美创科技如何助力高校数据安全体系化升级,标杆实践看这里!

最新推荐文章于 2024-08-11 22:07:57 发布
最新推荐文章于 2024-08-11 22:07:57 发布
阅读量551 收藏 16
点赞数 10
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meichuangkeji/article/details/140384350
版权

在高校如火如荼的数字化转型建设中,平衡合规与发展的天平,强化数据安全保障,是不可忽视的重要工作。

关于如何有效开展,美创与多所国内一流高校深入实践,本案例作为美创护航高校数据安全的又一典型项目,覆盖了组织建设、制度流程、技术工具和人员能力等各个维度,通过风险评估、数据流向分析、分类分级、安全能力搭建及运营服务等,实现一体化数据安全保障落地,值得参考。

图片

浙江中医药大学(简称:浙中医大)是浙江省重点建设高校、高水平大学建设高校,是浙江省人民政府、国家中医药管理局、教育部共建高校。在2023软科世界大学学术排名1000强中,浙中医大跻身779位(中医药院校第二位),3个学科进入ESI全球排名前1%。

近年来,浙中医大积极推进数字技术与教育管理、教育教学科研的深度融合,已搭建完成数据中台,实现校域核心业务数据动态汇聚、治理、授权开放。但随着各类业务数据互联互通,数据安全防护压力随之增加。

同时,教育行业合规要求也在持续加码,尤其自《数据安全法》和《个人信息保护法》颁布实施以来,国家与教育部及相关部门下发多项推进教育领域数据安全工作的政策文件,如《教育部机关及直属事业单位教育数据管理办法》、《关于加强教育系统数据安全工作的通知》、《教育系统核心数据和重要数据识别认定工作指南(试行)》等,对数据安全治理与建设提出更明确的合规性要求。

为此,在统筹发展与安全的顶层规划下,实现数据利用与安全防护一体两翼,平衡发展的目标。浙中医大携手美创,开展以数据中台为基础的数据安全风险评估工作,并以此为切入点,通过识别目前风险现状,进而建立健全数据安全防护体系,具体包括:

图片

基于以上需求,美创结合自身完备的数据安全“咨询+产品+运营服务”,一体谋划、分三步开展,助力浙中医大数据安全体系化升级落地:

第一步   识别风险现状,完善管理制度

结合法律法规及教育行业的相关规定,美创数据安全咨询服务团队对浙中医大数据安全现状进行综合摸底,开展数据安全风险评估和分析,包括合规安全、组织建设、制度建设、技术工具等模块,并完成输出以下内容:

数据业务流向图

图片

数据安全风险评估报告

图片

数据安全能力差距评估结果

图片

数据安全管理制度

在组织建设方面,协助输出完成数据安全管理办法,明确数据安全管理层、执行层和监督层,建立安全保障小组或责任人机制。

在制度建设方面,结合浙中医大已具备的信息安全保障体系和制度,新增《浙江中医药大学数据安全管理规范》、《浙江中医药大学数据合作方管理规范》和《浙江中医药大学数据安全演练方案》等。

图片

第二步  厘清数据底账,实施分类分级

结合大学人员情况,建立分类分级工作组,制定内部工作汇报流程。通过对校内数据资产进行盘点,划定本次分类分级工作范围和工期计划。重点参考《教育系统核心数据和重要数据识别认定工作指南(试行)》、《教育系统数据分类分级指南(草稿)》、内部《数据目录白皮书》等,制定分类分级标准,最终形成分类分级大纲。

实施过程,由美创数据安全分类分级平台支撑,实现数据自动发现识别,并根据分类分级策略智能化处理分类分级标签,可视化呈现分类分级结果。

图片

数据分类分级大纲

图片

数据分类分级报告

第三步  安全能力建设,全面保障提升

在安全技术建设方面,通过对数据中台系统安全基线检查、漏洞扫描、渗透测试等方式,发现数据处理环境中存在的安全漏洞,进行漏洞整改;并以人、行为、数据为中心,锚定重要场景,如数据治理、数据访问、数据流转、数据开发场景等,落实数据全链路的数据安全技术防护体系,包括:

“人”的管控

通过部署数据库防水坝进行权限细化和访问处理数据规则细化。

  • 权限细化,根据运维人员身份角色不同,对其可执行的操作进行管控。

  • 规则细化,根据人员不同,配置相应的数据库操作权限,高级权限对数据库可进行所有操作和所有数据的查询,中级权限能执行非删除操作和高级敏感数据的权限,低级权限仅能查询非核心数据库数据。

图片

数据库防水坝

“数据”管控

通过部署数据脱敏系统,对敏感数据匿名化处理,在不破坏数据使用价值的前提下,防止开发测试、数据共享、分析挖掘等场景中发生数据泄漏风险。

图片

数据脱敏系统

通过部署存储加密,对个人隐私数据执行加密存储,防止明文存储引起的数据泄露问题。

利用数据水印系统,对敏感数据按需进行水印处理,确保在数据发生泄漏的情况下进行溯源。

图片

数据水印溯源

“行为”管控

通过部署API安全监测与访问控制系统,从资产脆弱性、资产暴露面、账户共用、异常访问等维度,智能监测数据中台API接口调用过程存在的各类风险,并进行告警阻断、快速处置;通过数据库防水坝-高危行为管控进行未授权用户的操作告警阻断。

图片

API安全监测与访问控制系统

“一张表贯通”

场景落地

以教职工基本信息表为例,如下图所示,通过在数据源系统【人事系统】,数据开放平台【数据中台】,数据使用方【E搜系统】进行加密、脱敏、API监测安全能力建设,实现整体流转链路表的数据安全防护落地。

图片

通过对人事系统中的教职工基本信息表进行分类分级,按照判断数据敏感等级为3级,基于《浙江中医药大学数据分类分级规范》3级要求,对教职工基本信息表进行数据访问行为管理以及数据导出行为管控,同时对该教职工基本信息表在数据中台API接口调用行为进行实时监测风险和告警处置。

图片

建设成果

1  通过完善数据安全管理制度,建立数据安全标准体系,有效规范了数据处理活动。

2  基于数据应用和共享建立数据资源目录的动态更新机制,全面掌握数据使用情况,按照浙中医大数据目录白皮书和相关标准指南,开展数据分类分级工作,落实数据分类管理分级保护。

3  按照“一数一源”的原则,根据实现处理目的最小范围,规范数据收集使用范围,优先通过共享获取数据,避免重复处理。

4  全面加强数据安全保障,建立覆盖数据处理活动的全方位安全体系,实现广大师生数据,特别是个人敏感隐私信息的重点保护。

数据库安全
关注
  • 10
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kafka producer metrics
fengkuang的一亩三分地
08-07 362
做online Service埋点设计,塞了很多节点,采用了base64压缩,希望能监控当前消息的大小,防止超过threshold后无法正常发送。
Filebeat+Kafka+ELK
qq_52448810的博客
08-07 323
x Pattern”按钮添加索引“filebeat_test-*”,单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。
ANN(Approximate Nearest Neighbor)搜索和索引库到底是什么?
叶庭云 成为自己的光
08-06 908
ANN(Approximate Nearest Neighbor)搜索和索引库到底是什么?
Kafka 的 ISR 机制
weixin_43281498的博客
08-11 249
在 0.9.x 之前的版本,Kafka 有一个核心的参数 :replica.lag.max.messages 表示如果 Follower 落后 Leader 的消息数量超过了这个参数值,就认为 Follower 就会从 ISR 列表里移除。由于 ISR 中的副本与之前的领导副本保持同步,新的领导副本能够继续提供服务,而不会丢失数据。当追随者副本追上了领导副本的日志进度(即达到了与领导副本相同的日志偏移量),领导副本会将其重新加入ISR。具体的 ISR 列表维护机制在不同的 Kafka 版本中有所变化。
基于python的图书馆大数据可视化分析系统设计与实现
Timi2019的博客
08-07 617
系统开发的语言选择的是python,数据库方面选择的是mysql数据库。这对这个本系统的稳定性提供了一个很大的保障,指这个系统在运行的时候不会突然的崩溃。也为用户的使用提供了保障。本系统和其他的图书馆系统的功能差不多。主要的就是包括登录注册这些基本操作。还有用户可以在系统上输入关键词来搜索图书信息。用户也可以通过这些信息来进行一个有效的管理和查询。
工业互联网产教融合实训基地解决方案
whwzzc的博客
08-08 910
依据工业和信息化部《关于加强和改进工业和信息化人才队伍建设的实施意见》的指引,当前工业互联网领域,特别是在智能制造、工业大数据分析、工业网络安全等前沿阵地,正面临严峻的人才短缺挑战,尤其是对复合型、高精尖人才的需求尤为迫切。作为实训基地的技术支撑核心,数据中心将部署高性能的云计算基础设施,构建安全可靠、可扩展的工业互联网云平台。实验室将围绕物联网的感知层、网络层、平台层和应用层四个层次展开教学与实践,通过设计并实施各类物联网项目,如环境监测系统、智能家居控制系统等,帮助学生深入理解物联网技术的原理与应用。
Elasticsearch 概述Elasticsearch 的基本概念
FireFox1997
08-07 483
Elasticsearch 是一个高度可扩展的开源全文搜索和分析引擎,它使得存储、搜索和分析大量数据变得快速且简单。Elasticsearch 以其分布式特性和强大的搜索功能而著称,下面将深入探讨它的一些基本概念,包括节点、集群、索引、文档、分片与副本、映射和分析器。
javaEE(2)
qq_64782704的博客
08-08 891
拦截web服务器向后端发送的数据,使请求地址在到达servlet之前进入到指定的过滤器中,可以对数据进行一些统一的处理,比如设置编码,权限控制等创建一个类实现Filter接口,并实现里面的doFilter()方法,过滤器要做的作用主要写在doFilter方法中这是一个设置编码的过滤器,的会被该过滤器拦截的servlet程序,都会在到达后端前被统一设置为utf-8编码。
【后端】消息中间件小册
weixin_44828537的博客
08-07 951
Kafka Broker 是 Kafka 集群的基本单元,负责处理消息的存储、转发和管理。通过多个 Broker 组成的集群,Kafka 能够实现高吞吐量、低延迟的数据传输和高可用性。唯一订单号通过提供一个唯一的标识符来识别每个订单,使得系统能够检测并避免重复处理同一个订单。结合去重机制和幂等性操作,能够有效地保证消息处理的幂等性,防止数据不一致和重复操作。Kafka 通过将消息按分区存储和保证分区内消息的顺序来维持消息的顺序性。生产者的分区策略确保具有相同分区键的消息按顺序存储,消费者按照顺序读取消息。
Elasticsearch 创建索引库指南
一起coding,一起嗨。
08-11 160
Elasticsearch 创建索引库指南
循环执行时数据的同步方式
Darling博客
08-07 564
将sqlserver中stock库里的dbo中的store_goods_stock_data_day表数据同步到hive中ods库中test_stock_store_goods_stock_data_day_i表中。构建任务将mysql中dim库的base_data表数据导入到hive中dim库的test_dim_base_date_full中。也适用于关心数据变化的维表,比如后续需要维护一个拉链表时,需要知道每天新增和更新的数据。适用于事务型事实表,只会新增不会更新的数据,如退货订单表。
数据采集工具之Canal
weixin_44996457的博客
08-08 279
canal.instance.master.address=192.168.140.1:3306 ###修改为自己的mysql信息。到此,我们可以实时获取到mysql数据库的各种操作日志,接下来需要将数据写到哪里 可以按需实现。本文主要介绍canal采集mysql数据的tcp、datahub(kafka)模式如何实现。启动:bin/startup.sh。到此,canal服务端配置完成。c、canal客户端开发。打开看看即可,不需要调整。2、TCP模式的实现。
【论文阅读笔记】ZooKeeper: Wait-free coordination for Internet-scale systems
最新发布
pursuit的博客
08-11 155
这篇论文介绍了ZooKeeper,一个用于协调分布式应用进程的服务。ZooKeeper旨在提供一个简单且高性能的内核,用于构建更复杂的客户端协调原语。它整合了组消息传递、共享寄存器和分布式锁服务的元素,形成了一个复制的、集中式的服务。Zookeeper提供了一个接口,具有共享寄存器的无等待特性和类似分布式文件系统缓存失效的事件驱动机制,以提供简单而强大的协调服务。ZooKeeper还保证了每个客户端请求的FIFO执行和所有更改ZooKeeper状态的请求的线性化。分布式系统中的基本协调机制配置。
docker安装elasticsearch
博客
08-10 818
学过docker的小伙伴们,都知道用docker-compose也可以将es和kinbana容器互联,这里不用是因为,可能后续小伙伴们只需要用到es不需要kibana,所以这样便于改造。在互联网项目中,在网络传输的速度很快,所以很多语言是不允许在网络上传递的,如关于宗教、政治等敏感话题,同时一些语气助词也可以忽略,那么我们在搜索时也应该忽略当前词汇。出现了很多新的词语,在原有的词汇列表中并不词在。上面的这个GET指的是GET请求,_search指的是搜索功能,下面的就是DSL语句,表示查询所有的数据。
美团面经到店研发
m0_74229735的博客
08-10 950
原理:Hash索引使用哈希表来存储索引键和对应的记录指针。当进行索引查找时,它会计算索引键的哈希值,然后通过哈希表查找对应的记录。优势查找速度快:哈希表的查找时间复杂度为O(1),因此Hash索引的查找速度非常快。不需要排序:由于查找基于哈希值,因此不需要对数据进行排序。劣势不支持范围查询:Hash索引不支持范围查询,因为它基于哈希值,而不是数据本身的顺序。无法利用索引进行排序:由于索引是基于哈希值的,所以无法直接利用索引进行排序。
数据防泄密软件推荐|(6大数据防泄密软件推荐!)
anqishenrjjian的博客
08-09 607
特点:此数据防泄密系统是一款专业的数据保护工具,可以对用户的上网行为进行监控,另外其还有桌面运维管理、事前主动防护措施、资源访问控制、日志审计等多项功能。此软件是一款功能全面的数据加密和安全管理软件,它采用了先进的加密技术和策略,可以对文件、数据库和邮件等进行加密保护。第三方软件解决方案:市场上有许多专业的文档透明加密软件,例如,安企神软件,它们提供了更丰富的特性和更灵活的管理选项。随着技术的发展,未来的文档透明加密系统将会更加成熟和完善,为用户提供更加可靠的数据保护方案。
星环产品可存储的表格式功能介绍(基础篇)
tiancaidddddd的博客
08-09 907
用户在建表的时候结尾stored as 处可以直接指定表类型,如果不进行指定则默认为TEXT表,那星环产品都可以存储哪些类型的表以及这些表分别是用在什么场景下呢?本篇文章将为读者介绍星环产品Inceptor以及ArgoDB有哪些可以存储的表格式,以及不同表格式对应的能力。希望可以对读者在业务场景中表格式的选择有所帮助。在表的分类中,星环关系型分析引擎Inceptor以及分布式分析型数据库ArgoDB在针对不同的业务场景中提供了不同的表类型。星环产品可存储的表格式 | 概览。
《深入浅出WPF》学习笔记七.使用Prism实现点单系统
yannsann的博客
08-08 558
深入浅出Wpf系列视频的最后一个demo,使用Prism、Mvvm实现点单系统。demo并不复杂,但是涉及的面广,方便更好的理解wpf。代码在下面自取。后续会把git地址补充上来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值