王曉震 金培莉 陳瑛 宮旭 李海龍

[摘 要] ?對(duì)全國(guó)高校信息化發(fā)展?fàn)顩r調(diào)研，以網(wǎng)絡(luò)安全保障、信息系統(tǒng)與數(shù)據(jù)治理的調(diào)研數(shù)據(jù)為基礎(chǔ)，分析高校數(shù)據(jù)中心數(shù)據(jù)安全管理現(xiàn)狀。從數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全管理制度、數(shù)據(jù)安全防護(hù)技術(shù)、數(shù)據(jù)活動(dòng)主體等方面分析數(shù)據(jù)安全風(fēng)險(xiǎn)。對(duì)照安全風(fēng)險(xiǎn)隱患，逐一闡述安全風(fēng)險(xiǎn)應(yīng)對(duì)策略，提出防護(hù)建議，輔助高校建立有效的數(shù)據(jù)安全防護(hù)體系，營(yíng)造健康的數(shù)據(jù)安全環(huán)境。

[關(guān)鍵詞] 數(shù)據(jù)安全;高校數(shù)據(jù)中心;數(shù)據(jù)安全風(fēng)險(xiǎn)分析;數(shù)據(jù)安全管理

[中圖分類(lèi)號(hào)] TP 393.08 ?[文獻(xiàn)標(biāo)志碼] A ?[文章編號(hào)] 1005-0310（2021）03-0053-07

Abstract： ?Based on the survey data of network security and information system and data governance， this paper analyzes the current situation of data security management in university data centers. And from the data classification， data security management system， data security protection technology and data activity subject， this paper focuses on the data security risk analysis. Finally， according to the hidden danger of safety risk， this paper expounds the countermeasures of safety risk one by one， and puts forward protection suggestions， so as to assist colleges and universities to establish an effective data security protection system and create a healthy data security environment.

Keywords： Data security;University data center;Data security risk analysis;Data security management

0 引言

隨著教育信息化的推進(jìn)，高校數(shù)據(jù)中心建設(shè)已經(jīng)成為學(xué)校信息化建設(shè)的重點(diǎn)，它集成了教學(xué)、科研、管理等方面的系統(tǒng)數(shù)據(jù)，承擔(dān)數(shù)據(jù)匯集、數(shù)據(jù)管理、數(shù)據(jù)服務(wù)等任務(wù)，是對(duì)校園信息系統(tǒng)中的數(shù)據(jù)進(jìn)行集中存儲(chǔ)、共享和交換的核心樞紐。高校通過(guò)數(shù)據(jù)中心建設(shè)，較好地解決了以往數(shù)字校園建設(shè)中的“信息孤島”問(wèn)題，通過(guò)全面數(shù)據(jù)開(kāi)發(fā)與利用，向高校師生提供了更多的數(shù)據(jù)服務(wù)，充分發(fā)揮了數(shù)據(jù)價(jià)值。

當(dāng)前，高校數(shù)據(jù)中心的數(shù)據(jù)不斷積累，數(shù)據(jù)處理的角色更多元，系統(tǒng)、業(yè)務(wù)邊界更模糊，業(yè)務(wù)趨于協(xié)同。高校數(shù)據(jù)中心在帶來(lái)優(yōu)勢(shì)的同時(shí)也面臨新的風(fēng)險(xiǎn)，比如，數(shù)據(jù)權(quán)屬主體不斷變化，由數(shù)據(jù)生產(chǎn)單位共享到數(shù)據(jù)管理單位，再傳輸?shù)綌?shù)據(jù)使用單位;數(shù)據(jù)管理責(zé)任變得不清晰，數(shù)據(jù)的處理活動(dòng)難以追溯和控制，普遍意義的信息安全防護(hù)工作很難專(zhuān)門(mén)應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)。這就需要高校提高風(fēng)險(xiǎn)管控能力，促進(jìn)高校數(shù)據(jù)中心業(yè)務(wù)的可持續(xù)發(fā)展。

1 高校數(shù)據(jù)中心的數(shù)據(jù)安全現(xiàn)狀

國(guó)外對(duì)數(shù)據(jù)安全及相關(guān)內(nèi)容的關(guān)注較早。出于對(duì)公民合法權(quán)益的保護(hù)、企業(yè)的監(jiān)管以及國(guó)家安全的考慮，國(guó)外不少?lài)?guó)家對(duì)數(shù)據(jù)安全進(jìn)行立法保護(hù)。例如，德國(guó)的黑森州在1970 年頒布世界上第一部《數(shù)據(jù)保護(hù)法》，瑞典在1973年從保護(hù)個(gè)人數(shù)據(jù)的角度頒布《瑞典數(shù)據(jù)保護(hù)法》，歐盟分別于1995 年、2016 年頒布《數(shù)據(jù)保護(hù)指令》和《通用數(shù)據(jù)保護(hù)條例》，俄羅斯于2006 年頒布《個(gè)人數(shù)據(jù)保護(hù)法》等[1]。

在我國(guó)，從國(guó)家到各級(jí)教育管理部門(mén)、再到高校各個(gè)層面，數(shù)據(jù)安全問(wèn)題越來(lái)越受到重視。2016年11月6日，我國(guó)頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，明確指出處理個(gè)人數(shù)據(jù)的合法、正當(dāng)和必要這三大原則。2021年6月10日，我國(guó)頒布《中華人民共和國(guó)數(shù)據(jù)安全法》，旨在保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人信息安全，維護(hù)國(guó)家數(shù)據(jù)主權(quán)。教育部和省市相關(guān)管理部門(mén)分別出臺(tái)了《教育部關(guān)于加強(qiáng)新時(shí)代教育管理信息化工作的通知》（教科信函〔2021〕13號(hào)）、《教育部等七部門(mén)關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》（教科信函〔2021〕20號(hào)）、《北京市政府投資信息化項(xiàng)目評(píng)審管理辦法》（京大數(shù)據(jù)辦發(fā)〔2021〕2號(hào)）、《北京市公共數(shù)據(jù)管理辦法》《天津市數(shù)據(jù)安全管理辦法（暫行）》等文件，明確要求提升數(shù)據(jù)安全防護(hù)和管理水平。① 本文數(shù)據(jù)由教育部科技發(fā)展中心與中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)共同成立的高校信息化發(fā)展監(jiān)測(cè)研究工作組授權(quán)使用。

2020年，由教育部科技發(fā)展中心與中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)共同成立的高校信息化發(fā)展監(jiān)測(cè)研究工作組對(duì)全國(guó)高校信息化發(fā)展?fàn)顩r組織開(kāi)展調(diào)研，共有1 183個(gè)單位填報(bào)了數(shù)據(jù)，包括一流大學(xué)建設(shè)高校38所、一流學(xué)科建設(shè)高校78所、其他普通高校545所、高職（專(zhuān)科）院校510所、其他教育機(jī)構(gòu)及單位12個(gè)。調(diào)研的內(nèi)容涉及信息化建設(shè)體制機(jī)制、基礎(chǔ)設(shè)施、信息系統(tǒng)與數(shù)據(jù)治理、信息化支撐教學(xué)、信息化支撐科研、網(wǎng)絡(luò)安全保障、新技術(shù)應(yīng)用等7個(gè)方面。本文提取了信息系統(tǒng)與數(shù)據(jù)治理及網(wǎng)絡(luò)安全保障兩部分的調(diào)研數(shù)據(jù)①進(jìn)行研究，分析高校數(shù)據(jù)中心數(shù)據(jù)安全管理現(xiàn)狀。

1.1 針對(duì)網(wǎng)絡(luò)安全和數(shù)據(jù)安全制度建設(shè)方面的現(xiàn)狀分析

針對(duì)網(wǎng)絡(luò)安全管理措施的調(diào)研結(jié)果顯示，有95%的高校已經(jīng)制定了網(wǎng)絡(luò)安全管理辦法，44%的高校制定了個(gè)人信息安全保護(hù)辦法（如圖1所示）。

針對(duì)管理信息系統(tǒng)的調(diào)研結(jié)果顯示，管理信息系統(tǒng)作為數(shù)字化校園建設(shè)的主要發(fā)力點(diǎn)，已在高校校務(wù)管理的核心領(lǐng)域?qū)崿F(xiàn)了全面覆蓋，為教學(xué)、科研、學(xué)生事務(wù)、人事、辦公自動(dòng)化、財(cái)務(wù)和設(shè)備資產(chǎn)等關(guān)鍵業(yè)務(wù)提供有力支撐，并成為高校數(shù)據(jù)中心數(shù)據(jù)的主要來(lái)源（如圖2所示）。

針對(duì)網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃的年度執(zhí)行情況的調(diào)研結(jié)果顯示，超過(guò)70%的高校制定了學(xué)校網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃并能基本按規(guī)范執(zhí)行，但也有近30%的高校對(duì)網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃的執(zhí)行度低于75%，更有9%的高校沒(méi)有制定網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃（如圖3所示）。一流大學(xué)建設(shè)高校在發(fā)展規(guī)劃執(zhí)行程度上遠(yuǎn)高于其他三類(lèi)高校，超過(guò)一半的一流大學(xué)建設(shè)高校能夠做到完全按發(fā)展規(guī)劃執(zhí)行，但也有3%的一流大學(xué)建設(shè)高校執(zhí)行程度低于50%，還有3%的一流大學(xué)建設(shè)高校未發(fā)布規(guī)劃或發(fā)布未執(zhí)行。一流學(xué)科建設(shè)高校在制定和執(zhí)行發(fā)展規(guī)劃上略?xún)?yōu)于其他普通高校和高職（專(zhuān)科）院校，但仍有3%的一流學(xué)科建設(shè)高校未制定發(fā)展規(guī)劃。其他普通高校和高職（專(zhuān)科）院校在網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃的執(zhí)行方面情況近似，能夠完全或基本按學(xué)校發(fā)展規(guī)劃執(zhí)行的占比均在70%左右。

1.2 針對(duì)數(shù)據(jù)安全技術(shù)方面的現(xiàn)狀分析

在安全技術(shù)方面，當(dāng)前高校主要采用傳統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)防護(hù)手段，比如安全體系建設(shè)以傳統(tǒng)的分層安全防護(hù)為主，采用物理層、網(wǎng)絡(luò)層、應(yīng)用層安全防護(hù)應(yīng)對(duì)面向數(shù)據(jù)的安全威脅;在數(shù)據(jù)中心軟件及系統(tǒng)的運(yùn)維方面，采用傳統(tǒng)的安全運(yùn)維方式;在系統(tǒng)容災(zāi)方面，防護(hù)手段比較欠缺（如圖4所示）。

在系統(tǒng)容災(zāi)方面，具體來(lái)看，一流大學(xué)建設(shè)高校和一流學(xué)科建設(shè)高校在同城異地災(zāi)備方面使用率最高，表明這兩類(lèi)高校對(duì)災(zāi)備的安全性要求更高，能夠保障在同一樓宇或同一園區(qū)整體遭遇災(zāi)害時(shí)系統(tǒng)的可用性;其他普通高校和高職（專(zhuān)科）院校的災(zāi)備措施主要采取同樓災(zāi)備;有約1/3的高校未采取任何災(zāi)備措施（如圖5所示）。

另外，通過(guò)交流或者訪談的方式，我們發(fā)現(xiàn)高校還存在師生對(duì)敏感數(shù)據(jù)保護(hù)的安全意識(shí)不足、數(shù)據(jù)使用隨意性強(qiáng)的問(wèn)題。有的高校因?yàn)闆](méi)有開(kāi)展全面的數(shù)據(jù)治理，數(shù)據(jù)家底不清，難以做到數(shù)據(jù)采集最小化;有的高校內(nèi)部數(shù)據(jù)流轉(zhuǎn)沒(méi)有授權(quán)審批和跟蹤記錄，數(shù)據(jù)使用不夠規(guī)范;有的高校缺乏針對(duì)數(shù)據(jù)安全防護(hù)的技術(shù)手段;有的高校缺乏數(shù)據(jù)管理的經(jīng)驗(yàn)，難以做好保障數(shù)據(jù)安全和發(fā)揮數(shù)據(jù)效能之間的平衡。

綜上所述，高校數(shù)據(jù)中心數(shù)據(jù)安全現(xiàn)狀可以概括為：高校普遍重視網(wǎng)絡(luò)信息安全，對(duì)于數(shù)據(jù)安全有一定認(rèn)識(shí)，有制度層面的保障和約束，但制度的落實(shí)程度還有待加強(qiáng);數(shù)據(jù)中心的數(shù)據(jù)安全技術(shù)防護(hù)措施還不夠全面;師生的數(shù)據(jù)安全意識(shí)有待加強(qiáng)。

2 高校數(shù)據(jù)中心數(shù)據(jù)安全風(fēng)險(xiǎn)分析

2.1 缺少數(shù)據(jù)資源分類(lèi)分級(jí)標(biāo)準(zhǔn)

數(shù)據(jù)的分類(lèi)分級(jí)是數(shù)據(jù)安全管理的基礎(chǔ)工作。在《中華人民共和國(guó)數(shù)據(jù)安全法》出臺(tái)之前，我國(guó)已經(jīng)有一些法律文件對(duì)數(shù)據(jù)的分類(lèi)分級(jí)進(jìn)行了初步規(guī)定，這其中最為重要的是工信部在2020年初頒布的《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》[2]。地方政府和其他行業(yè)管理部門(mén)也出臺(tái)過(guò)相應(yīng)法規(guī)，如貴州省《政府?dāng)?shù)據(jù) 數(shù)據(jù)分類(lèi)分級(jí)指南》、金融行業(yè)的《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》和《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》等。教育部在2018 年出臺(tái)的《教育部機(jī)關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》中，已對(duì)一些數(shù)據(jù)安全標(biāo)準(zhǔn)進(jìn)行了相關(guān)規(guī)定，高校希望在此基礎(chǔ)上，相關(guān)部門(mén)能夠盡快建立教育數(shù)據(jù)安全分類(lèi)分級(jí)指導(dǎo)標(biāo)準(zhǔn)[3]。目前，高校數(shù)據(jù)資源管理存在敏感數(shù)據(jù)保護(hù)不足、數(shù)據(jù)使用部門(mén)超范圍傳播的情況，還存在過(guò)度保護(hù)、沒(méi)有發(fā)揮數(shù)據(jù)價(jià)值的情況。

2.2 數(shù)據(jù)安全管理制度不夠完善

從調(diào)研數(shù)據(jù)來(lái)看，高校在網(wǎng)絡(luò)安全管理方面已經(jīng)有了明顯的進(jìn)步，從中央到地方都加強(qiáng)了對(duì)網(wǎng)絡(luò)安全的統(tǒng)籌管理，相關(guān)文件陸續(xù)出臺(tái)，有明確的政策方向引導(dǎo)和監(jiān)管要求，形成數(shù)據(jù)安全管理的良好契機(jī)。部分高校將數(shù)據(jù)安全管理作為網(wǎng)絡(luò)安全管理的一部分，從宏觀層面對(duì)數(shù)據(jù)安全提出了原則性的要求，但有些制度可操作性不強(qiáng);有些制度的內(nèi)容比較片面，對(duì)于數(shù)據(jù)的安全保護(hù)和共享開(kāi)放工作指導(dǎo)有限;也有相當(dāng)數(shù)量的高校沒(méi)有明確數(shù)據(jù)管理部門(mén)，亦沒(méi)有數(shù)據(jù)管理辦法。

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988—2019）將數(shù)據(jù)生存周期分為以下6個(gè)階段：數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷(xiāo)毀[4]。數(shù)據(jù)安全管理制度應(yīng)該是一系列管理規(guī)章或操作規(guī)范的集合，除了總體上規(guī)定數(shù)據(jù)安全管理部門(mén)、責(zé)任主體和各方責(zé)權(quán)外，還應(yīng)從數(shù)據(jù)生存周期的各個(gè)階段進(jìn)行安全規(guī)定。

2.3 數(shù)據(jù)安全層面技術(shù)防護(hù)不足

從技術(shù)防護(hù)方面看，數(shù)據(jù)安全風(fēng)險(xiǎn)來(lái)自物理安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用軟件安全及數(shù)據(jù)存儲(chǔ)安全等諸多方面[4]。傳統(tǒng)的物理安全、操作系統(tǒng)安全和網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠基本滿足當(dāng)前高校數(shù)據(jù)中心的技術(shù)防護(hù)要求，但調(diào)查顯示，有超過(guò)30%的高校還沒(méi)有配備基礎(chǔ)的災(zāi)備系統(tǒng)。在應(yīng)用軟件方面，由于軟件設(shè)計(jì)的缺陷，可能存在系統(tǒng)漏洞、邏輯錯(cuò)誤等問(wèn)題，易被某些組織或個(gè)人惡意利用并對(duì)系統(tǒng)進(jìn)行攻擊、盜取或篡改數(shù)據(jù);在數(shù)據(jù)層面，對(duì)于數(shù)據(jù)脫敏、數(shù)據(jù)庫(kù)審計(jì)、敏感數(shù)據(jù)加密等技術(shù)的應(yīng)用還不是很普遍。因此，技術(shù)防護(hù)不足成為數(shù)據(jù)安全的又一風(fēng)險(xiǎn)點(diǎn)。

2.4 數(shù)據(jù)活動(dòng)參與主體存在安全短板

數(shù)據(jù)活動(dòng)過(guò)程參與主體可分為數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)管理方和數(shù)據(jù)監(jiān)管方[5]。高校參與數(shù)據(jù)活動(dòng)的主體覆蓋部門(mén)多、人群廣，對(duì)于數(shù)據(jù)安全的防護(hù)能力不一致，對(duì)于數(shù)據(jù)安全的認(rèn)識(shí)程度也不一致，成為數(shù)據(jù)安全的隱患。

數(shù)據(jù)提供方主要是校內(nèi)各業(yè)務(wù)部門(mén)（如教務(wù)處、學(xué)生處、財(cái)務(wù)處等），各業(yè)務(wù)部門(mén)將各自信息系統(tǒng)產(chǎn)生的數(shù)據(jù)，通過(guò)統(tǒng)一數(shù)據(jù)接口提供給數(shù)據(jù)中心。業(yè)務(wù)系統(tǒng)安全防護(hù)水平參差不齊，有的部門(mén)有專(zhuān)門(mén)的系統(tǒng)管理人員，有的部門(mén)只有兼職或代管的管理人員，存在安全短板，使數(shù)據(jù)共享平臺(tái)整體的安全防護(hù)水平降低。

數(shù)據(jù)管理方主要是學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組、校信息化辦公室或信息網(wǎng)絡(luò)中心等高校信息化建設(shè)和管理部門(mén)，通過(guò)數(shù)據(jù)共享平臺(tái)實(shí)現(xiàn)全校數(shù)據(jù)共享、交換和數(shù)據(jù)資源的應(yīng)用。由于數(shù)據(jù)的集中存儲(chǔ)和管理，大量的結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)匯集到數(shù)據(jù)共享平臺(tái)，如果對(duì)數(shù)據(jù)流轉(zhuǎn)過(guò)程不能有效監(jiān)控和記錄，那么在發(fā)生數(shù)據(jù)安全事故時(shí)，就難以追溯到相關(guān)參與者，也無(wú)法定位安全責(zé)任。

數(shù)據(jù)使用方主要是高校的管理者、業(yè)務(wù)部門(mén)和師生。針對(duì)數(shù)據(jù)的獲取和使用，某些具有合法身份和權(quán)限的用戶(hù)可能存在違規(guī)操作的風(fēng)險(xiǎn)。一般高校的業(yè)務(wù)系統(tǒng)都由外包公司協(xié)助進(jìn)行系統(tǒng)建設(shè)，而如果對(duì)各種敏感和重要數(shù)據(jù)管理不規(guī)范，將大大增加發(fā)生安全事件的概率，成為數(shù)據(jù)安全的最大隱患[6]。另外，高校師生眾多，安全意識(shí)比較薄弱，默認(rèn)密碼、弱密碼現(xiàn)象屢見(jiàn)不鮮，缺乏定期進(jìn)行數(shù)據(jù)備份、修復(fù)系統(tǒng)安全補(bǔ)丁等維護(hù)習(xí)慣。

數(shù)據(jù)監(jiān)管方主要是學(xué)校的網(wǎng)絡(luò)安全管理部門(mén)。調(diào)查顯示，全國(guó)超過(guò)71%的高校已經(jīng)配備專(zhuān)職網(wǎng)絡(luò)安全管理的工作人員，而通過(guò)訪談了解到，這些網(wǎng)絡(luò)安全人員主要來(lái)自網(wǎng)絡(luò)或信息系統(tǒng)管理崗位，很少有專(zhuān)門(mén)的數(shù)據(jù)安全人員，也缺乏審計(jì)手段。因此對(duì)于數(shù)據(jù)安全的監(jiān)管，缺少統(tǒng)一的審計(jì)和監(jiān)督，在過(guò)程記錄、人員監(jiān)督、工具監(jiān)控、技術(shù)審計(jì)等方面存在監(jiān)督難的問(wèn)題。

3 高校數(shù)據(jù)中心數(shù)據(jù)安全風(fēng)險(xiǎn)應(yīng)對(duì)策略

3.1 建立教育數(shù)據(jù)資源分類(lèi)分級(jí)管理規(guī)范

數(shù)據(jù)分類(lèi)分級(jí)工作是數(shù)據(jù)安全防護(hù)體系的重要基礎(chǔ)。在分類(lèi)分級(jí)的基礎(chǔ)上，制定數(shù)據(jù)防護(hù)要求，設(shè)置不同的數(shù)據(jù)共享權(quán)限，對(duì)重要數(shù)據(jù)和敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)、傳輸和脫敏處理，對(duì)數(shù)據(jù)流轉(zhuǎn)操作進(jìn)行追蹤和記錄等，才能形成有效的數(shù)據(jù)安全防護(hù)。

國(guó)際上對(duì)于數(shù)據(jù)分類(lèi)分級(jí)一般統(tǒng)稱(chēng)為Data Classification，并根據(jù)需要對(duì)分類(lèi)的級(jí)別（Classification Levels）和種類(lèi)（Classification Categories）進(jìn)行描述。我國(guó)將數(shù)據(jù)分類(lèi)與分級(jí)進(jìn)行了區(qū)分，分類(lèi)是根據(jù)種類(lèi)的不同按照屬性、特征而進(jìn)行的劃分;分級(jí)則側(cè)重于按照劃定的某種標(biāo)準(zhǔn)，對(duì)同一類(lèi)別的數(shù)據(jù)按照高低、大小進(jìn)行級(jí)別的劃分;一般都是遵循先分類(lèi)再分級(jí)的順序。

根據(jù)《教育部等七部門(mén)關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》（教科信函〔2021〕20號(hào)）要求，教育部將制定數(shù)據(jù)分類(lèi)分級(jí)工作指南，明確數(shù)據(jù)分類(lèi)分級(jí)的方法和建議。高校應(yīng)在此基礎(chǔ)上落實(shí)數(shù)據(jù)分類(lèi)分級(jí)制度，可以先進(jìn)行學(xué)校數(shù)據(jù)資產(chǎn)的梳理，特別是數(shù)據(jù)中心數(shù)據(jù)的資產(chǎn)梳理，摸清數(shù)據(jù)家底，為數(shù)據(jù)分類(lèi)分級(jí)打好基礎(chǔ)。

3.2 完善和落實(shí)數(shù)據(jù)安全管理制度

在數(shù)據(jù)采集和傳輸階段，應(yīng)遵循數(shù)據(jù)分類(lèi)分級(jí)管理、數(shù)據(jù)質(zhì)量管理等方面的制度和操作規(guī)范。在采集師生和校務(wù)管理數(shù)據(jù)的過(guò)程中，應(yīng)明確采集數(shù)據(jù)的目的和用途，確保滿足數(shù)據(jù)源的真實(shí)性、有效性和最少夠用等原則要求，明確數(shù)據(jù)采集渠道，規(guī)范數(shù)據(jù)存儲(chǔ)格式、數(shù)據(jù)采集流程和采集方式，從而保證數(shù)據(jù)采集的合規(guī)性、正當(dāng)性和一致性[4]。采集數(shù)據(jù)的業(yè)務(wù)部門(mén)需要保障數(shù)據(jù)采集過(guò)程的安全性，確保數(shù)據(jù)源可信，包括來(lái)源主體和數(shù)據(jù)本身可信。

在數(shù)據(jù)存儲(chǔ)和銷(xiāo)毀階段，對(duì)于常規(guī)數(shù)據(jù)要建立數(shù)據(jù)備份管理制度，對(duì)于敏感數(shù)據(jù)則需要再建立數(shù)據(jù)脫敏、數(shù)據(jù)加密及數(shù)據(jù)銷(xiāo)毀等管理制度。

在數(shù)據(jù)交換階段，要制定數(shù)據(jù)共享交換管理制度，建立數(shù)據(jù)資源目錄以及數(shù)據(jù)資源公示機(jī)制;制定數(shù)據(jù)申請(qǐng)使用流程規(guī)范及數(shù)據(jù)流轉(zhuǎn)審批制度，同時(shí)明確數(shù)據(jù)活動(dòng)的主體責(zé)任。

在數(shù)據(jù)使用和處理階段，要建立數(shù)據(jù)安全審計(jì)制度。對(duì)數(shù)據(jù)的訪問(wèn)和活動(dòng)情況應(yīng)進(jìn)行全方位的監(jiān)控和記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問(wèn)的違規(guī)操作行為可追溯，便于事后追查。

3.3 加強(qiáng)數(shù)據(jù)安全技術(shù)防護(hù)

在數(shù)據(jù)采集和傳輸時(shí)，采用防火墻和VPN等設(shè)備進(jìn)行邊界保護(hù)、訪問(wèn)控制和入侵防范;采用數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加標(biāo)簽、數(shù)據(jù)加密等技術(shù)進(jìn)行傳輸保護(hù)，防止數(shù)據(jù)被截獲[6-7]。

在數(shù)據(jù)存儲(chǔ)方面，需要保障數(shù)據(jù)匯集后的存儲(chǔ)安全，如防雷、防火、防水、防潮、防靜電、防盜、溫濕度控制、電力供應(yīng)和電磁防護(hù)等。對(duì)于數(shù)據(jù)訪問(wèn)，則需要采用數(shù)據(jù)加密、訪問(wèn)控制、備份與恢復(fù)等技術(shù)。備份策略可根據(jù)實(shí)際需求每日或每周備份，備份模式可以根據(jù)數(shù)據(jù)量情況進(jìn)行全備份或增量備份，確保在發(fā)生系統(tǒng)數(shù)據(jù)丟失或系統(tǒng)異常等情況時(shí)，能夠恢復(fù)已經(jīng)備份的數(shù)據(jù)，從而盡可能降低數(shù)據(jù)丟失帶來(lái)的損失[8-9]。

在數(shù)據(jù)交換方面，需要確保交換過(guò)程可控，將指定數(shù)據(jù)提供給指定的數(shù)據(jù)使用方，其他人員或系統(tǒng)無(wú)法獲取。數(shù)據(jù)交換時(shí)一般采用數(shù)據(jù)視圖、數(shù)據(jù)前置機(jī)、API數(shù)據(jù)接口等方式，分用戶(hù)授權(quán)，授權(quán)粒度精確到表、數(shù)據(jù)字段或數(shù)據(jù)條目。同時(shí)，對(duì)數(shù)據(jù)交換行為進(jìn)行審計(jì)，防止違規(guī)交換。在數(shù)據(jù)使用時(shí)，應(yīng)對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理;采用數(shù)據(jù)授權(quán)與訪問(wèn)控制措施，保證不同的使用方只獲取其權(quán)限范圍內(nèi)的共享信息，保障數(shù)據(jù)合規(guī)使用 [7，10]。

3.4 加強(qiáng)數(shù)據(jù)活動(dòng)參與主體責(zé)任落實(shí)和宣傳教育

高校應(yīng)加強(qiáng)數(shù)據(jù)安全工作的組織領(lǐng)導(dǎo)，對(duì)各類(lèi)數(shù)據(jù)活動(dòng)的參與主體，建立“主要負(fù)責(zé)人負(fù)總責(zé)、分管負(fù)責(zé)人具體抓”的領(lǐng)導(dǎo)責(zé)任制。同時(shí)，要明確各方應(yīng)履行的職責(zé)，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則落實(shí)數(shù)據(jù)安全責(zé)任，對(duì)于聯(lián)合第三方進(jìn)行數(shù)據(jù)處理的，應(yīng)簽訂數(shù)據(jù)保密協(xié)議。數(shù)據(jù)提供方不能進(jìn)行過(guò)度的數(shù)據(jù)采集，數(shù)據(jù)采集時(shí)應(yīng)遵循最小化原則，同時(shí)應(yīng)對(duì)師生盡到告知義務(wù)，讓師生“知情同意”。數(shù)據(jù)使用方不能隨意公開(kāi)師生個(gè)人信息數(shù)據(jù)，不能過(guò)度挖掘、曲解分析數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系。

對(duì)于師生，應(yīng)加強(qiáng)宣傳引導(dǎo)和教育，可通過(guò)國(guó)家安全日、國(guó)家網(wǎng)絡(luò)安全宣傳周等活動(dòng)，采用海報(bào)、微視頻、專(zhuān)家講座、微信推文等方式宣傳數(shù)據(jù)安全法等相關(guān)知識(shí)，介紹如何防范個(gè)人信息泄露等內(nèi)容[11]，以期提高個(gè)人信息保護(hù)意識(shí)，并將其提高到法治高度。

4 結(jié)束語(yǔ)

如何以數(shù)據(jù)安全促進(jìn)高校數(shù)據(jù)開(kāi)放，促進(jìn)數(shù)據(jù)互聯(lián)互通，提升師生使用數(shù)據(jù)的便利性，增加師生獲得感，是擺在高校數(shù)據(jù)中心建設(shè)者面前的難題。通過(guò)對(duì)全國(guó)高校信息化發(fā)展?fàn)顩r的調(diào)研數(shù)據(jù)分析得知，高校數(shù)據(jù)中心的數(shù)據(jù)安全管理制度需要完善、細(xì)化及切實(shí)落地執(zhí)行，數(shù)據(jù)安全管理責(zé)任需要進(jìn)一步明確和壓實(shí)，技術(shù)防范工作有待加強(qiáng)。高校在發(fā)揮數(shù)據(jù)效能的同時(shí)，要確保數(shù)據(jù)安全，加強(qiáng)數(shù)據(jù)安全的監(jiān)督和管理，建立有效的數(shù)據(jù)安全防護(hù)體系，營(yíng)造健康的數(shù)據(jù)安全環(huán)境。

[參考文獻(xiàn)]

[1] 張金平.跨境數(shù)據(jù)轉(zhuǎn)移的國(guó)際規(guī)制及中國(guó)法律的應(yīng)對(duì)：兼評(píng)我國(guó)《網(wǎng)絡(luò)安全法》上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則[J].政治與法律，2016（12）：136-154.

[2] 何珺.工信部發(fā)布《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》[J].今日制造與升級(jí)，2020（3）：18-19.

[3] 江魁.深圳大學(xué)：數(shù)據(jù)安全保護(hù)從數(shù)據(jù)分級(jí)做起[J].中國(guó)教育網(wǎng)絡(luò)，2021（Z1）：73-75.

[4] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型：GB/T 37988—2019 [S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[5] 楊秋華，董貴山，楊永剛，等.政務(wù)云環(huán)境下數(shù)據(jù)共享安全保障框架研究[J].通信技術(shù)，2018，51（6）：1404-1411.

[6] 張聰.智慧校園環(huán)境下的數(shù)據(jù)安全研究與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（1）：103-105.

[7] 羅海寧.簡(jiǎn)析政務(wù)信息共享數(shù)據(jù)安全體系要點(diǎn)[J].保密科學(xué)技術(shù)，2020（4）：6-14.

[8] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求：GB/T 35274—2017 [S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2017.

[9] 王建民，金濤，葉潤(rùn)國(guó).《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(shū)（2017）》解讀[J].信息技術(shù)與標(biāo)準(zhǔn)化，2017（8）：38-41.

[10] 張雪瑩，楊帥鋒，王沖華，等.工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類(lèi)分級(jí)防護(hù)框架研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2021，40（1）：2-9.

[11] 陳瑛，王曉震，于春生，等.高校網(wǎng)絡(luò)安全管理和技術(shù)支撐體系構(gòu)建研究[J].北京聯(lián)合大學(xué)學(xué)報(bào)，2021，35（2）：53-57.

（責(zé)任編輯 白麗媛）