双性调教np堕重口黄暴辣耽_亚洲一级性_女人做爰呻吟娇喘声网站,男人和女人脱裤子叼嘿,亚洲一区二区在线,欧美日韩亚洲国内综合网

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發(fā)展
    關于美創(chuàng)
    申請試用
      因數據泄露被罰80萬!高校數據安全合規(guī)建設如何開展?
      發(fā)布時間:2023-08-17 閱讀次數: 2027 次

      8月16日,“南昌網警巡查執(zhí)法”官方公號披露了一起高校數據泄露事件。


      根據通報,南昌某高校3萬余條師生個人信息數據在境外互聯網上被公開售賣。南昌公安網安部門即刻開展一案雙查,抓獲犯罪嫌疑人3名,并對涉案高校不履行數據安全保護義務違法行為開展執(zhí)法檢查。


      經查,涉案高校在開展數據處理活動中:


      • 未建立全流程數據安全管理制度

      • 未采取技術措施保障數據安全

      • 未履行數據安全保護義務


      導致學校存儲教職工信息、學生信息、繳費信息等3000余萬條信息的數據庫被黑客非法入侵,其中3萬余條教職工、學生個人敏感信息數據被非法兜售。



      南昌公安網安部門根據《數據安全法》第四十五條的規(guī)定,對該學校作出責令改正、警告并處80萬元人民幣罰款的處罰,對主要責任人作出人民幣5萬元罰款的處罰。



      今年3月,株洲某軟件學校網站存在短文件名泄露漏洞;網站系統(tǒng)中存在大量敏感信息,未對前述數據采取應有的技術保護措施,未履行數據安全保護義務,株洲市公安局荷塘分局根據《數據安全法》給予該學校警告,并責令限期改正。


      同年7月,國內知名高校畢業(yè)生馬某,在讀碩期間通過非法技術手段,盜取個人信息包含2014-2020級本碩博所有學生在內的個人信息,制作成顏值打分網站供任何人隨意瀏覽,被海淀公安分局依法刑事拘留。


      2020年,鄭州某學校兩萬學生個人信息被泄露,以表格的形式在微信、QQ等社交平臺上流傳。新鄭市公安局依據《網絡安全法》對該校及負有領導責任的一名副校長和直接責任人進行行政處罰。



      01

      數據安全監(jiān)管常態(tài)化

      高校需“合規(guī)”而行


      在《網絡安全法》、《數據安全法》、《個人信息保護法》“三駕馬車”相繼落地,為數據安全管理和體系建設奠定法治基石的宏觀背景之下,我國公安網信等監(jiān)管部門也在不斷加強數據安全相關執(zhí)法力度和頻度。



      根據清華大學智能法治研究院6月17日發(fā)布報告顯示,公開發(fā)布依據《數據安全法》作出行政處罰決定典型案例有34起,2021年數據安全領域的行政執(zhí)法案例共4起、2022年案例共7起,而僅2023年1月至6月依據《數據安全法》作出行政處罰決定案例就達23起。

      今年3月,浙江某科技有限公司涉數據安全違法,當地警方依據數據安全法處以100萬罰款。


      而此次南昌高校80萬罰款,則成為2023年公開報道的幾起數據安全處罰事件中,為數不多的高額罰款案例!


      近年來,高校因數據安全防護不力,而導致大量數據泄露或被非法使用的情況屢屢發(fā)生,此前徐玉玉事件導致的悲劇,以及多起信息泄露事件,引發(fā)社會廣泛關注。


      數據安全相關的立法、執(zhí)法行動正日益交織成了一張細密的大網,高校作為我國高層次人才培養(yǎng)與科學研究的重要基地,掌握著大量個人信息、科研數據,更需全面提升數據安全防護意識,層層壓實責任,切實履行數據安全保護義務,建立健全全流程數據安全管理制度,采取相應的技術措施和其他必要措施保障數據安全



      02

      進行數據安全合規(guī)建設

      六個問題成主要挑戰(zhàn)


      目前大多數高校已完成信息管理系統(tǒng)和公共數據平臺建設,并圍繞教育數據的共享、挖掘和利用開展多維度的創(chuàng)新工作,但傳統(tǒng)的信息安全建設無法覆蓋現有的數據安全問題,新問題、新風險交織:

      數字化轉型造成數據敏感級別不斷提升 

      多年信息化、數字化建設,目前高校數據海量增長。高校師生個人和家庭數據真實性強且不可逆性、數據量級不斷增大;而重點實驗室、科研項目等核心數據,財務數據、學生考評等數據,因其高敏感高價值,成為竊取/篡改重點目標。


      數據安全管理制度體系不夠完善 


      高校數據信息涉及部門眾多,涉及較廣,普遍存在鏈條較長,數據安全管理組織架構不健全,數據安全責任人不明確的普遍存在,導致數據安全管理制度缺失,數據安全操作流程和規(guī)范沒有明確要求,數據安全考核和效果評價沒標準。


      工作人員缺乏數據安全意識


      數據安全在高校傳統(tǒng)認識中,仍是網絡信息安全的一部分,對數據安全工作缺乏重點關注,對安全法律法規(guī)不了解,數據安全風險意識低下,數據風險防范能力不足,存在敏感數據隨便私存和分發(fā)等問題。


      數據安全精細化管控措施普遍缺位 


      高校的業(yè)務系統(tǒng)眾多,安全歸口管理部門不一,這導致敏感數據散落各處,數據訪問角色復雜,系統(tǒng)漏洞百出;而由于大多高校未開展數據分類分級,不清晰數據流向,難摸清數據底賬,導致無法差異化、精細化落實安全管控措施。


      系統(tǒng)運維特權賬號缺少管控措施 


      高校信息中心因人員不足的問題,會引入第三方或兼職學生進行響相關的運維工作,并賦予訪問權限,這存在嚴重安全隱患;運維人員極易受黑市誘惑、好奇心驅動、人情請托等因素,利用便利條件達到竊取數據、篡改數據。


      API數據共享安全風險難感知 


      高校業(yè)務系統(tǒng)數據抽取和交換,多是通過API接口進行數據讀取,但由于缺少相應措施,對敏感數據流向和數據安全風險進行監(jiān)控、管理和審計溯源,高校難以感知數據濫用、數據竊取等風險。



      03

      守好數據安全合規(guī)底線

      制度、技術、運營是關鍵


      針對高校數據安全現狀和主要問題,如何做好數據安全建設?


      美創(chuàng)科技認為需要從制度、技術和運營著手,以數據分類分級為起點,以管理制度為依據,在具體建設過程和環(huán)節(jié)中,充分利用和發(fā)揮好各種關鍵技術的作用,分段實施,體系規(guī)劃,逐步構建覆蓋數據全流程、全鏈路的數據安全防護技術體系,最后構建數據安全運營體系,實現數據安全的持續(xù)優(yōu)化和提升。


        分類分級是建設基礎  


      《網絡安全法》規(guī)定網絡運營者應當采取數據分類、重要數據備份和加密等措施保護網絡安全?!稊祿踩ā穭t進一步規(guī)定,根據數據在經濟社會發(fā)展中的重要程度,對數據實行分類分級保護。


      高校應結合法律法規(guī)、部門規(guī)章、行業(yè)標準(如:《教育部等七部門關于加強教育系統(tǒng)數據安全的通知》、《教育系統(tǒng)核心數據和重要數據識別認定工作指南(試行)的通知》等),制定數據分類分級標準,梳理出高校信息系統(tǒng)重要的數據目錄,明確個人隱私和敏感數據保護范圍,達到分類分級保護的效果。其中達到秘密級的數據應當遵循《保守國家秘密法》的規(guī)定。





       管理制度是建設依據 


      《教育部等七部門關于加強教育系統(tǒng)數據安全的通知》中明確,應健全覆蓋數據收集、傳輸存儲、使用處理、開放共享等全生命周期的數據安全保障制度。


      對此,高校可從決策層、管理層、執(zhí)行層、配合層、監(jiān)督層5個層面進行組織建設,明確數據安全責任人;在制定數據安全管理與隱私保護相關辦法中,明確數據收集、存儲、處理、共享等關鍵環(huán)節(jié)的操作規(guī)范、管理部門職責分工、應急管理與安全檢查機制,從而充分發(fā)揮各部門和各類人員在數據安全保障工作中的作用,共同遵守和執(zhí)行安全規(guī)章制度,保障數據安全策略的貫徹落實。


       數據安全需全鏈路建設 


      根據《數據安全法》的規(guī)定,數據安全是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。


      因此,在數據安全建設中,高校需梳理數據應用重要業(yè)務場景,評估其數據安全現狀,在數據分類分級的基礎上,分段實施、體系規(guī)劃、面向數據訪問域、存儲域、流動域,落實覆蓋數據全鏈路的數據安全技術防護體系。




      在數據存儲域:對師生敏感數據或重要數據進行加密存儲,防止黑客拖庫、磁盤丟失、備份文件被盜等原因造成敏感信息泄漏;對重要啞終端、數據庫服務器、應用服務器、文件服務器等重要系統(tǒng)部署勒索軟件防范勒索攻擊;同時借用數據災備保障業(yè)務連續(xù)。


      在數據訪問域:通過數據庫防水壩對運維人員的權限進行細粒度的操作權限控制,實現DBA權限分離控制、防止越權,實現DML/DDL操作指令控制,防止誤操作;通過數據庫防火墻防范黑客通過SQL注入漏洞和數據庫漏洞進行網絡攻擊和數據竊??;采用DLP數據防泄漏系統(tǒng)對重要文件的處理、傳輸進行管控;通過數據庫審計實現數據庫訪問的各類操作行為的監(jiān)控和記錄、審計溯源。


      在數據流動域:通過靜態(tài)脫敏、水印溯源、API監(jiān)測與訪問控制等能力,加強數據流動場景下的安全保障和風險監(jiān)測,實現數據可控流動。


      安全是一個不斷變化的過程。為了應對變化,高校應對數據安全進行持續(xù)優(yōu)化改進與運營,以看見驅動安全,從全局視角提升對數據安全威脅的發(fā)現識別、理解、分析和響應能力,實現資產全域可管、風險全域可視、策略全域聯動,充分盤活整體數據安全防護能力,最終形成一體化的數據安全管理、安全監(jiān)控和安全運營體系,實現數據安全統(tǒng)一運營。


      上一條:美創(chuàng)科技榮獲“2023年網絡安全優(yōu)秀創(chuàng)新成果大賽—杭州分站賽”兩項優(yōu)勝獎
      下一條:“之江數據安全治理論壇”暨《浙江省汽車數據處理活動規(guī)定(專家建議稿)》研討會順利召開
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部