后追溯为辅,对内部运维操作审批管理。
高校数据是高校信息化创新发展进程中的核心资产,支撑高校管理信息化向服务智能化转变和教育数字化转型。高校具有的数据体量更巨大、数据类型更复杂、数据交换更密集。应确保高校数据处于有效保护和合法利用的状态,并具备保障数据处于持续安全状态的能力。
高校应用系统主要有高校网站(对外)、校园网站(对内)、校园办公自动化系统(OA)、学校教务系统、校园一通卡、招生管理系统,这些系统有一些共同的特点:
以虚拟化环境为主,系统大多暴露在互联网,支持移动端和PC端访问。
系统复杂度不高,但数量多,并由此造成的数据库数量也很多。
系统开发较早,有些规范性较差,管理比较复杂。
系统管理和维护人员严重不足,工具繁多,目前看很难接受安全带来的附加工作量。
数据库以Oracle、MSSQL、MySQL为主。
业务系统存放的数据有:学生信息、家长信息、学籍信息、学生资助信息、考试信息、借书信息、学生消费信息、毕业就业信息、招生、报名、录取信息、师职工基本信息、学校基本信息、校舍信息、经费信息、条件装备信息、教学科研信息、一卡通信息、财务信息。
高校数据安全治理实践应从完善和落实数据安全管理制度、强化数据安全技术管控体系、落实独立的数据安全监管等几方面入手。
教育培训机构教育培训机构从教育服务类型上可以分为早教、K12、职业培训、高等教育与兴趣教育、教育信息化几类。“双减”工作开展以来,各地在深化学科类培训治理的同时,因地制宜同步推进非学科类培训规范工作。各地通过“互联网+监管”的方式,对线上线下校外教育培训开展常态化、智能化监管。教育部已建设全国校外教育培训监管与服务综合平台形成对各地校外培训机构的监管。
教育培训机构想在激烈的市场竞争下求生存、谋发展,提高在线教育质量是必然趋势。从需求端角度来讲,用户对线上教育的认可度不断提升,对在线教育的种类和深度提出了更高的要求。规模较大的教育培训机构的在线教育信息系统中存储着大量的学员个人信息和教育教学数据,数据价值巨大,数据安全治理需求显著。
教育培训机构的主要信息系统包括:在线教育门户平台、在线教学直播平台、考试题库平台、教务运营管理平台、内部OA系统等。
教育培训机构的数据安全治理实践应从学员信息和重要数据的操作全审计、内部运维数据全管控,结合数据脱敏技术等三方面入手。
展望教育行业首先要对数据安全的重要性提高认识,以高校为例,应明确数据安全负责人和管理部门,制定符合本单位特点并可落地的数据安全管理制度。经费是做好数据安全建设的必要条件,要明确数据安全占到高校信息化建设的比重。
教育行业应制定数据安全治理的行动指南或者相应的指标体系,把数据安全体系建设情况与高校指标评估体系融合,纳入综合考核指标里,这样各高校必然有做好数据安全治理的动力。
参考来源:中关村网络安全与信息化产业联盟数据安全治理专业委会编著《数据安全治理白皮书5.0》
