|
在高校信息化建设和发展过程中,业务系统和数据中心汇聚了大量数据,并在多个部门和多个系统之间流通、共享和分析,导致高校数据资产不清晰,给数据安全管控和防护工作带来困难。由于缺乏相关的数据安全能力,很多高校都不了解自己的数据资产,不知道敏感数据的具体分布,数据安全防护也无从谈起。 随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等关于数据安全的法律的颁布和实施,梳理高校信息资产、对数据资产分类分级,规范数据处理活动,保护师生在网络空间的合法权益也愈发迫切和必要。 本文结合武汉大学的数据安全实践,描述了学校信息资产数据的梳理过程,同时探讨了高校的数据资产分类分级,并对敏感数据安全防护和动态脱敏提出了一套可行的解决方案。 信息资产梳理 武汉大学信息资产主要包括校内网站、信息系统和新媒体平台,这些资产以域名、IP和新媒体平台账号的形式记录备案,各类网站和信息系统,均是由学校各院系、职能部门、研究机构等自行建设开发,并提交纸质备案资料,经学校宣传部和信息中心分别审批后上线。由于历史原因,纸质资料的存档由宣传部和信息中心分别各自保存,同时存储电子档案备查。 由于存档和管理上的侧重点不同,宣传部和信息中心保存的数字存档在数量和内容上存在较多差异,比如宣传部的档案更注重资产的名称、负责人以及域名等信息;而信息中心的档案更偏重服务器IP地址、数据库类型、采用的开发技术等。 另外,由于多年的信息化建设发展以及单位人事变动,很多信息资产停止维护或负责人员调整,没有及时通知和反馈,造成存档的资料与实际情况存在很大差异。因此,通过建设学校统一的网络资产备案系统作为契机,对上述资产进行数据治理和资产清查,提高资产数据的准确性和及时性,信息资产(主要是校内网站和信息系统)梳理过程如下: 首先,需要对宣传部和信息中心的数字档案进行整合,对两个部门保存的不同格式数据导出成Excel表,取并集处理得到统一的完整数据,包含资产名称、所属单位、负责人、联系方式、域名、IP地址、开放端口、建设技术等;其次,将上述表格关联正确的单位代码和负责人工号,由于原数据中未保存单位代码以及负责人的工号,无法精确定位人员,因此将表格中的单位名称与学校组织机构进行匹配,确定机构代码,同时将负责人姓名与人事系统的人员姓名匹配,识别工号;最后,将数据导入资产备案系统并设置对应的服务器类型,梳理出信息系统和网站。 信息资产梳理后,还需要通过备案系统扫描,获取各类资产的可达状态。根据HTTP返回参数,状态码200表示正常,302表示跳转,403表示禁止访问(在高校这种情况一般是集成到信息门户),这3类标记为可达资产,对于多次扫描均为不可达的资产,标记资产状态为注销。 如果想进一步梳理网站资产,还可以清理出长期不更新的网站,此类网站由于长期无人维护和管理,网站框架或后台版本老旧,安全漏洞多。由于要求用户主动注销此类网站较为困难,因此可以采取技术手段,通过最后更新时间找出此类网站,设定时间周期后自动注销或标记为过期资产。经过以上梳理步骤后确定武汉大学可访问信息资产总数上千,其中网站资产占80%左右,系统资产占 20%左右,新媒体账号有500多个,如图1所示。  图1 信息资产梳理流程 数据资产分类分级 目前已经发布的《网络数据安全管理条例(征求意见稿)》提出,要建立数据分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 随着高校信息化建设不断发展,引入各类信息系统中存储的敏感数据也越来越多,在《中华人民共和国个人信息保护法》中,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。根据高校的实际情况,可以考虑将身份证件号码、个人生物识别信息、银行账号作为核心数据,手机号码、居住地址、学生成绩、宗教信仰、特定身份、医疗健康等作为重要数据。由于需要对不同范围和系统的数据提供不同程度的保护,可以从如下两个方面来进行数据分类分级: 01 根据网络边界分类保护 在高校信息化建设过程中,各业务系统的核心数据经过梳理,会逐渐集中于信息化职能部门的数据中心平台,而随着机房的升级和云平台的部署,一般会形成集中的服务器区,各单位和业务部门则在校园网管理信息系统。因此根据网络边界可以划分为3个区域,分别对应核心数据、重要数据和一般数据。 对于数据中心的核心数据,通过部署数据库防火墙、静态脱敏或水印等技术手段来严格保护;对于服务器区可识别的重要数据,利用数据泄露防护DLP(Data Leakage Prevention)系统检测出对应的IP地址和域名,然后根据信息资产管理数据确定对应的系统,反向代理部署数据脱敏系统DMS(Data Masking System)进行重点保护,如图2所示。  图2 网络边界分类保护示意 02 根据系统等保护定级分级保护 根据教育部印发的《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函 [2014]74号)文件的指导建议,高校信息系统分为校务管理、教学科研、招生就业、综合服务,4大类23种具体业务类型。 其中建议安全保护等级定为三级的有6种业务类型,其余为二级。6种具体业务类型主要涵盖科研、招生、门户、一卡通等方面。结合高校实际情况,可以将校园一卡通、科研管理系统、财务管理系统的数据严格保护,通过部署或限制在校园内网。 在系统运维使用阶段,开发人员、运维人员一律使用堡垒机操作,便于审计回溯,一卡通和财务相关的终端和服务器,应该与互联网严格物理隔离,严禁使用多网卡跨网络连接,并按照等级保护要求部署数据库审计、数据库防火墙等安全防护产品,同时对其他等级保护系统中的敏感数据重点保护。 数据安全防护策略 在完成信息资产清查和数据资产分类分级之后,还需要确定防护边界和数据防护范围。高校不同于企业,在校园网部署防数据泄露客户端并不现实,因此防护边界确定在服务器区比较符合高校实际情况,而由于数据脱敏技术的限制,决定了只能对特征值可检测的身份证号、银行账号、手机号等进行脱敏防护。确定了防护边界和数据防护范围,可以实施的数据安全防护策略如下: 01 数据中心部署数据库防火墙 数据中心一般承载着各业务系统的数据汇集、同步和交换等功能,数据库防火墙基于数据库协议分析与控制技术,能够实现对数据中心的访问行为控制、危险操作阻断、可疑行为审计等主动防御。数据库防火墙能够分析数据中心流量数据,获取权限控制所需的关键信息,对相应数据库请求行为进行放行或阻断;同时通过识别SQL注入特征,阻断SQL注入行为、高危SQL操作 ,限定数据查询和下载数量 , 限定敏感数据访问的用户、地点和时间。 数据库防火墙包含了数据审计功能,能够完整记录中心数据库活动,对数据中心遭受的风险行为提示告警;同时记录内外部数据交换行为,对安全事故进行追根溯源,提升数据中心核心数据的安全性。 02 利用数据泄露防护(DLP)系统 掌握敏感数据位置 随着云平台和虚拟化的发展,武汉大学大多数学院和单位的业务系统都集中到了信息中心服务器区,对服务器区中的重要数据,可以利用数据泄露防护(DLP)系统采集可检测敏感数据的位置。目前我国的DLP系统,一般以串联方式部署在可信网络出口处,对从内部可信网络到外部不可信网络的数据流量进行分析,根据设定的敏感信息策略,对违反规则的数据进行拦截和报警。但是按照高校的实际情况,如果串联部署在服务器区出口,势必会影响网络性能,因此我们将其旁路部署在服务器区,通过采集服务器区流量监测敏感数据流动状况,掌握存储敏感数据的信息系统分布。 数据泄露防护系统一般用途是对用户网页提交、IM工具、文件共享、邮件等途径进行数据传输或者操作的行为进行监测,针对高校的环境可以将其反向应用,利用其数据内容识别功能,把服务器区的敏感系统当做用户,对下载的文档类文件(TXT、Word、Excel、PDF文档)、压缩文件(RAR、ZIP等)、图像类文件(JPG、BMP等),以及HTTP、HTTPS(需要证书支持)流量、API接口调用的数据内容进行分析识别。 下面以武汉大学部署的数据泄露防护系统为例,制定策略采集外传敏感信息系统的步骤如下,首先将银行账号、身份证号、手机号这3类方便识别的敏感数据设置为监测对象,然后根据泄露条目数量分为低、中、高3类告警事件,9种数据对象,参见表1。 表1 数据对象分类
其次,根据上述分类数据对象制定相应的安全策略,如审计或邮件报警。考虑到高校实际的工作状况,设置校园网办公区的IP地址为白名单、排除相应的告警,重点监控非工作时间的校外敏感数据传输,这样当有敏感数据外泄时可以实时收到邮件告警。在DLP监测过程中,对外地或境外IP访问敏感数据的安全事件,要第一时间通报相关部门并要求整改。经过一段时间的运行,DLP就采集了服务器区包含敏感数据的系统IP,将其与信息资产备案系统的数据关联,就可以得到相应系统的详细信息,从而确定了防护目标。 03 部署数据脱敏系统(DMS) 进行精确动态脱敏 数据脱敏系统DMS(Data Masking System)能够对数据源中的敏感数据进行自动发现,通过系统内置的变形、转换等规则降低数据的敏感程度,减少敏感数据在采集、传输、使用等环节的暴露,做到敏感数据“可用不可见、所需方可见”。数据脱敏分为静态脱敏和动态脱敏,静态脱敏是指通过算法将原始数据源中的敏感数据处理成非敏感数据,并存储至其他位置,供数据访问者直接访问和使用,主要应用在开发测试、数据共享、数据分析等非生产环境。动态脱敏是指在不改变原始数据的情况下,在用户访问敏感数据时,实时对每次访问的数据进行脱敏,主要应用在运维、应用等生产环境。 由于需要保障生产环境中的业务系统正常运行,因此我们重点关注对敏感数据外传进行精确的动态脱敏。动态脱敏分为数据库动态脱敏(修改SQL语句)和网页动态脱敏,数据库动态脱敏支持对SQL关键字或SQL语句进行操作前的审核,针对不同的数据库用户、IP地址、客户端进行差异化脱敏,对于高校数据中心的数据库,可以按敏感类型和指定字段进行脱敏。而通过数据泄露防护(DLP)系统获取服务器IP、URI后,可以用反向代理的方式部署网页动态脱敏系统,网页动态脱敏支持按用户、菜单、URI、API接口制定策略,无需安装客户端而且不影响数据库,在监测到敏感数据后进行实时的动态脱敏,从而解决高校用户和管理员随意下载敏感数据,运维和外包人员恶意盗取敏感数据的安全隐患。 根据武汉大学部署的数据泄露防护系统统计,发现包括学工、教务、后勤、设备、科研、人事、校医院、支付、就业等二十多个系统都存在敏感数据外传情况,校内许多部门系统管理员和用户缺乏数据安全意识。 虽然高校信息化管理部门可以利用技术和管理手段,从防护、检测、响应三个方面来制定数据防护策略,对数据资产进行分类分级防护,对敏感数据的生命周期做到“可视”“可管” “可追溯”,但是“信息安全是整体的而不是割裂的”,维护数据安全也是全校共同的责任,提高师生的数据安全意识、宣传数据安全知识同样重要,高校数据安全保障工作最终需要各单位、教职工、学生共同参与,共筑数据安全防线。 参考文献 作者:蔡利军、周益飞(武汉大学信息中心) |
|
|
