数据安全:高校数据链条中最重的一环 | 封面报道
在“徐玉玉”事件之前,我们对于教育行业的数据安全问题所引发的严重后果可能尚缺乏思想准备,而这起事件给了我们一个警醒:教育行业的数据安全极其重要,每一条数据都应当被安全、妥善地管理。
在讨论高校数据安全保障之前,我们需要先梳理学校所拥有的各种数据,明确这些数据的权属关系,在此基础上进行安全级别、保障机制、评价方法等一系列行动。
高校数据可大致分为人、财、物的基础数据、资源数据和行为数据。
其中,人的基础数据是指师生个人信息,如姓名、年龄、住址、身份证号等,权属应该归师生个人所有;
财、物的基础数据如房产、资金等面向管理和服务的数据权属应该归学校所有;
资源数据是指教学资源、电子图书、研究资源等,有些权属归学校而有些归教师个人,有些可能由学校、个人共有,需要视具体情况而定;
行为数据是指师生在学校信息化环境中的用户网络行为,为了享受某些特定的网络服务而必须“伴随式”收集的访问行为的日志记录等,这些权属也应该属于学校。
学校应该保障好一切跟学校财物相关的基础数据、权属属于学校资源数据和相当范围内的行为数据,也应该保障好个人授权给学校代为管理的其他个人基础数据。这里需要指出的是,个人授权给学校使用或管理的权限应该是有限的、面向某些特定应用场景的,不应该是无限的。
目前高校的很多信息系统累积下来的数据大多是面向管理的,包括人、财、物的基础数据以及部分资源数据,行为数据的收集是比较有限的。涉及到数据安全的工作也主要是面向人、财、物的基础数据以及资源数据,而且是刚刚起步。起步较早的学校已经开始了数据类型的划分、权属关系的划分以及保护级别的划分工作,但大部分高校在此方面的工作仍然很薄弱。
?
那么,下一步高校的数据安全工作如何实施?
有几个方面的工作需要逐步开展:第一,梳理数据类型及权属关系;第二,确立不同主体的角色及安全规范;第三,确立一套技术架构以及管理机制保障这些目标的实现。
做好数据安全工作需要一个健全的保障体系,这个体系除了一支有战斗力的队伍之外,还需要包括制度设计和技术设计两个层面进行相互补充相互依存,才有可能各个角色各取所需、有章可循。
(作者系华东师范大学信息化办公室主任)