在高校信息化建設(shè)和發(fā)展過程中��,業(yè)務(wù)系統(tǒng)和數(shù)據(jù)中心匯聚了大量數(shù)據(jù),并在多個部門和多個系統(tǒng)之間流通�、共享和分析,導(dǎo)致高校數(shù)據(jù)資產(chǎn)不清晰�,給數(shù)據(jù)安全管控和防護工作帶來困難����。由于缺乏相關(guān)的數(shù)據(jù)安全能力,很多高校都不了解自己的數(shù)據(jù)資產(chǎn)�,不知道敏感數(shù)據(jù)的具體分布,數(shù)據(jù)安全防護也無從談起���。
隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等關(guān)于數(shù)據(jù)安全的法律的頒布和實施���,梳理高校信息資產(chǎn)、對數(shù)據(jù)資產(chǎn)分類分級��,規(guī)范數(shù)據(jù)處理活動�����,保護師生在網(wǎng)絡(luò)空間的合法權(quán)益也愈發(fā)迫切和必要���。
本文結(jié)合武漢大學(xué)的數(shù)據(jù)安全實踐����,描述了學(xué)校信息資產(chǎn)數(shù)據(jù)的梳理過程,同時探討了高校的數(shù)據(jù)資產(chǎn)分類分級�,并對敏感數(shù)據(jù)安全防護和動態(tài)脫敏提出了一套可行的解決方案。
武漢大學(xué)信息資產(chǎn)主要包括校內(nèi)網(wǎng)站��、信息系統(tǒng)和新媒體平臺���,這些資產(chǎn)以域名�、IP和新媒體平臺賬號的形式記錄備案����,各類網(wǎng)站和信息系統(tǒng),均是由學(xué)校各院系���、職能部門�、研究機構(gòu)等自行建設(shè)開發(fā)���,并提交紙質(zhì)備案資料����,經(jīng)學(xué)校宣傳部和信息中心分別審批后上線�����。由于歷史原因,紙質(zhì)資料的存檔由宣傳部和信息中心分別各自保存���,同時存儲電子檔案備查����。
由于存檔和管理上的側(cè)重點不同���,宣傳部和信息中心保存的數(shù)字存檔在數(shù)量和內(nèi)容上存在較多差異,比如宣傳部的檔案更注重資產(chǎn)的名稱��、負責(zé)人以及域名等信息��;而信息中心的檔案更偏重服務(wù)器IP地址���、數(shù)據(jù)庫類型��、采用的開發(fā)技術(shù)等����。
另外�,由于多年的信息化建設(shè)發(fā)展以及單位人事變動,很多信息資產(chǎn)停止維護或負責(zé)人員調(diào)整,沒有及時通知和反饋����,造成存檔的資料與實際情況存在很大差異。因此��,通過建設(shè)學(xué)校統(tǒng)一的網(wǎng)絡(luò)資產(chǎn)備案系統(tǒng)作為契機�����,對上述資產(chǎn)進行數(shù)據(jù)治理和資產(chǎn)清查��,提高資產(chǎn)數(shù)據(jù)的準確性和及時性�����,信息資產(chǎn)(主要是校內(nèi)網(wǎng)站和信息系統(tǒng))梳理過程如下:
首先�����,需要對宣傳部和信息中心的數(shù)字檔案進行整合�����,對兩個部門保存的不同格式數(shù)據(jù)導(dǎo)出成Excel表����,取并集處理得到統(tǒng)一的完整數(shù)據(jù)�����,包含資產(chǎn)名稱�、所屬單位�、負責(zé)人、聯(lián)系方式�����、域名�����、IP地址���、開放端口、建設(shè)技術(shù)等�����;其次���,將上述表格關(guān)聯(lián)正確的單位代碼和負責(zé)人工號�����,由于原數(shù)據(jù)中未保存單位代碼以及負責(zé)人的工號����,無法精確定位人員,因此將表格中的單位名稱與學(xué)校組織機構(gòu)進行匹配�,確定機構(gòu)代碼,同時將負責(zé)人姓名與人事系統(tǒng)的人員姓名匹配�,識別工號;最后�,將數(shù)據(jù)導(dǎo)入資產(chǎn)備案系統(tǒng)并設(shè)置對應(yīng)的服務(wù)器類型,梳理出信息系統(tǒng)和網(wǎng)站�。
信息資產(chǎn)梳理后,還需要通過備案系統(tǒng)掃描���,獲取各類資產(chǎn)的可達狀態(tài)���。根據(jù)HTTP返回參數(shù),狀態(tài)碼200表示正常�,302表示跳轉(zhuǎn),403表示禁止訪問(在高校這種情況一般是集成到信息門戶)���,這3類標記為可達資產(chǎn)����,對于多次掃描均為不可達的資產(chǎn),標記資產(chǎn)狀態(tài)為注銷���。
如果想進一步梳理網(wǎng)站資產(chǎn)�����,還可以清理出長期不更新的網(wǎng)站��,此類網(wǎng)站由于長期無人維護和管理����,網(wǎng)站框架或后臺版本老舊�����,安全漏洞多�����。由于要求用戶主動注銷此類網(wǎng)站較為困難����,因此可以采取技術(shù)手段,通過最后更新時間找出此類網(wǎng)站����,設(shè)定時間周期后自動注銷或標記為過期資產(chǎn)。經(jīng)過以上梳理步驟后確定武漢大學(xué)可訪問信息資產(chǎn)總數(shù)上千�,其中網(wǎng)站資產(chǎn)占80%左右,系統(tǒng)資產(chǎn)占 20%左右���,新媒體賬號有500多個���,如圖1所示。
目前已經(jīng)發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》提出����,要建立數(shù)據(jù)分類分級保護制度,按照數(shù)據(jù)對國家安全��、公共利益或者個人����、組織合法權(quán)益的影響和重要程度,將數(shù)據(jù)分為一般數(shù)據(jù)���、重要數(shù)據(jù)���、核心數(shù)據(jù)��,不同級別的數(shù)據(jù)采取不同的保護措施�。國家對個人信息和重要數(shù)據(jù)進行重點保護�����,對核心數(shù)據(jù)實行嚴格保護���。各地區(qū)�、各部門應(yīng)當按照國家數(shù)據(jù)分類分級要求�,對本地區(qū)、本部門以及相關(guān)行業(yè)����、領(lǐng)域的數(shù)據(jù)進行分類分級管理。
隨著高校信息化建設(shè)不斷發(fā)展����,引入各類信息系統(tǒng)中存儲的敏感數(shù)據(jù)也越來越多��,在《中華人民共和國個人信息保護法》中,敏感個人信息是指一旦泄露或者非法使用�����,容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身����、財產(chǎn)安全受到危害的個人信息,包括生物識別���、宗教信仰����、特定身份�、醫(yī)療健康、金融賬戶��、行蹤軌跡等信息���。根據(jù)高校的實際情況�,可以考慮將身份證件號碼��、個人生物識別信息、銀行賬號作為核心數(shù)據(jù)�,手機號碼、居住地址���、學(xué)生成績���、宗教信仰、特定身份����、醫(yī)療健康等作為重要數(shù)據(jù)。由于需要對不同范圍和系統(tǒng)的數(shù)據(jù)提供不同程度的保護��,可以從如下兩個方面來進行數(shù)據(jù)分類分級:
根據(jù)網(wǎng)絡(luò)邊界分類保護
在高校信息化建設(shè)過程中���,各業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)經(jīng)過梳理�,會逐漸集中于信息化職能部門的數(shù)據(jù)中心平臺����,而隨著機房的升級和云平臺的部署,一般會形成集中的服務(wù)器區(qū)�����,各單位和業(yè)務(wù)部門則在校園網(wǎng)管理信息系統(tǒng)�。因此根據(jù)網(wǎng)絡(luò)邊界可以劃分為3個區(qū)域,分別對應(yīng)核心數(shù)據(jù)�、重要數(shù)據(jù)和一般數(shù)據(jù)。
對于數(shù)據(jù)中心的核心數(shù)據(jù)�����,通過部署數(shù)據(jù)庫防火墻�、靜態(tài)脫敏或水印等技術(shù)手段來嚴格保護;對于服務(wù)器區(qū)可識別的重要數(shù)據(jù)�,利用數(shù)據(jù)泄露防護DLP(Data Leakage Prevention)系統(tǒng)檢測出對應(yīng)的IP地址和域名,然后根據(jù)信息資產(chǎn)管理數(shù)據(jù)確定對應(yīng)的系統(tǒng)�,反向代理部署數(shù)據(jù)脫敏系統(tǒng)DMS(Data Masking System)進行重點保護,如圖2所示����。
根據(jù)教育部印發(fā)的《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》(教技廳函 [2014]74號)文件的指導(dǎo)建議,高校信息系統(tǒng)分為校務(wù)管理�、教學(xué)科研、招生就業(yè)�����、綜合服務(wù)��,4大類23種具體業(yè)務(wù)類型。
其中建議安全保護等級定為三級的有6種業(yè)務(wù)類型����,其余為二級。6種具體業(yè)務(wù)類型主要涵蓋科研����、招生、門戶���、一卡通等方面���。結(jié)合高校實際情況,可以將校園一卡通��、科研管理系統(tǒng)�����、財務(wù)管理系統(tǒng)的數(shù)據(jù)嚴格保護���,通過部署或限制在校園內(nèi)網(wǎng)�����。
在系統(tǒng)運維使用階段����,開發(fā)人員、運維人員一律使用堡壘機操作�,便于審計回溯�,一卡通和財務(wù)相關(guān)的終端和服務(wù)器,應(yīng)該與互聯(lián)網(wǎng)嚴格物理隔離���,嚴禁使用多網(wǎng)卡跨網(wǎng)絡(luò)連接����,并按照等級保護要求部署數(shù)據(jù)庫審計����、數(shù)據(jù)庫防火墻等安全防護產(chǎn)品,同時對其他等級保護系統(tǒng)中的敏感數(shù)據(jù)重點保護����。
在完成信息資產(chǎn)清查和數(shù)據(jù)資產(chǎn)分類分級之后,還需要確定防護邊界和數(shù)據(jù)防護范圍�����。高校不同于企業(yè),在校園網(wǎng)部署防數(shù)據(jù)泄露客戶端并不現(xiàn)實�����,因此防護邊界確定在服務(wù)器區(qū)比較符合高校實際情況�����,而由于數(shù)據(jù)脫敏技術(shù)的限制���,決定了只能對特征值可檢測的身份證號��、銀行賬號���、手機號等進行脫敏防護。確定了防護邊界和數(shù)據(jù)防護范圍���,可以實施的數(shù)據(jù)安全防護策略如下:
數(shù)據(jù)中心部署數(shù)據(jù)庫防火墻
數(shù)據(jù)中心一般承載著各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)匯集�����、同步和交換等功能�,數(shù)據(jù)庫防火墻基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)�,能夠?qū)崿F(xiàn)對數(shù)據(jù)中心的訪問行為控制�、危險操作阻斷�、可疑行為審計等主動防御。數(shù)據(jù)庫防火墻能夠分析數(shù)據(jù)中心流量數(shù)據(jù)�,獲取權(quán)限控制所需的關(guān)鍵信息,對相應(yīng)數(shù)據(jù)庫請求行為進行放行或阻斷���;同時通過識別SQL注入特征��,阻斷SQL注入行為、高危SQL操作 ,限定數(shù)據(jù)查詢和下載數(shù)量 , 限定敏感數(shù)據(jù)訪問的用戶����、地點和時間。
數(shù)據(jù)庫防火墻包含了數(shù)據(jù)審計功能��,能夠完整記錄中心數(shù)據(jù)庫活動�����,對數(shù)據(jù)中心遭受的風(fēng)險行為提示告警���;同時記錄內(nèi)外部數(shù)據(jù)交換行為��,對安全事故進行追根溯源�����,提升數(shù)據(jù)中心核心數(shù)據(jù)的安全性���。
利用數(shù)據(jù)泄露防護(DLP)系統(tǒng)
掌握敏感數(shù)據(jù)位置
隨著云平臺和虛擬化的發(fā)展�����,武漢大學(xué)大多數(shù)學(xué)院和單位的業(yè)務(wù)系統(tǒng)都集中到了信息中心服務(wù)器區(qū)��,對服務(wù)器區(qū)中的重要數(shù)據(jù)�,可以利用數(shù)據(jù)泄露防護(DLP)系統(tǒng)采集可檢測敏感數(shù)據(jù)的位置���。目前我國的DLP系統(tǒng)���,一般以串聯(lián)方式部署在可信網(wǎng)絡(luò)出口處,對從內(nèi)部可信網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的數(shù)據(jù)流量進行分析��,根據(jù)設(shè)定的敏感信息策略�,對違反規(guī)則的數(shù)據(jù)進行攔截和報警。但是按照高校的實際情況�,如果串聯(lián)部署在服務(wù)器區(qū)出口,勢必會影響網(wǎng)絡(luò)性能,因此我們將其旁路部署在服務(wù)器區(qū)�,通過采集服務(wù)器區(qū)流量監(jiān)測敏感數(shù)據(jù)流動狀況,掌握存儲敏感數(shù)據(jù)的信息系統(tǒng)分布�����。
數(shù)據(jù)泄露防護系統(tǒng)一般用途是對用戶網(wǎng)頁提交���、IM工具�����、文件共享��、郵件等途徑進行數(shù)據(jù)傳輸或者操作的行為進行監(jiān)測,針對高校的環(huán)境可以將其反向應(yīng)用����,利用其數(shù)據(jù)內(nèi)容識別功能,把服務(wù)器區(qū)的敏感系統(tǒng)當做用戶���,對下載的文檔類文件(TXT��、Word����、Excel、PDF文檔)��、壓縮文件(RAR���、ZIP等)���、圖像類文件(JPG、BMP等)���,以及HTTP�����、HTTPS(需要證書支持)流量����、API接口調(diào)用的數(shù)據(jù)內(nèi)容進行分析識別�。
下面以武漢大學(xué)部署的數(shù)據(jù)泄露防護系統(tǒng)為例,制定策略采集外傳敏感信息系統(tǒng)的步驟如下�,首先將銀行賬號、身份證號����、手機號這3類方便識別的敏感數(shù)據(jù)設(shè)置為監(jiān)測對象����,然后根據(jù)泄露條目數(shù)量分為低�����、中���、高3類告警事件���,9種數(shù)據(jù)對象,參見表1����。
| |
| 身份證號出現(xiàn)次數(shù)小于 5 次 |
| 銀行卡號出現(xiàn)次數(shù)小于 5 次 |
| |
| 身份證號出現(xiàn)次數(shù)大于等于 5 次,小于 20 次 |
| 銀行卡號出現(xiàn)次數(shù)大于等于 5 次��,小于 20 次 |
| 手機號出現(xiàn)次數(shù)大于等于 5 次����,小于 20 次 |
| 身份證號出現(xiàn)次數(shù)大于等于 20 次 |
| 銀行卡號出現(xiàn)次數(shù)大于等于 20 次 |
| 手機卡號出現(xiàn)次數(shù)大于等于 20 次 |
其次��,根據(jù)上述分類數(shù)據(jù)對象制定相應(yīng)的安全策略,如審計或郵件報警��?��?紤]到高校實際的工作狀況�,設(shè)置校園網(wǎng)辦公區(qū)的IP地址為白名單����、排除相應(yīng)的告警,重點監(jiān)控非工作時間的校外敏感數(shù)據(jù)傳輸��,這樣當有敏感數(shù)據(jù)外泄時可以實時收到郵件告警�。在DLP監(jiān)測過程中,對外地或境外IP訪問敏感數(shù)據(jù)的安全事件��,要第一時間通報相關(guān)部門并要求整改���。經(jīng)過一段時間的運行���,DLP就采集了服務(wù)器區(qū)包含敏感數(shù)據(jù)的系統(tǒng)IP,將其與信息資產(chǎn)備案系統(tǒng)的數(shù)據(jù)關(guān)聯(lián)��,就可以得到相應(yīng)系統(tǒng)的詳細信息��,從而確定了防護目標。
部署數(shù)據(jù)脫敏系統(tǒng)(DMS)
進行精確動態(tài)脫敏
數(shù)據(jù)脫敏系統(tǒng)DMS(Data Masking System)能夠?qū)?shù)據(jù)源中的敏感數(shù)據(jù)進行自動發(fā)現(xiàn)����,通過系統(tǒng)內(nèi)置的變形、轉(zhuǎn)換等規(guī)則降低數(shù)據(jù)的敏感程度���,減少敏感數(shù)據(jù)在采集�����、傳輸�����、使用等環(huán)節(jié)的暴露����,做到敏感數(shù)據(jù)“可用不可見���、所需方可見”���。數(shù)據(jù)脫敏分為靜態(tài)脫敏和動態(tài)脫敏���,靜態(tài)脫敏是指通過算法將原始數(shù)據(jù)源中的敏感數(shù)據(jù)處理成非敏感數(shù)據(jù)�,并存儲至其他位置,供數(shù)據(jù)訪問者直接訪問和使用���,主要應(yīng)用在開發(fā)測試����、數(shù)據(jù)共享���、數(shù)據(jù)分析等非生產(chǎn)環(huán)境�。動態(tài)脫敏是指在不改變原始數(shù)據(jù)的情況下,在用戶訪問敏感數(shù)據(jù)時����,實時對每次訪問的數(shù)據(jù)進行脫敏��,主要應(yīng)用在運維�����、應(yīng)用等生產(chǎn)環(huán)境。
由于需要保障生產(chǎn)環(huán)境中的業(yè)務(wù)系統(tǒng)正常運行���,因此我們重點關(guān)注對敏感數(shù)據(jù)外傳進行精確的動態(tài)脫敏���。動態(tài)脫敏分為數(shù)據(jù)庫動態(tài)脫敏(修改SQL語句)和網(wǎng)頁動態(tài)脫敏,數(shù)據(jù)庫動態(tài)脫敏支持對SQL關(guān)鍵字或SQL語句進行操作前的審核�,針對不同的數(shù)據(jù)庫用戶、IP地址�����、客戶端進行差異化脫敏��,對于高校數(shù)據(jù)中心的數(shù)據(jù)庫���,可以按敏感類型和指定字段進行脫敏���。而通過數(shù)據(jù)泄露防護(DLP)系統(tǒng)獲取服務(wù)器IP、URI后����,可以用反向代理的方式部署網(wǎng)頁動態(tài)脫敏系統(tǒng),網(wǎng)頁動態(tài)脫敏支持按用戶�、菜單�����、URI、API接口制定策略����,無需安裝客戶端而且不影響數(shù)據(jù)庫,在監(jiān)測到敏感數(shù)據(jù)后進行實時的動態(tài)脫敏���,從而解決高校用戶和管理員隨意下載敏感數(shù)據(jù)����,運維和外包人員惡意盜取敏感數(shù)據(jù)的安全隱患��。
根據(jù)武漢大學(xué)部署的數(shù)據(jù)泄露防護系統(tǒng)統(tǒng)計���,發(fā)現(xiàn)包括學(xué)工�����、教務(wù)��、后勤�����、設(shè)備�、科研、人事���、校醫(yī)院����、支付�、就業(yè)等二十多個系統(tǒng)都存在敏感數(shù)據(jù)外傳情況,校內(nèi)許多部門系統(tǒng)管理員和用戶缺乏數(shù)據(jù)安全意識���。
雖然高校信息化管理部門可以利用技術(shù)和管理手段�����,從防護���、檢測��、響應(yīng)三個方面來制定數(shù)據(jù)防護策略��,對數(shù)據(jù)資產(chǎn)進行分類分級防護,對敏感數(shù)據(jù)的生命周期做到“可視”“可管” “可追溯”��,但是“信息安全是整體的而不是割裂的”�����,維護數(shù)據(jù)安全也是全校共同的責(zé)任���,提高師生的數(shù)據(jù)安全意識�����、宣傳數(shù)據(jù)安全知識同樣重要�,高校數(shù)據(jù)安全保障工作最終需要各單位���、教職工����、學(xué)生共同參與,共筑數(shù)據(jù)安全防線����。
參考文獻
[1] 吳振庭 . 淺談大數(shù)據(jù)背景下的個人信息安全防護 [J]. 電腦編程技巧與維護,2020(06):157-159.
[2] 楊春華, 賴靜 . 數(shù)據(jù)泄露防護產(chǎn)品的分類和作用 [J]. 信息技術(shù)與信息化 ,2020(09):190-193.
[3] 張聰 . 智慧校園環(huán)境下的數(shù)據(jù)安全研究與實踐 [J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 ,2021(01):103-105.
[4] 劉蓁蓁 . 智慧校園建設(shè)背景下高校數(shù)據(jù)安全管理的研究 [J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 ,2021(01):102-103.
