基于OMO的数据保护治理和网络安全保障体系
黄淮学院
黄淮学院是河南省高校数字化校园建设试点单位和智慧校园建设试点高校,十四五期间,学校加速推进教育教学和管理服务数字化转型,着力构建基于中台技术的数据生态体系。
一、工作背景
随着学校数字化转型工作不断推进,学校数据量和数据使用频次较十三五期间显著增长,学校现有数据治理和网络安全模式在数据支撑、数据保护、网络安全防护、应急处置响应等方面越来越显得力不从心。如何确保学校数据资产的安全使用,实现数据保护与数据应用均衡发展,高质量推进学校各项业务数字化转型,成为了黄淮学院现阶段亟待解决的关键问题。
二、关键安全问题
(一)数据家底不清
数据底数不清、数据暴露面不清和数据保护着力点不清是学校数据保护治理面临的一个主要问题,已成为学校数据安全工作有效开展的制约性因素。黄淮学院数据资产规模大,二级部门多,业务系统多,厘清数据难度大。此外,由于十三五期间学校数据和安全闭环未完全形成,导致数据治理只能把系统生成的数据通过业务部门定义的数据质量和安全标准在全量数据中心构建出来,因为不触及业务,在数据质量和数据安全检验方面也很难着力,从而使得数据质量参差不齐,进而导致针对数据的安全防护难以精准实施。
(二)数据流向不明
十三五期间学校数据安全主要采用传统单点建设为主,围绕数据处理活动,进行了分段堡垒式保护,起到了一定的防护作用。但随着十四五期间信息化建设和智慧化应用的快速发展,学校数据访问形式变得多样复杂,数据使用频次显著增多,原有管理体系越来越难以明晰数据流向,有效建立数据关联,让数据有序、安全、可控的流动到所需用户当中。
(三)安全运营乏力
受限于机制体制等因素,学校数据应用和数据安全人员配备不足,数据服务能力不强,应对突发安全事件的手段和能力薄弱。主要体现为:1. 业务系统使用单位和设备运维厂商各自为政,缺乏有效的机制为数据和网络安全事件的发现、分析、处置、溯源提供协同保障。2. 缺乏专业安全团队持续对安全告警进行监测、分析、处置等闭环操作。3. 随着数字化转型的深入,面对黑客日新月异的攻击手法,缺乏融合内外部安全能力持续提升自身应对网络及数据安全威胁能力的有效途径。
三、工作举措
为深入推进黄淮学院数字化转型,提升学校数据安全与网络安全的保障与处置能力,遵循全域覆盖、厘清家底、统筹管理、团队协同、运营为王的一体化安全保障理念,学校于2021年9月启动了数据保护与网络安全新模式构建工程,构建基于OMO的数据保护治理和网络安全保障体系。
(一)组织领导
1. 机构建设
学校成立了由党委书记和校长负责的网络安全和信息化委员会,负责统筹协调全校网络安全和信息化重大问题。学校信息化办公室设立了网络信息安全科和校园数据服务科,统筹网络安全和数据服务,整合运营力量、协调沟通专家团队,确保安全监测与事件处置形成最大合力。
图1 OMO安全保障体系组织架构图
2. 制度建设
学校制定并颁布了系列数据保护与网络安全制度,并于适时进行更新和完善,包含:《黄淮学院数据标准管理办法》《黄淮学院数据确权管理办法》《黄淮学院数据治理管理办法》《黄淮学院网络与数据安全管理办法》《黄淮学院网络安全应急处置预案》等。
3. 团队建设
建立安全运营团队,在信息化办公室统筹管理下开展工作,按照“实战化,体系化,常态化”指导思想,实现“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”。设立安全监测组,负责对安全事件进行实时监测;设立安全分析组,对安全监测组提交的攻击事件进行深入分析,判断攻击严重性;设立预警通告组,根据收集的威胁情报、上级安全通告、安全事件分析结果,发起处置通知流程并协调反馈;设立安全运维组,负责日常运维和定期运维工作,保障网络环境、平台设备,以及相关安全设备的正常运行,定期开展系统安全检查;设立攻防渗透组,负责业务系统上线前准入测试、组织攻防演练、组织护网行动、常态化漏洞黑盒测试、安全脚本及接口开发等。
图2 安全运营团队构架
(二)协同推动
1. 内部协同
(1)数据协同。建立灵活、高效、安全、稳定的数据交换平台,并基于其构建共享数据库,提供反映学校全面情况的数据信息。构建全局共享数据集,并形成全局数据共享的管理、维护、处理和服务机制,实现学校数据资源的共享、集成和高效利用。(2)身份协同。建立统一身份认证和校级用户中心,提供多种认证方式,对用户进行统一权限分配,并辅以功能完善的全局权限审计能力,确保每个系统的数据访问安全。(3)校内单位协同。从场景应用视角出发,信息化办公室协同各业务部门,共同制定数据保护整体目标、总体方法、原则规范等内容,落实自身责任,协同推进数据保护和网络安全。
2. 外部协同
(1)对应用系统厂商开发的数据字段标准、数据访问接口等进行统一规范,要求系统厂商必须无条件提供系统对接接口,确保新建系统数据合规。(2)对硬件设备和安全设备厂商进行统一规范,要求厂商提供7*24小时的在线响应或线下驻场服务,确保安全事情及时响应处置。
(三)技术创新
1. 数据治理驱动安全防护
结合学校数据现状,开展数据保护治理,对学校数据资产进行采集、确权、流传、备份、理解、分析和定位,根据数据重要程度和敏感程度不同,对数据进行个性化防护,通过数据安全服务为用户提供针对不同数据、不同使用者的数据管控手段,从而实现在适当安全保护下的数据自由流动。
图3 数据防护治理框架
(1)推行数据确权。梳理现有数据资产,确定校内数据总体情况,摸清全校数据家底。(2)制定脱敏规则。对重要数据进行脱敏操作,在保证数据安全的前提下提供数据服务。(3)建立申请流程。数据需求单位线上申请,经逐级审批后,最终由信息化办公室加密后统一授权,保证每条数据安全使用。(4)数据统一备份。实现数据统一自动备份,当灾难发生时,确保数据高效支撑系统恢复运行,保证业务连续服务能力。(5)统一访问权限。整合统一用户中心,确保人员信息数据的一致性,统一设置访问角色并授予对应数据权限,实现在系统登录、数据使用、密码找回等场景身份核验一致性,确保数据使用合规安全。(6)移动端应用安全加固。对学校专属APP“云上黄淮”进行定期安全扫描和定期加固,增强对恶意入侵的抵抗能力,确保移动端数据安全。
图4 数据授权体系
图5 360APP扫描与爱加密APP加固
2. 建立数据链监测及追溯系统
构建数据全链体系,可视化反映校内数据流动情况。从数据全景和数据全链两个维度展现不同粗细粒度数据来源去向信息,当数据出现问题时有源可溯,有据可寻。通过数据库细粒度审计与告警、数据信息资源分类目录发布与审批下载、API解析和还原等技术手段,对网络流量中数据内容进行监测,统一对数据流动进行分级分类标记和敏感数据识别,结合线下工程师和线上工程师的辨别分析,及时发现安全风险并有效追溯。
3. 建立API数据调用审批与监测系统
(1)实现应用层和数据层分离,应用通过API接口审批方式访问数据。对全校已有的API接口按照主题分类包装到前端,构建API服务查询、展示、收藏、调用、申请、评分一体化服务模块,实现API在线申请和统一审批,确保数据使用安全。(2)构建API监测系统进行安全监测。通过对应用流量进行采集,解析流量中的应用API信息,进行深度分析,实现面向API漏洞的攻击检测与防护、面向API数据的泄露检测,使API传输数据风险可视化、数据泄露可视化、传输行为可视化等,显著提升API安全防护能力。
图6 API调用与监测流程
4. 构建OMO网络安全协同运营体系
建立基于OMO的安全协同运营体系,形成融合线上线下安全人员、技术工具、制度流程的一体化安全工作新模式。线下安全分析师利用学校内外网环境中的安全设备,针对学校数据和网络,实时分析处置告警信息;线上安全分析师利用线上服务支撑工具确诊安全事件,厘清事件损害范围,判定线下安全处置措施的有效性;以运营脚本驱动线上线下分析师深度参与监测、分析、处置、溯源的安全事件处置闭环过程,确保分析过程与安全处置完备精准。
图7 OMO网络安全协同运营体系
(四)项目管理与实施保障
项目整体管理和实施由信息化办公室统筹负责, 主要措施有:1.明确数据质量和网络安全管理组织,配备具有专业知识和能力的责任人及数据质量管理专员;2.明确数据质量管理和安全运营团队工作所涉及的数据标准与网络安全标准制定与优化、系统建设与改造、数据质量自查与校核、数据安全监管及考核评估、安全事件监测与响应等相关经费保障;3.对从事数据采集、检查、考核和安全事件监测、分析、处置的人员进行岗位专业技能培训。
三、工作成效
(一)实际应用效果
1. 数据运转全程可监测
实现对10多个部门30+系统的数据进行全生命周期可视化安全监测。通过统计报表、作业日志、监控大屏等多种不同维度的监测手段,保证任何一个数据运转环节出现安全问题时,管理部门均可在第一时间发现。涵盖:(1)200+数据采集作业的实时监控;(2)11个数据子集、248个数据子类的7000万+数据变化概览;(3)7大数据子类脱敏管理;(4)40+API服务和22+数据目录服务的使用审核监测;(5)业务数据质量监测分析与质量报告定期推送。(6)重要业务系统数据库100余个备份管理。
图8 数据交换作业监控
图9 数据变化情况概览
图10 API接口脱敏
图11 数据审批申请流程
图12 数据质量报告
2. 安全风险全域可感知
运营团队结合数据感知中心扫描工具, 统计维护全域100+数据库及其账号、20+文件系统、40+应用、40+API接口等数据资产基础信息,从敏感数据位置、敏感数据总量、敏感数据类型、敏感数据便签、敏感级别等多个维度,梳理学校数据资产台账,构建学校敏感数据资产分布全景态势图。
图13 敏感数据分布态势
基于资产台账和敏感数据资产分布全景态势图,数据感知中心采用分布式方式部署业务数据流量探针,结合数据库审计探针,对分散在各部门的业务系统,数据库及API接口访问流量日志和各类审计告警数据进行采集,通过对安全策略变更和数据库、应用、API等涉敏对象的敏感数据量、敏感数据类型等指标进行综合分析与智能预测,生成敏感数据流动态势图。
图14 敏感数据流动态势图
数据感知中心对分布在不同位置、不同时间、不同类别、不同级别的数据资产安全告警、事件处置等指标数据,通过日志比对、基线异常、概率异常、行为链判别等建模分析,识别如账号风险、应用访问风险、数据库访问风险、用户异常行为风险、API安全威胁、DLP违规等不同场景的安全风险并进行综合呈现,形成数据安全风险态势图,从而实现围绕数据的分布、流动、风险的全域智能感知。
图15 数据安全风险态势图
3. 安全事件全程可闭环响应
通过OMO网络安全协同运营体系,对安全事件实现了7*24小时线上、线下资源有机融合,协同开展实时监测、联合分析、快速处置,每月平均采集接收事件3500多万起,经研判分析筛选出安全事件210多万起,处置高危事件10余起,有效解决了学校自身安全问题发现难、确认难、处置难、溯源难等四难困境,确保学校数据和网络安全。
针对安全事件,OMO体系采用一体化SADR(监测、分析、处置、报告)模式。首先通过前端探针动态监测感知,分析安全事件类型,归类后进行安全事件定级,然后交由二线分析师研判事件威胁程度,威胁较大时上报专家团队进行协同处置,最终交由一线工程师按照安全事件处置办法进行现场处置,安全事件解除威胁后形成安全事件报告,交由网络安全管理员进行留档,确保安全事件全流程闭环。
图16 网络安全运营中心概览
图17 系统漏洞实时监测
(二)用户体验
1.通过数据主题分类和共享权限划分,既保证了用户能够快速找到所需数据,又能在系统设定的共享数据权限下在线完成数据申请调用,实现了数据使用的便捷性与合规性统一。
2.通过对数据使用申请的管理与审批,实现所有数据使用情况的在线审查,确保每一项数据合理安全使用,同时结合数据全链监测和API监测,确保数据使用安全可追溯。
3.通过OMO网络安全协同运营体系,依托数据保护治理工作的成果,能够持续、动态、闭环地开展日常安全防护和重要时期重点保护,同时也为师生提供了实战化安全演练场景,提高了师生解决实际安全问题的能力,增加了师生安全项目的经验。
(三)规模效应
黄淮学院探索的“基于OMO数据保护治理和网络安全保障体系”的安全工作新模式,使学校数据安全和网络安全保障水平显著提升。学校网络安全运营中心,融合了校园网、物联网、数据安全、网络安全等多业务安全保障运营,最大限度实现了资源节约和集约使用,可以大幅节省数字校园运维和网络安全建设的资金投入,同时还可取得安全保障的最佳效果。
项目的建成运行以及安全运营团队的落地,为国内其他兄弟院校提供了可以参考的范例,也为我省教育信息化和网络安全建设提供了可以借鉴的宝贵经验。
四、工作经验
(一)数据保护治理
应遵循数据保护治理战略层—战术层—战役层闭环建设。厘清数据底数,明晰数据安全问题,形成数据保护治理的有效手段,同时开展场景化数据保护治理工作,形成标杆效应,以局部战役性的数据保护治理撬动和推动学校全面的数据安全建设。
(二)网络安全保障体系
应依托先进的安全运营理念和安全运营团队,结合学校实际环境和安全工具,融合外部专业安全人员与工具,共同建设完整的威胁分析与处置技术堆栈,构建高效的持续监测、主动发现、闭环响应的安全事件处置响应体系。