高校数据安全,归属权问题值得讨论
郑海山 厦门大学信息与网络中心副主任
在推进个人数据安全防护过程中,会遇到很多技术和管理上的问题,技术上的问题大多可以找到相应的解决方案,但管理上的问题比较麻烦,如相关部门可能会因担心数据集中到管理中心的安全性,而不愿意交出部分敏感数据。
在这种情况下,学校的重视和相关管理制度很重要,但数据管理中心也应当做好技术准备和解释工作,通过向相关部门展示详细的数据安全防护技术细节,数据集中后便利性和安全性的提高,让相关部门发现集中比分散更安全,减少疑虑,才可以推动数据的融合集中。
厦门大学
在技术方面,我校已建立基于关系型数据库的主数据中心,将现有各个系统中的数据统一到数据中心,然后再根据需要授权相应的数据给不同的系统使用。如此一来,可以对数据进行集中保护,减少不同系统数据安全各自为战的成本。
数据集中后会有多个压力,比如性能瓶颈、单个部门工作量增大和安全防护级别提高所带来的成本增加。我觉得压力肯定很大,所有鸡蛋都放进一个篮子了,但集中防护一定是未来的方向。
集约化才可以降低成本。通过集中数据和完善的访问日志分析,可以识别热点数据,检测可能的攻击,通过自动化技术等手段可以减轻工作量。这些是集中所带来的新能力。
数据集中后的共享方式,应尽量减少直接暴露数据库视图等方式,采取微服务或者API等模式对外提供,基于API的数据共享可以克服原先数据库大部分以只读的方式共享数据。
对业务的操作逻辑通过调用API,可以做权限和数据校验等安全性判断,也可以对调用进行跟踪,而且实时性更高。通过API的版本化,可以提供多个版本共存,对外提供统一的接口,隐藏内部实现逻辑。
至于下一步工作重点,我认为数据的归属权是未来高校数据安全工作中一个值得探讨的课题,师生在高校业务系统内产生的数据,应如何归属,属于学校还是师生?校外第三方若要调用这些数据,应通过什么流程?
技术上,可以通过OAuth2(Open Authorization v2,开放式授权第二版)让师生和学校一起参与授权来解决。但是如此一来,也会导致数据流出太大,以及对第三方无法进行数据是否留存和关联分析的安全监管问题。
来源:《中国教育网络》8月刊