数据安全法公布后,依旧有高校存在数据泄露,安全存在隐患。使用泰雷兹数据安全平台,多方位保护您的数据,并通过集中化管理,安全的存储密钥。
罚款80万!江西南昌某高校发生数据泄露案件
2023年8月15日,据:近期,南昌公安网安部门工作发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。南昌公安网安部门立即开展一案双查,成功抓获犯罪嫌疑人3名。
同时,对涉案高校不履行数据安全保护义务违法行为开展执法检查。
经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
罚款80万!江西南昌某高校发生数据泄露案件图
南昌公安网安部门根据《人民共和国数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
罚款80万!江西南昌某高校发生数据泄露案件图
下一步,公安机关将持续贯彻落实《网络安全法》《数据安全法》及《关键信息基础设施安全保护条例》等法律法规要求,加强网络和数据安全监督检查和安全保护工作,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,做好源头防控,坚决维护网络和数据安全。
以上引文部分《罚款80万!江西南昌某高校发生数据泄露案件》为原文,来源南昌网警巡查执法
以下安策解决方案部分:
提供院校核心敏感数据符合国家合规要求保护
数据安全法已公布,并开始施行
7月28日,备受瞩目的国家数据局首任局长官宣。根据《党和国家机构改革方案》,国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
同时,《人民共和国数据安全法》的生效,不仅极大地保护了国家、社会和公民的数据安全,也表明了国家治理数据安全的决心。
随着数字经济成为世界经济发展的新动力,推动数据量的高速增长,数据安全风险也在同步激增。同时传统的犯罪类型也借助新型技术不断形成新的变种,在侵犯数据权益的同时,对社会公共利益乃至国家安全也造成严重威胁。
网络安全威胁无处不在
近期,南昌公安网安部门工作发现,南昌某高校师生个人信息数据泄露。学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务。
安策院校核心敏感数据符合国家合规要求保护图
网络安全是任何数字化转型的基石,也是数字信任的基础
在一个数据驱动的世界里,一次网络攻击就可能严重损害你的企业及其声誉。以下四个简单的步骤可以帮助保护你的业务免受网络威胁。
1.发现和分类您的数据
随着企业在混合计算环境中运行,数据可以在任何地方存储和处理。因此,发现所有数据及其驻留位置(本地或云中)非常重要。确定所有数据后,对它们进行分类并确定其重要性也同样重要。与其他非关键信息相比,敏感数据和个人数据应该得到更严格的安全控制。数据发现和分类是确定优先级和选择适用于保护数据的安全控制措施并保持合规性的基础。
2.通过加密保护您的数据
强化基础架构的第二步是加密所有数据,尤其是那些被标识为关键和敏感的数据。这降低了盗窃、破坏或篡改的风险。此外,加密在许多安全和隐私法规中都是首要要求。
但是,仅加密是不够的。加密与加密密钥的基础保护和管理一样好。强加密和有效的密钥管理相结合,可以强化您的数据免受一系列攻击。
3.保持对加密密钥的控制
将密钥与数据分开,分离数据存储和数据保护的职责,以增强抵御高级网络攻击的弹性。选择经过认证的硬件安全模块 (HSM),无论是在本地还是在云中,作为存储密钥的信任根。您可以更确信您的数据是安全的,并且您将满足许多法规的数据主权要求。
4.控制谁有权访问您的数据
考虑到传统的网络边界安全性对于边界模糊的业务环境来说还不够,以身份为中心的访问控制越来越受关注。考虑使用支持单点登录(SSO)、多因素身份验证(MFA)和自适应的、基于风险的身份验证的集成解决方案。
安策提供数据安全平台
作为一个值得信赖的技术合作伙伴,Thales通过提供卓越的数据保护来增强高校以及企业的数据安全性,使客户能够更好地控制他们的敏感数据。为了应对动态网络安全威胁并保护数字资产,Thales推出了新一代数据安全产品——CipherTrust数据安全平台(CDSP)。
该平台满足了监管要求,并减轻了网络威胁环境中存在的越来越多的风险,并且依靠集中的审计记录来满足日益严格的数据保护合规要求。
安策院校核心敏感数据符合国家合规要求保护图
新一代数据保护平台提高了效率,并涵盖了更多的环境、系统、应用程序、流程和用户。
CipherTrust数据安全平台以密钥和策略管理平台——CipherTrust manager (CM)为中心,该管理平台集中管理数据保护连接器和合作伙伴集成的生态系统:
勒索软件保护(CTE-RWP): CipherTrust透明加密-勒索软件保护(CTE-RWP)使系统免受零日漏洞攻击,即使系统与互联网断开连接。
数据发现和分类(DDC): 组织可以快速了解业务风险,并确定在何处应用补救措施。DDC提供了对内部部署和云环境中结构化、半结构化和非结构化敏感数据的可见性。
改进版的监控和警报:借助CipherTrust Manager改进版的合规性审计,组织可以推送syslog警报。记录所有管理员的访问和加密密钥状态以及策略更改。此外,CM还提供Splunk日志分析和Prometheus监控工具。客户可以生成预配置和可定制的电子邮件警报。
应用程序级加密:为了简化与平台集成的工作量,CipherTrust应用程序数据保护系统(CADP)与CipherTrust Manager进行远程交互,从而实现密钥管理和加密操作的自动化。
文件系统和数据库的透明加密:CipherTrust透明加密(CTE)提供对文件、数据卷和数据库具有特权用户访问控制的静态数据加密,无需对应用程序进行任何代码更改。
集成Vaulted和Vaultless令牌化: CipherTrust令牌化以两种灵活的解决方案提供应用程序级令牌化服务:带动态数据屏蔽的Vaulted令牌化和Vaultless令牌化。这两种令牌化解决方案都可以保护敏感资产并使其化
总结
目前数据安全在我国仍面临较大的挑战,各院校对个人的数据安全意识不足,造成数据安全保护技术和管理上都有漏洞。同时,外部攻击也越来越组织化、体系化。分析中还发现,对于不少公开的数据安全泄露事件,并没有公开处理结果。公开的这些案例中,大多数为未落实数据安全保护义务造成,虽未发生严重后果,但也给予了我们足够的警示。各企业或组织需尽快落实数据保护义务,防止重大数据安全事件发生,避免遭受处罚。