News
在数字化时代,教育领域正以前所未有的速度融入信息技术的浪潮中,然而,这一进程也伴随着数据安全风险的显著增加。近日,西悉尼大学Isilon存储平台遭遇的严重数据入侵事件,不仅让超7500人的敏感信息外泄,更引发了全社会对教育行业网络安全新态势的深切关注。这起事件不仅暴露了网络空间的脆弱性,也再次敲响了教育数据安全的警钟。回顾近期,教育行业数据泄露事件频发,成为公众关注的焦点。
2023年8月,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖,该校受到责令改正、警告并处80万元人民币罚款的处罚,主要责任人被罚款5万元人民币。
2023年3月,南昌市公安局发现,江西某职业技术大学师生个人信息疑似遭泄露。经查,该学校未健全全流程数据安全管理制度,未采取数据加密等相应技术措施保障数据安全,导致学校数据库被黑客非法入侵,师生个人敏感信息数据遭泄露。
2022年6月,某知名大学生学习软件的数据库信息被公开售卖,超1.7亿条信息疑遭泄露,公安机关介入调查。
2022年6月,某工业大学声明其电子邮件系统遭攻击,攻击者向师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,经公安机关判定是境外黑客组织发起的网络攻击行为。
2021年9月,济南某所高校的新生个人信息遭到泄露,在微信公众号上可以查询该校新生的个人信息。
在Verizon发布的《2024年数据泄露调查报告》中指出,教育行业(共1537起)由于拥有高价值数据以及相对滞后的安全保护措施,已成为数据泄露最严重的领域。内部威胁者的误操作、错误配置、外发泄露等行为,以及外部攻击者的勒索入侵、利用系统漏洞等手段交织在一起,成为该行业数据泄露的主要原因。随着互联网技术的发展,教育行业在享受便捷的同时,数据信息的安全问题已成为一个关键议题。
一、国家多层次立法明确教育数据安全要求
随着《个人信息保护法》《数据安全法》《未成年人保护法》《民法典》《网络安全法》《密码法》等法律法规的实施,从顶层规划,为教育领域的数据安全保护工作提出明确要求。
从行政法规维度来看
国务院等机构共出台了九项教育相关的法规或文件,其中在2021年4月,教育部等7部门发布《关于加强教育系统数据安全工作的通知》,提出“要建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录。健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报”等工作目标。
从地方性法规维度来看
福建省在2023年2月发布《教育数字化战略行动三年实施方案》,提出强化数据安全管理,完善数据容灾机制;山东省在2022年5月发布《山东省教育信息化“十四五”规划》提出持续完善网络安全防护体系,全面落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求;北京市在2021年7月发布的《北京市教育数据资源管理办法(试行)》提出教育数据资源管理遵循统筹规划、破除壁垒、共享开放、充分利用、安全可控的原则等。
以山东、浙江、宁夏、上海、陕西、内蒙古、北京、广州、天津等为代表的省市,先后印发基于本省市实际情况的教育数据管理办法,并提出“各级各类教育单位应当编制本级教育数据安全规划,建立教育数据安全体系,制定并督促落实教育数据安全管理制度,加强安全保障,确保数据在采集、归集、整合、共享、开放和应用等全生命周期风险可控”等诸多要求。
二、教育系统数据安全面临诸多挑战
国家相继出台一系列教育数据安全保护的政策法规,为教育行业数据安全治理提供了重要的指导和参考。在数据安全合规要求不断升级和安全事件不断升级的大背景下,教育行业尚且面临诸多挑战。
数据安全监管要求多,合规风险大
我国在法律法规法规、部门规章、地方性法规、技术标准等维度,对教育领域的数据安全保护工作,提出具体细化要求,对教育系统数据安全治理与建设工作提出了合规性要求。
防控手段难抵新生威胁,体系化建设不足
目前许多教育机构在技术防护措施方面,大部分仍依赖原有的网络安全设备,主要是采用文档加密、数据库加密、数据防泄漏和数据库审计等手段,缺少针对数据流转、数据交换、数据存储等环节中专用的数据安全手段,没有形成体系化、层次化的数据安全防护能力。
数据安全意识薄弱,数据外泄风险难控制
高校内部可接触敏感数据的人员类型非常复杂,既有学校内部人员,也有外部的供应商人员,对数据安全法律法规、风险意识理解参差不一,随意访问、私发敏感数据,导致数据外泄,面临较大的内部人员威胁。
内部防护和外部控制手段不足
教育系统内部往往存在数据安全防护措施不健全的问题,如口令策略缺失、弱口令、暴力破解防范机制不足、访问控制机制缺陷、安全审计措施缺失等。这些都增加了数据泄露、被篡改或滥用的风险。
数据资产管理成为难题
教育数据资产的识别、分类分级、保护与全生命周期管理成为难题,尤其是在数据量级巨大、类型多样的情况下,如何确保数据的机密性、完整性和可用性是一大挑战。
三、构建综合防护体系铸就教育系统数据安全堡垒
针对上述现状与安全需求,道普信息风险管控专家提出,教育行业可以通过构建以合规为底线、以技术为保障的数据安全防护体系,采取全面自查、数据安全治理等手段,加强数据安全建设。
01开展数据安全评估
数据安全评估是一种专注于评估和管理组织数据资产安全风险的过程,旨在识别、量化和优先处理可能威胁数据机密性、完整性、可用性和可控性的风险。
教育系统数据安全自查应围绕数据安全管理、数据安全防护措施、数据处理活动、个人信息保护要求等几个关键环节展开,检查安全管理责任制、数据资产、外包服务、开发运维、新应用上线、重大数据安全事件、边界防护、访问身份鉴别、访问权限控制、对外接口、数据全生命周期安全,以及个人信息收集使用、安全技术措施、委托处理等。
通过自查,教育系统能够全面审视自身数据安全管理体系的健全性和有效性,及时发现并弥补潜在的安全漏洞,提升数据保护水平。以下是教育系统数据安全自查流程:
资产识别
明确需要保护的数据资产,包括个人信息等,以及它们的重要性和保护级别。
威胁识别
分析可能对数据造成危害的威胁,如恶意代码、网络攻击、内部滥用等。
脆弱性识别
查找系统、网络、应用等层面的安全弱点,这些弱点可能被威胁利用。
风险分析
综合考虑资产价值、威胁的可能性和脆弱性的影响,计算风险值,对风险进行等级判定(低、中、高、极高风险)。
风险管理
基于风险评估的结果,制定相应的缓解措施,如加强数据分类分级管理、加密、访问控制、数据脱敏等,以降低风险至可接受水平。
合规性考量
确保数据处理活动符合《网络安全法》、《个人信息保护法》、《数据安全法》等法律法规要求,涉及数据收集、存储、使用、共享、销毁等全生命周期管理。
02构建高水平数据安全治理体系
构建高水平的数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。
在网络安全的新常态下,教育行业的数据安全防护需求日益凸显。通过构建动态安全防护体系,不仅可以有效应对当下的安全挑战,还能为未来的网络安全环境打下坚实的基础。这对于维护教育行业的正常运作以及保障国家安全都具有深远的意义。未来,随着技术的不断进步,教育数据安全防护将会变得更加智能化和高效化,从而为师生营造一个更加安全可靠的学习环境。
热点新闻
-
2024-10-29
-
2024-10-29
-
2024-10-29
-
2024-10-29
-
2024-10-28
-
2024-10-28