近日,由中國教育技術協會、華中師范大學舉辦的“AI賦能融合創新——數智時代高校一卡通融合創新研討會”上,杭州美創科技股份有限公司(簡稱“美創科技”)資深技術專家陳瓊面向來自全國170余所高校的信息化辦公室負責人及核心業務老師、教育技術領域專家介紹美創科技全新高校數據安全方案《鑄盾計劃:建設體系化的高校供應鏈安全護盾》,通過規范人的行為、落實高校供應鏈安全。
高校供應鏈-安全數據安全風險洞察
通過對高校多次發生的數據安全泄露事件分析,得出高校數據安全風險往往與供應鏈角色密切相關。究其根源,主要是三大核心問題:
· 數據安全制度流程規范缺失· 供應鏈人員安全意識缺失· 技術缺失入侵提權泛濫
針對頻發的高校數據安全泄露事件,教育部、省教育廳及相關監管單位出臺多部文件:2025年04月16日教育部等九部門《關于加快推進教育數字化的意見》中提出建立教育領域身份和數據可信體系;浙江省網信辦、浙江省教育廳已連續三年組織省教育行業網絡與數據安全專項活動,建立百余項數據安全評估標準,明確要求加強對供應鏈身份認證、數據訪問、采集、傳輸、處理等全過程的安全監管。
由此可見,數據泄露事件最主要是的因素是人的安全,人的復雜性導致了安全的復雜性,也給高校的數據安全帶來了很多的新的安全問題。
高校供應鏈安全-“3+4+5”治理方案
方案聚焦高校供應鏈安全體系的搭建:以制度為指引,明確供應鏈人員責任義務,完善數據安全責任體系、規范數據安全流程;以技術為核心,規范供應鏈人員行為合理可控,支撐治理;以策略為輔助,聚焦場景制定可落地安全策略,落實治理效果;開展針對性、持續化的運營,深化治理。
美創高校供應鏈安全防護體系,在制度、技術、運營三大體系基礎上,圍繞身份、資產、行為、閉環四個治理,通過新技術、新場景、新機制,實現“進不來,拿不走,看不懂,改不了,賴不掉”五個不的高校供應鏈安全防護目標。
新技術
AI賦能,提質增效
基于AI實現精準數據分類分級降本增效數據分類分級智能體基于先進大模型推理技術,將分類分級識別率由70%提升至99.8%,準確率由50%提升至85%。在分類分級作業實施后,利用雙AI模型校驗技術,對數據一致性進行準確性校驗,提升分級作業的人工效率,降低分級作業的技術實施難度,達到顯著的降本增效。
基于AI實現海量告警研判
進一步提質增效
美創數據安全一體化平臺全面接收安全端點能力的檢測結果,匯總各類告警數據。創新研發告警研判智能體,將原有的“靜態、被動”模式轉變為“動態、主動、前置”的風險監測策略,實現規則與業務靈活適配,推動風險監測向智能化、精準化、實時化升級,有效降低數據安全運營成本。同時,借助AI降噪算法和模型,將誤報和漏報率降低50%。
新場景
數據安全能力場景化落地,打造數安之盾
經過分類分級處理后數據主要應用于高校供應鏈的各個場景:無論是教務系統的業務系統,還是數據中心的數據平臺,從數據采集到數據存儲、治理和傳輸的過程中,都離不開供應鏈方的參與和數據處理。在此過程中,供應鏈人員具有較大的數據訪問權限,如何規范供應鏈人員的數據訪問合規和安全是我們需要解決的,分三個場景進行闡述:
場景一供應鏈人員通過“非業務”途徑訪問業務數據(開發)
供應鏈人員在開發端訪問業務數據過程中,常出現通過連接工具直接對明文數據以及全量數據進行訪問的情況。
風險點· 敏感數據下載:通過超級管理員賬戶進行全量數據查詢,通過工具將數據一鍵導出至本地,將導致數據泄露。· 敏感數據導出:通過庫表交換、數據庫Dump等行為將原始數據明文同步到目標端,導致數據泄露風險。
管控措施數據查詢限制:建立數據動態脫敏機制,對不同人員敏感數據查詢進行權限區分。數據導出管控:合規導出需通過工單流程進行,非合規導出則采用數據脫敏或加水印的方式處理,導出后可實現數據溯源和安全風險保障。
場景二供應鏈人員運維安全風險(運維)
高校業務系統和中臺的數據庫,有專門的運維廠商,常出現多個廠商共用一個數據庫賬號,或在業務系統開發過程中只使用一個數據庫賬號的情況,數據泄露后難以追溯源頭;此外,運維人員常通過 root 賬號執行高風險操作,如教務業務變更、表結構調整等,如出現未經審批的操作,后果嚴重。
管控措施賬戶安全治理:通過在數據訪問連接通道(如堡壘機等)到生產數據庫之間,搭建數據庫權限賬號管控系統,通過該系統賬戶托管能力,實現數據庫賬號1比N的映射,同時系統提供對映射賬戶權限、訪問對象、生命周期、賬戶銷毀進行管理。高危行為管控:在事中對高危權限進行管控,實行授權加審批機制。對于表結構變更、刪庫、刪表等高危操作,通過內置風險告警機制實現安全管控,并通過工單審批實現權限訪問的收斂,保障數據庫供應鏈人員的賬號和行為管控。
場景三供應鏈人員使用未授權工具或假冒應用違規訪問
風險點· 未授權工具易導致數據被加密勒索:常見使用包含惡意代碼的連接工具訪問數據庫,導致數據庫被加密勒索。· 假冒應用導致數據竊取:利用工具假冒應用,繞過安全機制,從應用通道竊取業務數據。
管控措施惡意代碼監測:對連接工具過來的SQL進行解析,通過敏感SQL庫監測惡意代碼,防止數據被勒索。應用防假冒:建立應用指紋,對連接數據庫的所有工具進行檢測比對,防止工具偽裝。
新機制
創造性提出“逐表防護”理念,落實全域數據防護
方案創新提出“逐表防護”機制,是指數據經過分類分級梳理后,以字段為單位進行分析。若一張表中包含較多敏感級別字段,我們將其認定為重點敏感表。對于敏感表的源表和副本表,會進行重點表的標簽化標記。
通過重點表篩選、副本表探查、路徑流轉測繪、使用權限最小化、逐步實現安全基線動態化、安全預警可觀測、安全風險可閉環的數據安全運營目標。幫助高校用戶形成數據流轉一張屏、安全態勢一張屏和數據家底一本賬。
美創科技在高校案例中,有非常多的成功實踐,部分典型高校數據安全案例分享:
?浙江中醫藥大學數據安全體系化升級實踐?西南大學某核心業務系統數據安全建設實踐?“雙一流”高校的數據安全治理實踐之路?高校數據安全六個問題,三個關鍵
美創高校供應鏈安全(3+4+5)治理方案,助力建設體系化的高校供應鏈安全護盾,詳詢 400-811-3777 。
浙公網安備 33010502006954號 
