武漢大學數據安全防護實踐

文/蔡利軍 周益飛

在高校信息化建設和發展過程中，業務系統和數據中心匯聚了大量數據，并在多個部門和多個系統之間流通、共享和分析，導致高校數據資產不清晰，給數據安全管控和防護工作帶來困難。由于缺乏相關的數據安全能力，很多高校都不了解自己的數據資產，不知道敏感數據的具體分布，數據安全防護也無從談起。隨著《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等關于數據安全的法律的頒布和實施，梳理高校信息資產、對數據資產分類分級，規范數據處理活動，保護師生在網絡空間的合法權益也愈發迫切和必要。

本文結合武漢大學的數據安全實踐，描述了學校信息資產數據的梳理過程，同時探討了高校的數據資產分類分級，并對敏感數據安全防護和動態脫敏提出了一套可行的解決方案。

信息資產梳理

武漢大學信息資產主要包括校內網站、信息系統和新媒體平臺，這些資產以域名、IP 和新媒體平臺賬號的形式記錄備案，各類網站和信息系統，均是由學校各院系、職能部門、研究機構等自行建設開發，并提交紙質備案資料，經學校宣傳部和信息中心分別審批后上線。由于歷史原因，紙質資料的存檔由宣傳部和信息中心分別各自保存，同時存儲電子檔案備查。

由于存檔和管理上的側重點不同，宣傳部和信息中心保存的數字存檔在數量和內容上存在較多差異，比如宣傳部的檔案更注重資產的名稱、負責人以及域名等信息；而信息中心的檔案更偏重服務器IP 地址、數據庫類型、采用的開發技術等。另外，由于多年的信息化建設發展以及單位人事變動，很多信息資產停止維護或負責人員調整，沒有及時通知和反饋，造成存檔的資料與實際情況存在很大差異。因此，通過建設學校統一的網絡資產備案系統作為契機，對上述資產進行數據治理和資產清查，提高資產數據的準確性和及時性，信息資產（主要是校內網站和信息系統）梳理過程如下：

首先，需要對宣傳部和信息中心的數字檔案進行整合，對兩個部門保存的不同格式數據導出成Excel 表，取并集處理得到統一的完整數據，包含資產名稱、所屬單位、負責人、聯系方式、域名、IP 地址、開放端口、建設技術等；其次，將上述表格關聯正確的單位代碼和負責人工號，由于原數據中未保存單位代碼以及負責人的工號，無法精確定位人員，因此將表格中的單位名稱與學校組織機構進行匹配，確定機構代碼，同時將負責人姓名與人事系統的人員姓名匹配，識別工號；最后，將數據導入資產備案系統并設置對應的服務器類型，梳理出信息系統和網站。

信息資產梳理后，還需要通過備案系統掃描，獲取各類資產的可達狀態。根據HTTP 返回參數，狀態碼200 表示正常，302表示跳轉，403 表示禁止訪問（在高校這種情況一般是集成到信息門戶），這3 類標記為可達資產，對于多次掃描均為不可達的資產，標記資產狀態為注銷。如果想進一步梳理網站資產，還可以清理出長期不更新的網站，此類網站由于長期無人維護和管理，網站框架或后臺版本老舊，安全漏洞多。由于要求用戶主動注銷此類網站較為困難，因此可以采取技術手段，通過最后更新時間找出此類網站，設定時間周期后自動注銷或標記為過期資產。經過以上梳理步驟后確定武漢大學可訪問信息資產總數上千，其中網站資產占80%左右，系統資產占20%左右，新媒體賬號有500 多個，如圖1 所示。

圖1 信息資產梳理流程

數據資產分類分級

目前已經發布的《網絡數據安全管理條例（征求意見稿）》提出，要建立數據分類分級保護制度，按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施。國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。各地區、各部門應當按照國家數據分類分級要求，對本地區、本部門以及相關行業、領域的數據進行分類分級管理。

隨著高校信息化建設不斷發展，引入各類信息系統中存儲的敏感數據也越來越多，在《中華人民共和國個人信息保護法》中，敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息。根據高校的實際情況，可以考慮將身份證件號碼、個人生物識別信息、銀行賬號作為核心數據，手機號碼、居住地址、學生成績、宗教信仰、特定身份、醫療健康等作為重要數據。由于需要對不同范圍和系統的數據提供不同程度的保護，可以從如下兩個方面來進行數據分類分級：

1.根據網絡邊界分類保護

在高校信息化建設過程中，各業務系統的核心數據經過梳理，會逐漸集中于信息化職能部門的數據中心平臺，而隨著機房的升級和云平臺的部署，一般會形成集中的服務器區，各單位和業務部門則在校園網管理信息系統。因此根據網絡邊界可以劃分為3 個區域，分別對應核心數據、重要數據和一般數據。對于數據中心的核心數據，通過部署數據庫防火墻、靜態脫敏或水印等技術手段來嚴格保護；對于服務器區可識別的重要數據，利用數據泄露防護DLP（Data Leakage Prevention）系統檢測出對應的IP 地址和域名，然后根據信息資產管理數據確定對應的系統，反向代理部署數據脫敏系統DMS（Data Masking System）進行重點保護，如圖2 所示。

圖2 網絡邊界分類保護示意

2.根據系統等保定級分級保護

根據教育部印發的《教育行業信息系統安全等級保護定級工作指南（試行）》（教技廳函[2014]74 號）文件的指導建議，高校信息系統分為校務管理、教學科研、招生就業、綜合服務，4 大類23 種具體業務類型。其中建議安全保護等級定為三級的有6 種業務類型，其余為二級。6 種具體業務類型主要涵蓋科研、招生、門戶、一卡通等方面。結合高校實際情況，可以將校園一卡通、科研管理系統、財務管理系統的數據嚴格保護，通過部署或限制在校園內網。在系統運維使用階段，開發人員、運維人員一律使用堡壘機操作，便于審計回溯，一卡通和財務相關的終端和服務器，應該與互聯網嚴格物理隔離，嚴禁使用多網卡跨網絡連接，并按照等級保護要求部署數據庫審計、數據庫防火墻等安全防護產品，同時對其他等級保護系統中的敏感數據重點保護。

數據安全防護策略

在完成信息資產清查和數據資產分類分級之后，還需要確定防護邊界和數據防護范圍。高校不同于企業，在校園網部署防數據泄露客戶端并不現實，因此防護邊界確定在服務器區比較符合高校實際情況，而由于數據脫敏技術的限制，決定了只能對特征值可檢測的身份證號、銀行賬號、手機號等進行脫敏防護。確定了防護邊界和數據防護范圍，可以實施的數據安全防護策略如下：

1.數據中心部署數據庫防火墻

數據中心一般承載著各業務系統的數據匯集、同步和交換等功能，數據庫防火墻基于數據庫協議分析與控制技術，能夠實現對數據中心的訪問行為控制、危險操作阻斷、可疑行為審計等主動防御。數據庫防火墻能夠分析數據中心流量數據，獲取權限控制所需的關鍵信息，對相應數據庫請求行為進行放行或阻斷；同時通過識別SQL 注入特征，阻斷SQL 注入行為、高危SQL 操作,限定數據查詢和下載數量,限定敏感數據訪問的用戶、地點和時間。數據庫防火墻包含了數據審計功能，能夠完整記錄中心數據庫活動，對數據中心遭受的風險行為提示告警；同時記錄內外部數據交換行為，對安全事故進行追根溯源，提升數據中心核心數據的安全性。

2.利用數據泄露防護（DLP）系統掌握敏感數據位置

隨著云平臺和虛擬化的發展，武漢大學大多數學院和單位的業務系統都集中到了信息中心服務器區，對服務器區中的重要數據，可以利用數據泄露防護（DLP）系統采集可檢測敏感數據的位置。目前我國的DLP 系統，一般以串聯方式部署在可信網絡出口處，對從內部可信網絡到外部不可信網絡的數據流量進行分析，根據設定的敏感信息策略，對違反規則的數據進行攔截和報警。但是按照高校的實際情況，如果串聯部署在服務器區出口，勢必會影響網絡性能，因此我們將其旁路部署在服務器區，通過采集服務器區流量監測敏感數據流動狀況，掌握存儲敏感數據的信息系統分布。數據泄露防護系統一般用途是對用戶網頁提交、IM 工具、文件共享、郵件等途徑進行數據傳輸或者操作的行為進行監測，針對高校的環境可以將其反向應用，利用其數據內容識別功能，把服務器區的敏感系統當做用戶，對下載的文檔類文件（TXT、Word、Excel、PDF 文檔）、壓縮文件（RAR、ZIP 等）、圖像類文件（JPG、BMP 等），以及HTTP、HTTPS（需要證書支持）流量、API 接口調用的數據內容進行分析識別。

下面以武漢大學部署的數據泄露防護系統為例，制定策略采集外傳敏感信息系統的步驟如下，首先將銀行賬號、身份證號、手機號這3 類方便識別的敏感數據設置為監測對象，然后根據泄露條目數量分為低、中、高3 類告警事件，9 種數據對象，參見表1。

表1 數據對象分類

其次，根據上述分類數據對象制定相應的安全策略，如審計或郵件報警。考慮到高校實際的工作狀況，設置校園網辦公區的IP 地址為白名單、排除相應的告警，重點監控非工作時間的校外敏感數據傳輸，這樣當有敏感數據外泄時可以實時收到郵件告警。在DLP 監測過程中，對外地或境外IP 訪問敏感數據的安全事件，要第一時間通報相關部門并要求整改。經過一段時間的運行，DLP 就采集了服務器區包含敏感數據的系統IP，將其與信息資產備案系統的數據關聯，就可以得到相應系統的詳細信息，從而確定了防護目標。

3.部署數據脫敏系統（DMS）進行精確動態脫敏

數據脫敏系統DMS（Data Masking System）能夠對數據源中的敏感數據進行自動發現，通過系統內置的變形、轉換等規則降低數據的敏感程度，減少敏感數據在采集、傳輸、使用等環節的暴露，做到敏感數據“可用不可見、所需方可見”。數據脫敏分為靜態脫敏和動態脫敏，靜態脫敏是指通過算法將原始數據源中的敏感數據處理成非敏感數據，并存儲至其他位置，供數據訪問者直接訪問和使用，主要應用在開發測試、數據共享、數據分析等非生產環境。動態脫敏是指在不改變原始數據的情況下，在用戶訪問敏感數據時，實時對每次訪問的數據進行脫敏，主要應用在運維、應用等生產環境。

由于需要保障生產環境中的業務系統正常運行，因此我們重點關注對敏感數據外傳進行精確的動態脫敏。動態脫敏分為數據庫動態脫敏（修改SQL 語句）和網頁動態脫敏，數據庫動態脫敏支持對SQL 關鍵字或SQL 語句進行操作前的審核，針對不同的數據庫用戶、IP 地址、客戶端進行差異化脫敏，對于高校數據中心的數據庫，可以按敏感類型和指定字段進行脫敏。而通過數據泄露防護（DLP）系統獲取服務器IP、URI 后，可以用反向代理的方式部署網頁動態脫敏系統，網頁動態脫敏支持按用戶、菜單、URI、API 接口制定策略，無需安裝客戶端而且不影響數據庫，在監測到敏感數據后進行實時的動態脫敏，從而解決高校用戶和管理員隨意下載敏感數據，運維和外包人員惡意盜取敏感數據的安全隱患。

根據武漢大學部署的數據泄露防護系統統計，發現包括學工、教務、后勤、設備、科研、人事、校醫院、支付、就業等二十多個系統都存在敏感數據外傳情況，校內許多部門系統管理員和用戶缺乏數據安全意識。雖然高校信息化管理部門可以利用技術和管理手段，從防護、檢測、響應三個方面來制定數據防護策略，對數據資產進行分類分級防護，對敏感數據的生命周期做到“可視”“可管” “可追溯”，但是“信息安全是整體的而不是割裂的”，維護數據安全也是全校共同的責任，提高師生的數據安全意識、宣傳數據安全知識同樣重要，高校數據安全保障工作最終需要各單位、教職工、學生共同參與，共筑數據安全防線。