以问题为导向,直面高校数据安全挑战

接受本刊采访时,海南师范大学党委委员兼信息网络与数据中心主任、华东师范大学信息化治理委员会秘书长沈富可表示,高校数据安全防护没有最好,只有更好。高校“十四五”规划除了进一步明确建立高校数据安全和隐私保护体系的重要性之外,技术上要搭建一个“开放、安全、可扩展的信息化基础框架”。

沈富可

海南师范大学党委委员兼

信息网络与数据中心主任(挂职),

华东师范大学信息化治理委员会秘书长

数据安全防护

没有最好,只有更好

《中国教育网络》:如果让您为当前国内高校数据安全防护总体情况作个评价,满分为10分,您打多少分?为什么?

沈富可:我个人认为可以评7分。目前,关于高校数据安全的保障意识正逐步形成,硬件条件普遍提升,各类云服务解决方案为用户提供了多种选择等,为保障高校数据安全创造了很好的条件。

但与此同时,由于数据安全涉及的主体除了信息中心、合作伙伴外,还有业务部门、院系、师生用户等,要做好数据安全工作,需要明确各个相关主体的职责,各方都要承担起自己的责任。在这方面,目前多数高校还难以做到。

此外,随着安全威胁的变化,安全机制、技术措施需要不断调整以及时应对新的挑战,从这个角度而言,高校数据安全防护没有最好,只有更好。

《中国教育网络》:国内外经常有高校隐私信息被窃取或泄露事件发生,您认为此类事件高发的原因是什么?

沈富可:类似事件频发,我认为可能主要还是安全意识和技术方面原因。

但我想强调的一点是,很多高校不太重视信息化队伍的建设问题。这支队伍除了有相当数量的信息化技术人才之外,还要有一定数量的教育、传媒等相关学科背景人员,能够将一个技术问题说清楚并推介出去,让普通用户理解、接受。

举例而言,关于安全、隐私保护,很多同行都比较为难的是用户安全防范意识跟不上。其实,一个普通用户在未遭受数据泄露损失之前,一味强调便捷、方便是可以理解的。

如何通过举例与演示培养用户建立起“方便”往往是一种安全威胁的观念,让用户理解安全与方便是需要权衡的,并形成一种习惯,这是需要信息化团队花心思认真谋划的。

《中国教育网络》:在您看来,目前高校数据安全防护的难点和挑战主要有哪些方面?

沈富可:目前高校数据安全防护的难点和挑战还有很多。

首先是理念层面,数据是学校的重要资产,数据安全威胁就意味着所在学校的资产威胁,甚至还会涉及学校的舆情、意识形态安全等更复杂的问题。

因此,高校领导、信息化部门、业务部门等都应重视数据安全工作,只有认识到其中的重要性,才会共同想办法解决问题。

其次是制度层面,要制订符合学校实际的一整套制度、规定,明确技术部门、业务部门、院系、师生用户和合作伙伴等的职责权限,及如何在保障数据安全的前提下充分共享等。

此外,数据安全并不止于出台针对“人”的“物理空间”范围的管理规定,因其还涉及“数字空间”范围各个主体之间的交互,需要有一整套的数据采集、存储、处理、使用、归档处置等标准规范,以解决“人—机”、“机—机”、“人—人”的有序交互问题。

最后是技术层面,一所学校的数据安全需要一套与所在学校的上述制度、标准等相适应的技术设施来支撑和配合,并且需要一个具有一定规模的强有力的信息化团队作为保障。这个团队既要有信息安全前瞻技术研究能力和技术实施“落地”保障能力,还要有在校内推介、培训的能力。

如何实现全方位数据保护?

《中国教育网络》:数据安全的基础工作之一是对数据进行分级分类,请问在高校进行数据分级分类的依据、策略各是什么?具体如何实现?

沈富可:具体到学校数据的分级分类,我认为,首先要明确高校数据的权属关系,也即具体数据的归属,谁有支配权,谁有权使用等。对于隐私数据应该坚持“最大量”保护原则,而针对公共数据应该坚持“最大程度”开放共享原则,来发挥共享增值的作用。

因此,数据分级分类的依据就是确定数据的权属关系、明确数据安全保密要求、明晰数据开放共享范围,以及上述关系、要求、范围的时效性问题。

数据分级分类是一个动态变化的持续性工作,需要根据安全威胁、学校管理流程、职能部门定位、决策支持的要求等变化进行持续调整。这个工作只有开始没有结束,“永远在路上”。

关于分级分类的策略,我更强调数据的质量问题。我理解,经过数据的汇聚共享,虽然用户更多了,但是数据的质量责任主体没有变。

例如,学生的成绩数据虽然已汇集到数据中心,但是其权威部门依然是教务处,学生成绩数据的质量责任依然由教务处负责。

至于具体的策略和技术方面的实现,可基于角色的授权(RBAC)、基于属性的授权(ABAC)和基于策略的授权(PBAC)等,要根据各学校的具体情况,技术方案配合其策略机制分别实现,并不断调整。

简单归结为一句话:“做好顶层设计,动态更新,融入各自日常工作常态,技术为安全制度、规范服务”。

《中国教育网络》:在数据安全中,很重要的一个方面是隐私保护。但目前为止,由于缺乏明确定义,不同的高校对于隐私可能有不同的解读,请问您如何理解高校隐私信息的内涵?

沈富可:要理解高校隐私信息的内涵,首先应了解之所以分离隐私信息,是为了促进共享,而共享的目的是为了“信息公开”和“倒逼服务”,共享的对象范围不止于个人、业务部门和学校层面,还应考虑社会、国家等层面。在此基础上来谈隐私的范围和分级分类保护才有意义。

不要绕坎,要面对问题

《中国教育网络》:当前海南师范大学采取了哪些数据安全相关保护策略?

沈富可:海师大在保障数据安全方面所做工作包括:

在制度层面,出台了《海南师范大学信息安全总体方针》《海南师范大学网络安全管理制度》《海南师范大学信息安全管理体系职责》等一系列制度。

以及更具体的,如《海南师范大学信息安全产品采购、使用管理制度》《信息网络与数据中心人员安全管理制度》等。但相关制度建设目前刚起步,还谈不上有可借鉴的成果。

除了上述制度办法,海师大长期致力于加强人才队伍的建设。一个符合所有信息化(包括数据安全工作)要求的具有一定开发能力的信息化团队是非常重要的,人才是使顶层设计能够落地实现的根本。

此外,在技术保障机制上,海师大也做了一些有益的尝试。学校的信息化团队搭建了包括基础数据在内的信息化基础底座,封装了包括认证、授权、连接、交互、可信等基础服务的API。

由学校的团队负责运维支持,职能部门、社会力量等第三方合作伙伴可以在有限范围内授权使用特定数据,避免了数据泄露风险,这个框架和模式的搭建与维护,形成了海师数据“以我为主”、有限授权访问的机制,尝试从根本上解决多主体安全机制,正在逐步形成自主可控、可持续、可伸缩的数据安全发展模式。

《中国教育网络》:针对校企合作中第三方对学校信息数据的采集及应用,海师大是如何保护隐私信息的?

沈富可:高校信息化广泛涉及各个业务部门、院系、个人等,其涵盖的内容又涉及教学、科研、管理和服务模式的创新,以及学校的内涵发展,既要有宏观支持,也需要非常具体的细节支持。建设过程中涉及的参与主体也非常多,各个高校的信息化团队、业务部门和第三方合作伙伴的分工协作情况不尽相同。

海师大建设的信息化基础底座是一个“安全的、可扩展的信息化中间件”,作为信息化建设的基础支撑,封装了包括认证、授权、连接、交互、可信等基础服务的API,其中涵盖统一身份认证、授权以及日志记录等支撑信息化建设的基础服务,提供基础服务访问标准、接口。基于该底座,无论是支持学校教学、科研和管理决策,还是和第三方展开合作,都能够最大限度保障数据安全,保护个人隐私。

《中国教育网络》:安全问题是“十四五”绕不过去的“坎”,您认为高校在“十四五”规划中应如何建立数据安全和隐私保护体系?

沈富可:我的建议是不要绕坎直面问题,解决问题,也即所谓的“问题导向”。

首先要分析之前信息安全、信息化建设中存在的问题以及这些问题背后的原因。同时面向未来五年,给出针对性的对策及措施,不回避问题,也不好高骛远,实事求是,一步一个脚印,“坎”一个个克服,信息安全的问题才能骊决,十四五目标才能实现。

其次,基于海师大的建设经验,我建议高校“十四五”规划除了进一步明确建立高校数据安全和隐私保护体系的重要性之外,技术上要搭建一个“开放、安全、可扩展的信息化基础框架”,为高校业务部门、院系、用户的信息化建设和应用提供安全支撑,并重视信息化队伍建设,加强信息安全的培训等。

记者、责编:郑艺龙

投稿、转载或合作,请联系:eduinfo@cernet.com

(0)

相关推荐

  • 专题丨数据安全治理体系与技术研究

    李晓伟  吴迎  邹彧  白云飞 (兴唐通信科技有限公司,北京 100191) 摘要:随着数字产业化和产业数字化的快速推进,数据已经成为数字化转型时代的核心竞争力.随着数据成为资产,成为基础设施,数据 ...

  • 从数据保护到数据流动,如今谈数据安全治理我们在谈些什么?

    数据安全的重要性正在不断突显. 伴随数字化进程的发展,全球各地数据泄露和数据滥用事件频发,各国对数据安全的重视程度不断提升.在中国,类似的情况也时有发生--不论是此前已被验证的数据库安全市场,还是在近 ...

  • 政务信息共享数据安全中的密码支撑技术与应用

    摘 要 针对国家标准GB/T 39477-2020<信息安全技术 政务信息共享 数据安全技术要求>中涉及数据分级分类.数据跨域安全传输.数据访问控制.数据脱敏和数据召回与阻断等数据安全技术 ...

  • 数据资产盘点 数据治理 数据价值实现=数据资产管理运营

    须知 公众号推文规则变了,读者会错过文章更新,点击上方 '企业数字化咨询'关注, 设为星标 后台回复[技术],申请加入资料分享&技术交流群 略去大数据分析背景与价值部分,言简意赅的介绍如何进行 ...

  • 大数据时代高校数据安全需求与挑战 | 封面报道

    针对大数据环境下的高校数据安全问题.我们建议在规划.建设.运行过程中,同步考虑"把数据关进笼子,让数据访问在阳光下进行"的数据安全策略. 高校数据安全需求 大数据时代背景下,高校信 ...

  • 步步为营,改善居民健康;井井有方,直面慢病挑战

    全科学苑       各项研究显示,慢病的高发率.高死亡率.高负担已经成为影响我国经济社会发展的重大公共卫生问题.并且,随着工业化.城镇化.老龄化进程的加快,居民生活方式.生态环境.食品安全状况等对健 ...

  • 热竞技:人机游戏结束,RNG将直面强队挑战,DK放烟雾弹为了让RNG放松警惕?

    热竞技分析MSI季中赛正在火热进行中,RNG也不负众望以小组第一的成绩晋级到了下一轮的对抗赛中,直接刷新了RNG在MSI的连胜纪录,毫不夸张的说,RNG在小组赛中打的就是人机,比赛结果没有任何悬念,因 ...

  • 【成泰科技冠名】首家磷酸铁锂企业上市 德方纳米直面三元电池挑战

    摘要:今日(4月15日),根据交易所公告,德方纳米在深圳证券交易所创业板上市.截止公告发布时间,公司股价为60.16元/股,涨幅43.99%. 今日(4月15日),根据交易所公告,德方纳米在深圳证券交 ...

  • 高校数据安全保护任重道远

    2020年,堪称全球数据治理的变革之年,也是我国公民隐私的保护之年.这一年,我国先后公布了<中华人民共和国数据安全法(草案)>和<中华人民共和国个人信息保护法(草案)>等重要信 ...

  • 两天后,华为智能计算将直面这些的挑战

    近一段时间,懂懂笔记在参加一些行业信息化研讨会和论坛时,经常听到参会者提及一个热词:智能计算.从参会者话语中能够感觉出两种心态,一是趋势之下的迎接:二是挑战带来的担忧. 文 | 懂懂  编辑 | 秦言 ...

  • 高校数据安全治理痛点与对策

    随着信息技术和人类生产生活交汇融合,各类数据迅猛增长.海量聚集,对经济发展.人民生活产生了重大而深刻的影响. 数据安全已成为事关国家安全与经济社会发展的重大问题.国家高度重视,就加强数据安全工作和促进 ...

  • 高校数据安全要“合规”而行

    在大数据.云计算.人工智能蓬勃发展的数字经济时代,数据已经成为与土地.劳动力.资本.技术等传统要素并列的新型生产要素,成为社会发展倾力前行的"石油",对国家经济发展.社会治理与人民 ...

  • 高校数据安全,归属权问题值得讨论

    郑海山 厦门大学信息与网络中心副主任 在推进个人数据安全防护过程中,会遇到很多技术和管理上的问题,技术上的问题大多可以找到相应的解决方案,但管理上的问题比较麻烦,如相关部门可能会因担心数据集中到管理中 ...