針對大數據環境下的高校數據安全問題,我們建議在規劃、建設、運行過程中,同步考慮“把數據關進籠子,讓數據訪問在陽光下進行”的數據安全策略。
高校數據安全需求
大數據時代背景下,高校信息化產生的各類數據成為高校最重要的資產之一。然而,高校的網絡信息安全建設工作沒有達到銀行、證券、金融等行業的高投入和大規模建設,高校的數據安全建設工作在整個網絡信息安全建設中沒有得到足夠的重視,在數據收集、存儲、傳輸和使用過程中缺乏必要的防護措施,使得大量敏感信息、個人信息的安全性無法得到有效保障。高校在推進業務系統整合、數據中心建設、數字校園與智慧校園建設、數據分析與挖掘等大數據建設的同時,必須堅持安全與發展并重的方針,為大數據發展構建安全保障體系,在充分發揮大數據價值的同時,解決面臨的數據安全和個人信息保護問題。
如何保障數據的機密性、完整性、可用性,對于教育行業來講,特別是高校,有著更深層次的意義。高校有著大量的科研成果、學術資料、教職工信息以及海量的學生信息,是數據泄露的相對高發地帶。因此,高校需要切實加強安全防護以保障高校數據安全。
當前高校數據安全面臨的挑戰
老舊系統帶來的數據攻擊
早期的老舊系統,明文傳輸、明文存儲較為普遍,并且系統漏洞較多,加之無人運維,常見的SQL注入漏洞、文件上傳漏洞、弱口令、第三方中間件漏洞等這些安全漏洞均會造成服務器權限被獲取,數據庫被攻擊等網絡信息安全事件,危害非常之大。從目前教育主管部門的漏洞通報來看,多數安全漏洞及安全事件都發生在老舊系統之中。對于老舊系統的攻擊,以及攻擊帶來的數據安全問題是比較常見的,如何處理好這些老舊系統是關鍵。通過這些簡單的攻擊手段就能達到攻擊目的的攻擊行為基本都是零成本,這種零成本攻擊造成數據泄露也是高校最為常見的情況。
大數據帶來的數據集中
大數據時代的到來,給數據分析挖掘奠定了豐富的數據基礎,這個基礎就是數據集中,數據集中是指將數據集中到中心一點以便于數據分析挖掘。這種數據的高度集中在給數據分析挖掘帶來效益的同時對數據安全的危害也是可見的。身處大數據時代,高校也在進行一系列的大數據整合工作,建設各自的數據中心,將數據進行集中存儲和管控。業務流程的整合實現了各自高校各項業務的優化,優化的本質是數據分析挖掘的結果。這些優化后的成果如果沒有得到更好的保護,產生的副作用也是巨大的。
另外,大數據帶來的數據集中需要防范APT攻擊行為,APT攻擊是黑客用客戶發動的網絡攻擊和入侵行為,是一種蓄謀已久的網絡攻擊行為,APT攻擊以竊取核心數據資料為目的,對大數據應用產生重大安全威脅。APT攻擊具有很強的隱蔽性,傳統的防護策略并不能檢測到,很難被發現。
云計算帶來的數據存儲
云計算是一種服務模式,通常被分為包括基礎設施即服務、平臺即服務、軟件即服務三種模式。云計算平臺可以分為包括以數據存儲為主的存儲型、以數據處理為主的計算型、以計算和數據存儲處理兼顧的復合型三種類型平臺。各高校實際使用情況顯示,各高校目前基本都建立了自己的以數據存儲為主的私有云平臺,但是這種用于數據存儲的私有云平臺產品基本都是由各廠商提供,并非各高校私有技術,這些用于數據存儲的云計算平臺的安全性如何未知;拋開這些未知數,目前還有很多高校使用了大量的公有云平臺,將各自的業務系統部署在商業的公有云上,數據、應用均在外部云上,這些數據的安全性也有待商榷。
提升數據安全四大對策
數據安全并非單一技術或者管理措施即可解決的復雜問題,需通過整體的信息安全保障體系的設計與實施,綜合考慮技術和管理各方面的措施。清華大學信息化技術中心吳海燕認為,應從以下幾個方面入手解決高校數據安全問題。
系統外包帶來的數據控制權
系統外包在各行各業都有,教育行業、高校也不例外,各式各樣的系統通過外包方式進行開發維護,各外包公司掌握著各類系統的應用程序源代碼、服務器權限、數據庫權限等核心信息。例如高校普遍使用的財務系統、人力資源系統、招生系統、學籍管理系統、科研管理系統等等,多數都使用信息化方式外包或者通過購買產品進行運行,如果對這些信息系統運維外包過程管理不嚴,極有可能造成重要數據泄露;同時在進行外包運維過程中,運維工程師的技術水平良莠不齊,有可能由于操作不慎造成數據丟失、損壞等。這種過度外包依賴對數據的安全是不可控的,各高校需要自主掌握數據的控制權。
數據資源開放共享與安全保護矛盾
大數據時代智慧校園建設對數據的需求越來越高,需要精準的數據信息作為支撐,例如,可以通過學生的個人消費情況,梳理一些特有的功能進一步優化校園卡服務。然而,數據信息作為一種資源,更是一種資產,需要進行保護,這種對數據信息的挖掘底線需要制定,總之,保護和需求的矛盾越來越顯現。
針對大數據環境下的高校數據安全問題,我們建議在規劃、建設、運行過程中,同步考慮“把數據關進籠子,讓數據訪問在陽光下進行”的數據安全策略。大數據時代,是機遇與挑戰并存的時代,高校數據安全防護工作任重道遠,需要有效的技術手段和相關政策法規并舉才能保障大數據時代的數據安全與個人信息問題,需要技術創新與制度創新才能不斷引領大數據時代的安全工作。
(作者單位為華東師范大學)