近日,由中国教育技术协会、华中师范大学举办的“AI赋能融合创新——数智时代高校一卡通融合创新研讨会”上,杭州美创科技股份有限公司(简称“美创科技”)资深技术专家陈琼面向来自全国170余所高校的信息化办公室负责人及核心业务老师、教育技术领域专家介绍美创科技全新高校数据安全方案《铸盾计划:建设体系化的高校供应链安全护盾》,通过规范人的行为、落实高校供应链安全。
高校供应链-安全数据安全风险洞察
通过对高校多次发生的数据安全泄露事件分析,得出高校数据安全风险往往与供应链角色密切相关。究其根源,主要是三大核心问题:
· 数据安全制度流程规范缺失· 供应链人员安全意识缺失· 技术缺失入侵提权泛滥
针对频发的高校数据安全泄露事件,教育部、省教育厅及相关监管单位出台多部文件:2025年04月16日教育部等九部门《关于加快推进教育数字化的意见》中提出建立教育领域身份和数据可信体系;浙江省网信办、浙江省教育厅已连续三年组织省教育行业网络与数据安全专项活动,建立百余项数据安全评估标准,明确要求加强对供应链身份认证、数据访问、采集、传输、处理等全过程的安全监管。
由此可见,数据泄露事件最主要是的因素是人的安全,人的复杂性导致了安全的复杂性,也给高校的数据安全带来了很多的新的安全问题。
高校供应链安全-“3+4+5”治理方案
方案聚焦高校供应链安全体系的搭建:以制度为指引,明确供应链人员责任义务,完善数据安全责任体系、规范数据安全流程;以技术为核心,规范供应链人员行为合理可控,支撑治理;以策略为辅助,聚焦场景制定可落地安全策略,落实治理效果;开展针对性、持续化的运营,深化治理。
美创高校供应链安全防护体系,在制度、技术、运营三大体系基础上,围绕身份、资产、行为、闭环四个治理,通过新技术、新场景、新机制,实现“进不来,拿不走,看不懂,改不了,赖不掉”五个不的高校供应链安全防护目标。
新技术
AI赋能,提质增效
基于AI实现精准数据分类分级降本增效数据分类分级智能体基于先进大模型推理技术,将分类分级识别率由70%提升至99.8%,准确率由50%提升至85%。在分类分级作业实施后,利用双AI模型校验技术,对数据一致性进行准确性校验,提升分级作业的人工效率,降低分级作业的技术实施难度,达到显著的降本增效。
基于AI实现海量告警研判
进一步提质增效
美创数据安全一体化平台全面接收安全端点能力的检测结果,汇总各类告警数据。创新研发告警研判智能体,将原有的“静态、被动”模式转变为“动态、主动、前置”的风险监测策略,实现规则与业务灵活适配,推动风险监测向智能化、精准化、实时化升级,有效降低数据安全运营成本。同时,借助AI降噪算法和模型,将误报和漏报率降低50%。
新场景
数据安全能力场景化落地,打造数安之盾
经过分类分级处理后数据主要应用于高校供应链的各个场景:无论是教务系统的业务系统,还是数据中心的数据平台,从数据采集到数据存储、治理和传输的过程中,都离不开供应链方的参与和数据处理。在此过程中,供应链人员具有较大的数据访问权限,如何规范供应链人员的数据访问合规和安全是我们需要解决的,分三个场景进行阐述:
场景一供应链人员通过“非业务”途径访问业务数据(开发)
供应链人员在开发端访问业务数据过程中,常出现通过连接工具直接对明文数据以及全量数据进行访问的情况。
风险点· 敏感数据下载:通过超级管理员账户进行全量数据查询,通过工具将数据一键导出至本地,将导致数据泄露。· 敏感数据导出:通过库表交换、数据库Dump等行为将原始数据明文同步到目标端,导致数据泄露风险。
管控措施数据查询限制:建立数据动态脱敏机制,对不同人员敏感数据查询进行权限区分。数据导出管控:合规导出需通过工单流程进行,非合规导出则采用数据脱敏或加水印的方式处理,导出后可实现数据溯源和安全风险保障。
场景二供应链人员运维安全风险(运维)
高校业务系统和中台的数据库,有专门的运维厂商,常出现多个厂商共用一个数据库账号,或在业务系统开发过程中只使用一个数据库账号的情况,数据泄露后难以追溯源头;此外,运维人员常通过 root 账号执行高风险操作,如教务业务变更、表结构调整等,如出现未经审批的操作,后果严重。
管控措施账户安全治理:通过在数据访问连接通道(如堡垒机等)到生产数据库之间,搭建数据库权限账号管控系统,通过该系统账户托管能力,实现数据库账号1比N的映射,同时系统提供对映射账户权限、访问对象、生命周期、账户销毁进行管理。高危行为管控:在事中对高危权限进行管控,实行授权加审批机制。对于表结构变更、删库、删表等高危操作,通过内置风险告警机制实现安全管控,并通过工单审批实现权限访问的收敛,保障数据库供应链人员的账号和行为管控。
场景三供应链人员使用未授权工具或假冒应用违规访问
风险点· 未授权工具易导致数据被加密勒索:常见使用包含恶意代码的连接工具访问数据库,导致数据库被加密勒索。· 假冒应用导致数据窃取:利用工具假冒应用,绕过安全机制,从应用通道窃取业务数据。
管控措施恶意代码监测:对连接工具过来的SQL进行解析,通过敏感SQL库监测恶意代码,防止数据被勒索。应用防假冒:建立应用指纹,对连接数据库的所有工具进行检测比对,防止工具伪装。
新机制
创造性提出“逐表防护”理念,落实全域数据防护
方案创新提出“逐表防护”机制,是指数据经过分类分级梳理后,以字段为单位进行分析。若一张表中包含较多敏感级别字段,我们将其认定为重点敏感表。对于敏感表的源表和副本表,会进行重点表的标签化标记。
通过重点表筛选、副本表探查、路径流转测绘、使用权限最小化、逐步实现安全基线动态化、安全预警可观测、安全风险可闭环的数据安全运营目标。帮助高校用户形成数据流转一张屏、安全态势一张屏和数据家底一本账。
美创科技在高校案例中,有非常多的成功实践,部分典型高校数据安全案例分享:
➧浙江中医药大学数据安全体系化升级实践➧西南大学某核心业务系统数据安全建设实践➧“双一流”高校的数据安全治理实践之路➧高校数据安全六个问题,三个关键
美创高校供应链安全(3+4+5)治理方案,助力建设体系化的高校供应链安全护盾,详询 400-811-3777 。
浙公网安备 33010502006954号 
