做好高校数据安全防护要从技术和管理两方面下功夫

文/罗伟 河南财政金融学院网络信息管理中心副主任

随着信息技术的不断发展和应用,我国已经进入到数字化时代。2020年3月30日,中共中央、国务院对外发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据定义为新型的生产要素,纳入到要素市场化配置中。2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。《中华人民共和国数据安全法》作为我国数据领域的基础法律,为规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益指明了方向,提供了法律依据。

高校作为国家人才培养的基地,同时也是信息化建设探索与实践的先锋。大多数高校已经完成了数字校园建设,并进入智慧校园发展阶段。数据已经成为高校教育信息化建设的核心资产,在教学、科研、管理、服务等各个方面发挥了极其重要的作用。与此同时,由于各业务系统的孤岛数据被打通,数据实现了互联互通、共享开放,数据也呈现出跨业务部门、跨信息系统、跨安全域流动使用的新趋势。在高频次的海量数据交换、开放共享中,数据提供方、使用方、相关服务方等共同接入数据流转过程中,数据安全风险日显突出。保护数据安全已经成为教育信息化工作中的重中之重。这对高校教育信息化的建设和发展至关重要。

根据《中华人民共和国数据安全法》第三条“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”,数据安全已不再是传统“网络安全”以有效防止攻击为主要目的的防护,而是以数据机密性、完整性和可用性为主要目标的安全防护,涉及数据采集、传输、存储、处理、交换和销毁整个生命周期的全过程。在当今数字化时代,做好高校数据安全防护要从技术和管理两个方面下功夫。

一、技术层面的数据安全防护

1.分类分级管理数据

高校内部的数据覆盖面广、数据量大、涉及用户多,包括教职工信息、学生信息、组织架构信息、教学信息、科研信息、财务信息等。为做好数据安全防护,应根据我国《网络安全法》《数据安全法》《信息安全技术个人信息安全规范》等法律法规,结合高校自身实际,制定数据分类分级标准,建立敏感数据规则库。在此基础上,根据数据的来源、内容和用途对数据进行分类;结合业务特点、数据价值、数据内容敏感度、数据对学校发展的影响以及分发共享范围等,按照就高不就低原则对数据进行定级;并制定重要数据目录,对列入目录的数据进行重点保护。

2.评估数据安全风险

在数据分类分级的基础上,梳理高校数据资产状况,明确数据由谁产生、如何存储、如何传输、被哪些对象使用、如何使用、可能被哪些业务系统访问、访问路径以及敏感数据分布情况,并按照数据采集、传输、存储、处理、交换和销毁整个生命周期的各个阶段对数据安全风险进行分析评估,发现数据安全存在的内部和外部风险,评估数据安全的脆弱性,为护航数据安全奠定坚实的基础。

3.制定数据安全防护策略

针对评估出的数据安全风险,结合数据分类分级的实际情况,从校园网络、数据中心、信息系统、访问终端、用户等多个方面,制定相应的数据安全防护策略,具体包括:网络安全域的划分、数据访问的账号和权限、数据使用过程的管理、数据共享的管理、数据加密的管理、数据存储的管理、敏感数据脱敏处理、业务漏洞的防护、数据备份等,真正做到外防入侵攻击,内防泄露滥用,保障数据业务安全稳定运行。

4.动态监管数据活动

随着高校各个业务系统的运行,数据也在不断地发生变化。为快速发现、处理数据安全风险,可以通过可视化技术多维度监控数据资产状况,以数据视角对整个数据生命周期过程进行全方位的实时监视,记录数据活动和用户行为,及时发现数据存在的风险、威胁、漏洞以及数据的异常访问、用户的异常操作等事件,并生成数据合规报告,保证入侵、破坏、泄露、篡改敏感数据的行为事前能被发现,事中能被拦截和监查,事后能被审计追溯,确保数据全生命周期的安全。

二、管理层面的数据安全防护

1.落实学校数据安全责任

《党委(党组)网络安全工作责任制实施办法》规定:“各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人”。目前,各高校基本都已经成立有以党政一把手为组长的网络安全和信息化领导小组,全面统筹学校网络安全和教育信息化相关工作。在当前信息安全的新形势下,校党委、行政要严格落实网络安全责任制,把数据安全工作纳入到学校重要议事日程,加大人力、财力、物力的支持和保障力度。

2.宣传普及数据安全知识

通过校园网站、微信公众号、校园广播、展板、讲座等多渠道宣传普及《数据安全法》及相关知识,努力营造“数据安全人人有责,数据安全从我做起”的氛围,增强广大师生的数据安全保护意识,推动产生、使用和管理数据的各个部门、个人共同参与到数据安全保护工作中,履行数据安全保护义务,形成全校上下共同维护数据安全的良好环境。

3.加强数据安全人才队伍建设

在信息时代,知识日新月异,信息化技术更是发展迅猛。由于数据安全建设工作正处于起步阶段,目前高校大都缺少有数据安全经验的工作人员,而新的发展形势又对高校现有的信息安全工作人员提出了更高的要求。为此,高校要制定合理的培训计划,将专家请入校园举办讲座、进行培训;将技术骨干送出去进修,参加数据安全有关会议和培训;购置专业的数据安全服务,让信息安全工作人员参与到数据安全服务全过程,在实践中积累锻炼,不断提升数据安全工作业务能力和水平,为高校数据安全工作储备高素质的专业人才队伍。

4.建立健全数据安全管理制度

依据《数据安全法》《信息安全技术个人信息安全规范》等法律法规,结合学校实际情况,建立健全高校数据安全有关管理规定,包括管理机构与职责、数据分类分级保护制度、数据使用安全规范、数据安全应急处置机制、数据安全审查制度等,使高校数据安全工作有据可依、有章可循。

同时,建立“学校—各二级单位—信息安全员”三级工作机制。学校网络安全和信息化领导小组统筹数据安全工作,各二级单位主要负责人为本单位数据安全第一责任人,各单位信息安全员归口管理本单位数据安全工作,自上而下形成高层牵头,横跨业务部门与安全部门的组织架构,确保数据安全工作体现在日常工作中并落到实处。(来源:河南教育信息化)

回到顶部