浙江中醫(yī)藥大學(xué)（簡(jiǎn)稱：浙中醫(yī)大）是浙江省重點(diǎn)建設(shè)高校、高水平大學(xué)建設(shè)高校，是浙江省人民政府、國(guó)家中醫(yī)藥管理局、教育部共建高校。在2023軟科世界大學(xué)學(xué)術(shù)排名1000強(qiáng)中，浙中醫(yī)大躋身779位（中醫(yī)藥院校第二位），3個(gè)學(xué)科進(jìn)入ESI全球排名前1%。

近年來(lái)，浙中醫(yī)大積極推進(jìn)數(shù)字技術(shù)與教育管理、教育教學(xué)科研的深度融合，已搭建完成數(shù)據(jù)中臺(tái)，實(shí)現(xiàn)校域核心業(yè)務(wù)數(shù)據(jù)動(dòng)態(tài)匯聚、治理、授權(quán)開(kāi)放。但隨著各類業(yè)務(wù)數(shù)據(jù)互聯(lián)互通，數(shù)據(jù)安全防護(hù)壓力隨之增加。

同時(shí)，教育行業(yè)合規(guī)要求也在持續(xù)加碼，尤其自《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》頒布實(shí)施以來(lái)，國(guó)家與教育部及相關(guān)部門(mén)下發(fā)多項(xiàng)推進(jìn)教育領(lǐng)域數(shù)據(jù)安全工作的政策文件，如《教育部機(jī)關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》、《關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》、《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識(shí)別認(rèn)定工作指南(試行)》等，對(duì)數(shù)據(jù)安全治理與建設(shè)提出更明確的合規(guī)性要求。

為此，在統(tǒng)籌發(fā)展與安全的頂層規(guī)劃下，實(shí)現(xiàn)數(shù)據(jù)利用與安全防護(hù)一體兩翼，平衡發(fā)展的目標(biāo)。浙中醫(yī)大攜手美創(chuàng)，開(kāi)展以數(shù)據(jù)中臺(tái)為基礎(chǔ)的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，并以此為切入點(diǎn)，通過(guò)識(shí)別目前風(fēng)險(xiǎn)現(xiàn)狀，進(jìn)而建立健全數(shù)據(jù)安全防護(hù)體系，具體包括：

基于以上需求，美創(chuàng)結(jié)合自身完備的數(shù)據(jù)安全“咨詢+產(chǎn)品+運(yùn)營(yíng)服務(wù)”，一體謀劃、分三步開(kāi)展，助力浙中醫(yī)大數(shù)據(jù)安全體系化升級(jí)落地：

在組織建設(shè)方面，協(xié)助輸出完成數(shù)據(jù)安全管理辦法，明確數(shù)據(jù)安全管理層、執(zhí)行層和監(jiān)督層，建立安全保障小組或責(zé)任人機(jī)制。

在制度建設(shè)方面，結(jié)合浙中醫(yī)大已具備的信息安全保障體系和制度，新增《浙江中醫(yī)藥大學(xué)數(shù)據(jù)安全管理規(guī)范》、《浙江中醫(yī)藥大學(xué)數(shù)據(jù)合作方管理規(guī)范》和《浙江中醫(yī)藥大學(xué)數(shù)據(jù)安全演練方案》等。

結(jié)合大學(xué)人員情況，建立分類分級(jí)工作組，制定內(nèi)部工作匯報(bào)流程。通過(guò)對(duì)校內(nèi)數(shù)據(jù)資產(chǎn)進(jìn)行盤(pán)點(diǎn)，劃定本次分類分級(jí)工作范圍和工期計(jì)劃。重點(diǎn)參考《教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識(shí)別認(rèn)定工作指南（試行）》、《教育系統(tǒng)數(shù)據(jù)分類分級(jí)指南（草稿）》、內(nèi)部《數(shù)據(jù)目錄白皮書(shū)》等，制定分類分級(jí)標(biāo)準(zhǔn)，最終形成分類分級(jí)大綱。

實(shí)施過(guò)程，由美創(chuàng)數(shù)據(jù)安全分類分級(jí)平臺(tái)支撐，實(shí)現(xiàn)數(shù)據(jù)自動(dòng)發(fā)現(xiàn)識(shí)別，并根據(jù)分類分級(jí)策略智能化處理分類分級(jí)標(biāo)簽，可視化呈現(xiàn)分類分級(jí)結(jié)果。

數(shù)據(jù)分類分級(jí)大綱

數(shù)據(jù)分類分級(jí)報(bào)告

在安全技術(shù)建設(shè)方面，通過(guò)對(duì)數(shù)據(jù)中臺(tái)系統(tǒng)安全基線檢查、漏洞掃描、滲透測(cè)試等方式，發(fā)現(xiàn)數(shù)據(jù)處理環(huán)境中存在的安全漏洞，進(jìn)行漏洞整改；并以人、行為、數(shù)據(jù)為中心，錨定重要場(chǎng)景，如數(shù)據(jù)治理、數(shù)據(jù)訪問(wèn)、數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)開(kāi)發(fā)場(chǎng)景等，落實(shí)數(shù)據(jù)全鏈路的數(shù)據(jù)安全技術(shù)防護(hù)體系，包括：

通過(guò)部署數(shù)據(jù)庫(kù)防水壩進(jìn)行權(quán)限細(xì)化和訪問(wèn)處理數(shù)據(jù)規(guī)則細(xì)化。

數(shù)據(jù)水印溯源

通過(guò)部署API安全監(jiān)測(cè)與訪問(wèn)控制系統(tǒng)，從資產(chǎn)脆弱性、資產(chǎn)暴露面、賬戶共用、異常訪問(wèn)等維度，智能監(jiān)測(cè)數(shù)據(jù)中臺(tái)API接口調(diào)用過(guò)程存在的各類風(fēng)險(xiǎn)，并進(jìn)行告警阻斷、快速處置；通過(guò)數(shù)據(jù)庫(kù)防水壩-高危行為管控進(jìn)行未授權(quán)用戶的操作告警阻斷。

API安全監(jiān)測(cè)與訪問(wèn)控制系統(tǒng)