姜开达:高校要形成数据安全保护的氛围
随着我国教育信息化建设的不断深入,其所面临的数据安全形势也越来越严峻。如何在高校数字化转型过程中建立起全面的数据安全保护体系?
在接受本刊采访时,上海交通大学信息化推进办公室副主任姜开达表示,解决数据安全,需要出台数据安全和个人信息安全管理办法,落地数据安全技术保障体系,建立全校范围的安全数据共享交换平台,实现数据全生命周期的安全管理,并评估新技术、新应用产生的数据安全风险。
PROFILE
姜开达
上海交通大学信息化
推进办公室副主任
上海交通大学网络
信息中心副主任
01
教育数据安全距离良好还有差距
《中国教育网络》:请问在您看来,当前整个教育行业的信息安全防护现状如何?如果总分为10分,您的评价是多少分?为什么?
姜开达:相对于几年前,可以看到整个行业的网络安全已经有了明显进步。重大网络安全事件有所下降,网站整体安全水平有所提高,但数据安全管理能力仍有待加强。
从中央到地方都加强了对网络安全的统筹管理,相关文件陆续出台,各地做什么,怎么做,都有明确的政策方向引导和监管要求。在学校的整体信息化建设中,网络安全要同步建设的观念也成为共识。学校自身的行动力,网络安全相关主管部门的推动力,信息化发展到一定阶段的原动力,引发了目前的变化。
总分10分的话,我给7分,过了及格线,但是离良好还有差距。教育行业的学校超过五十万所,信息资产数量众多,各地信息化资源投入和发展不平衡,师生信息化素养和网络安全意识还有待提升,而安全又存在短板效应,这些问题长期看都会暴露出来。所以网络安全永远在路上,要走的路还很长,要时刻保持危机感和紧迫感。
《中国教育网络》:在高校层面,当前数据安全防护的工作主要集中在哪些方面?数据安全问题频发原因是什么?做好数据安全工作有哪些挑战?
姜开达:数据已成为国家基础性战略资源和新的社会生产要素。高校的信息化发展到目前阶段,初步解决了数据生产的问题,但是数据汇聚、算法分析、共享利用,挖掘数据金矿的价值,对教学科研、管理服务、决策分析直接起支撑作用,用数据来驱动学校数字化转型还做得远远不够。高校的数据安全问题除了传统信息系统内固有问题,还存在以下几点:
◉ 第一,底数不清。数据散落在校园内外的各个信息系统、个人电脑、档案文件中。有多少?怎么分布?哪些类型?哪些活数据?哪些沉淀数据?需要开展数据普查,分级分类,摸清家底是首要任务。
◉ 第二,管理缺位。网络、信息系统都有明确的主管机构,数据是学校的无形核心资产,数据管理部门需要明确,数据管理办法需要制定,数据安全管理要求和技术管理手段需要同期跟进。信息化发展得越快,数据越高度集中,数据安全如果不未雨绸缪,一旦出问题影响巨大。
◉ 第三,意识不够。对师生个人信息保护,要增强法律意识,严格按照法律法规的要求行事。对新技术、新应用的推广要评估数据安全风险,避免过度数据采集和滥用,要重视个人隐私保护。面向师生的网络安全意识教育也要同步跟进,形成重视数据安全保护的共识和氛围。
◉ 第四,使用混乱。缺乏体系化的信息数据采集、共享资源目录、申请审批授权、系统监管机制。是否过度采集不知道,谁申请了不知道,共享了多少不知道,用途和场景不知道,有无违规使用不知道,乱象丛生。
数据生产方和使用方,需要有一个数据共享服务平台来将其连接,尽可能通过受控接口方式来使用数据,在合法合规的前提下,充分推进全校数据整合开放共享。
02
安全与管理应同步规划实施
《中国教育网络》:2020年,全国人大常委会先后发布了《数据安全法(草案)》和《个人信息保护法(草案)》,这两项法案正式发布后将给高校提供哪些支持?如果教育部出台相关政策,从高校角度,您认为对政策和指导意见的需求有哪些?
姜开达:《数据安全法》和《个人信息保护法》是全国人大今年立法重点,一系列法律的实施,将深刻影响各行各业的个人信息和数据安全保护。
教育部今年也将联合多部委,出台加强教育系统数据安全的通知,并开展一系列工作来推动行业数据安全治理和个人信息保护工作。
希望这些政策能够明确高校数据安全的组织领导和责任体系,明确规范数据收集、存储传输、使用处理、开放共享等数据活动的工作要求,明确加强个人信息保护的具体内容,明确建立数据安全管理制度、开展数据安全宣传教育、提升数据安全防护水平的指导要求。
对于高校而言,教育行政部门的管理引导很重要,它会明确未来发展方向,比如哪些系统必须整合、共享,加强个人数据安全保护,并给出一些具体的引导。然后鼓励典型成功案例进行推广,大多数高校可以参考典例案例,并结合本校实际去推进实施。
上海交通大学
《中国教育网络》:上海交通大学采取了哪些与数据安全相关的保护策略?您认为是否有必要设立针对性组织机构、专职专岗和规章制度?
姜开达:上海交通大学网络信息中心在2018年成立了数据业务部,目前人员已经发展到四十人。拥有专业的开发人员和高协作性的工作团队,不断引入和运用新技术,积极开拓新业务,在智慧校园建设中充分发挥自身的人才优势、技术优势、数据优势,为学校提供便捷、高效的数据服务和信息化支撑。
上海交通大学也制定了一系列数据标准、数据资源目录等规范性文件,应用驱动,推动数据跨层级共享使用,不断提升数据质量并加强安全管控。《上海交通大学数据管理办法》计划在今年上半年正式印发,以加强对全校数据的管理和利用,其中也会明确数据安全相关管理要求。学校安全团队对存储重要敏感数据的信息系统特别关注,实行重点保护。
国家层面要实施大数据战略,加快建设数字中国。大数据管理局在多地政府开始运转,研究制定并组织实施大数据战略、规划和政策措施,引导和推动数据研究、共享、应用等方面工作,驱动“数字政府”建设。
高校层面也有必要把数据治理和数据应用上升到学校发展战略性高度,明确专门数据管理机构,设立数据管理专岗,岗位人员需要有数据安全意识,落实数据安全管理要求。这个过程中数据安全伴随着数据管理同步规划设计,同步落地实施。
高校需要在上位法的框架内,根据本校实际情况,制定或修订本校的数据管理办法,甚至数据安全管理办法,保障广大师生的切身利益。
《中国教育网络》:您曾提过依据“一级(公开),二级(内部),三级(敏感)”的划分原则对数据进行分级分类,那么具体应如何实现?
姜开达:根据已经形成的数据资源目录,基于数据重要性、敏感程度不同,可以考虑将数据划分为一级(公开)、二级(内部)、三级(敏感)等三个级别。分级的目的是更好地推动数据利用和安全保护。
不同等级数据的保护要求、共享条件、防护措施,可以有所差异。一级数据是可以在互联网公开的数据,二级数据是不予公开但可以在一定范围内部共享的数据,三级数据是一旦遭泄漏或篡改将会造成严重损害的数据。各校可以根据实际情况参考,自行定义数据分级标准。
数据分级分类标准其实是各高校最关心的问题之一,有些学校已经出台了校级数据标准,但这些标准大多还不成熟,需要进一步修订。整体而言,不论是高校还是教育部,其实都很期待统一标准的出台。对于教育行政部门而言,在采集数据时,如果所有学校实行统一标准,会显著提升效率。
《中国教育网络》:对于诸如人脸识别等新技术在校园的使用目前颇有争议,请问对此您有何看法?
姜开达:新技术、新应用的出现不可避免,这个过程中要加强安全管理来确保其合规使用和健康发展。
人工智能和大数据应用进校园要在受监管的前提下进行,而不宜简单化否定,要合理使用避免滥用。要形成学校管理审批、主管部门监管、社会舆论监督的共识,要在法律法规和行业、学校的管理规章制度框架内使用新技术、新应用。
目前高校的新应用还不够多,我们需要用更加开放的心态来面对。不同行业有各自的要求和特点,新技术、新应用进校园,不能只是对其他行业的简单复制,而是要适应新的校园场景和合规要求,重新设计改造。
03
高校面临数据驱动的挑战
《中国教育网络》:当下,是各高校“十四五”规划的冲刺阶段,请问对于在“十四五”期间,如何进行高校数据安全和隐私保护体系建设,您有什么样的思考和建议?
姜开达:网络安全和信息化是一体之两翼,驱动之双轮,必须统一谋划,统一部署,统一推进,统一实施。高校信息化的发展目标是为了支撑教育的高质量发展,无论教学、科研、管理、服务,现在都面临着数据驱动的挑战。
在学校发展过程中,要做到用数据说话、用数据支持管理和决策、用数据支持教育教学和科研创新、用数据来提升学校整体资源配置效率,成为加快学校发展的新型生产要素。
数据将成为高校“十四五”信息化发展规划的重点关注内容,数据安全和个人信息安全管理办法需要出台,数据安全技术保障体系需要落地,全校范围的安全数据共享交换平台需要建立,数据全生命周期的安全管理需要实现,伴随新技术、新应用产生的数据安全风险需要评估。
过去两年,“信息安全战略”和“隐私保护”已成为美国高等教育信息化协会(EDUCAUSE)的前三热点IT议题,随着国家和行业的一系列监管政策发布,相信国内高校未来会更加关注数据安全领域,并且开展各自的积极探索和创新实践,也期待高校的数据安全能够在“十四五”期间普遍取得质的飞跃。
作者:王世新、郑艺龙