教育行业数据安全解决方案 | 全知科技（杭州）有限责任公司

教育行业数据安全解决方案

市场背景

行业层面

随着互联网时代的飞速发展，数字化改革和产业升级的进程也日渐加速，数据更是成为近年来新型生产要素。自党的十九大以后，教育信息化进也入了新的发展阶段，进入数字时代，作为国家重要的战略安全之一，我国高度重视教育数据使用及共享安全。在这个过程中，网络安全工作贯穿整个教育信息化建设的始终，是需要持之以恒、常抓不懈的关键性支撑工作。

2021年3月，教育部下发《教育部关于加强新时代教育管理信息化工作的通知》，要求各学校开展数据分类分级工作，同时针对未成年人的敏感信息要做到重点保护。同年4月，教育部等七部门印发《关于加强教育系统数据安全工作的通知》，重点提出建立数据分类分级制度、健全数据全生命周期保障体系、开展数据安全监测预警通报等五大工作目标。

客户痛点

数据难以治理痛点

数据量居大：截止2019年，政务数据资源数量超过10000条，教师数据超过4000万条，累计学生数据超过5亿条；哪些数据应该重点防护尚不可知。

API潜在风险大：当前教育系统网站超过20万个，edu. cn的系统网站11万个，涉及超过百万人数据的系统超过500个；哪些应用可能存在API安全风险尚不可知。

外包人员难管理：高校内部有数据中心，其中业务系统的开发维护基本上都是依靠厂商或者外包人员，难以保证这些人员不会外发师生个人敏感信息。

安全事件频发：面临的安全事件主要涉及数据泄漏、数据篡改、网站瘫痪、页面篡改等。

方案特色

摸清资产家底

有效的数据安全建立在准确的目标定位上，教育行业要落实好数据安全保护，需要优先对教育系统中的数据进行分类分级，区分出不同敏感程度的数据，对数据实行分类分级保护。结合《数安法》要求，全知科技数据分类分级解决方案，能够全面盘点数据资产并开展敏感度评估和分级管理，构建清晰的数据资产目录，为后续企业建立覆盖数据全生命周期的安全管理和技术防护体系提供依据。

特点

数据分级框架图.jpg

外部风险可见

教育行业有着教务管理系统、教育考试系统、学生公寓管理系统等各类信息系统，存在大量的API接口，这是外部网络攻击的主要切入点，只有对其进行针对性的持续监测与有效防护，才能有效控制API数据安全风险。全知科技API风险监测方案，能够全面梳理教育系统中的API资产，建立全量的API清单；同时，系统能够发现API数据安全缺陷，消除数据泄露隐患；通过持续监测网络攻击和API滥用行为，及时响应避免引发安全事件。

特点

方案图.jpg

内部行为审计

教育系统存在人员流动性大、保护意识薄弱、职权交叉难管理等实际问题，容易出现有意无意的数据泄露行为；一旦出现泄漏事件，也很难对此进行本体溯源和追责。全知科技应用数据风险监测方案，能够自动梳理数据流动关系，定位敏感数据资产，关联产出账号-人员-组织架构的数据关系；同时，对正式员工、外包人员等制定行为规范，实时监测数据滥用、篡改、泄漏等异常行为。当发生数据泄露行为时，系统能够提供数据泄漏人员定位以及泄漏面的影响评估。

特点

微信图片_20220624142555.jpg

方案价值

让教育行业数据安全建设有章可循: 紧密围绕《数据安全法》的监管合规落地要求，全面动态掌控教育行业在数据安全方面的差距，并以此为基础完成教育行业高校数据安全治理组织、制度、体系的规划和设计，让数据安全建设有章可循。

让教育行业数据安全落地成本可控: 遵循国家和行业监管规范，以可控成本落地建设一套数据分级保护体系，缩减高等级数据的暴露面、最小化高等级数据的授权、严格控制和保护高等级数据的流出。

让教育行业数据安全策略持续有效

动态适应保障数据安全策略的有效性和时效性：

>动态数据梳理和分级，让教育行业时刻都拥有一份完整的数据安全资产清单。

>持续的数据安全监测体系，让教育行业时刻掌控着当前数据安全风险态势，第一时间响应和解决数据安全高危风险，持续为数据流动保驾护航。