安全資訊

山東大學(xué)信息化工作辦公室常務(wù)副主任葛連升表示，安全問(wèn)題事關(guān)每個(gè)人，這一認識不到位，高校網(wǎng)絡(luò )安全包括數據安全工作的推進(jìn)就比較困難。他認為高校數據安全具有其特殊性：

第一，從數據本身的角度來(lái)看，現在一切都在數據化，可以說(shuō)，數據無(wú)處不在，海量的數據給安全管理帶來(lái)了挑戰。

第二，從高校的特點(diǎn)看，高校管理的鏈條比較長(cháng)，管理具有松散特點(diǎn)，數據也是相對分散的。而且在大部分高校，數據集中工作的完成度都不高，導致其數據管理成本較高。

在這樣的背景下，當高校師生自身數據安全的意識和素養比較弱時(shí)，安全防護就失去了主動(dòng)性。因此，雖然當前《數據安全法（草案）》已公布，但從高校來(lái)看，制度、技術(shù)等方面都不夠完善，這是客觀(guān)存在的挑戰。

中國教育和科研計算機網(wǎng)應急響應組鄭先偉認為，教育行業(yè)還沒(méi)有相關(guān)指導文件，缺乏統一、明確的分級分類(lèi)標準。對于哪些數據信息屬于隱私，不同的高?？赡苡胁煌慕庾x。

例如師生員工的個(gè)人身份信息屬于隱私已經(jīng)很明確了，但學(xué)生的成績(jì)、在校的行動(dòng)軌跡等數據是否涉及隱私其實(shí)還存在模糊地帶。要解決這個(gè)問(wèn)題，就要明確隱私數據的定義，把握數據使用和隱私保護的平衡。

電子科技大學(xué)信息中心主任侯孟書(shū)表示，高校隱私信息的內涵可分為面向機構的學(xué)校敏感信息和面向個(gè)人的師生敏感信息。

學(xué)校敏感信息包括重大決策信息、財務(wù)信息、招生信息、資產(chǎn)信息等。師生敏感信息包括身份信息（身份證號碼、學(xué)號、職工號等）、生物識別信息（指紋、人臉等）、健康生理信息（疾病情況）及上網(wǎng)信息、一卡通信息、位置信息等。

復旦大學(xué)信息化辦公室主任王新則認為隱私信息主要有三種：

• 一是能夠用來(lái)對用戶(hù)進(jìn)行身份識別的基本信息，包含姓名、身份證、照片、指紋、人臉特征等；

• 二是用戶(hù)敏感信息，包含健康狀況、財務(wù)信息、定位信息、信息化應用訪(fǎng)問(wèn)情況如一卡通消費記錄、網(wǎng)站訪(fǎng)問(wèn)詳情等；

• 三是學(xué)校的核心信息如重要公文、重要科研成果等。

兩位主任的觀(guān)點(diǎn)大同小異，但反映了一個(gè)迫切需要解決的問(wèn)題，即教育數據缺少分級分類(lèi)統一標準。

深圳大學(xué)信息中心副主任江魁表示，數據分級保護與分類(lèi)保護兩者相輔相成，數據分類(lèi)把具有共同屬性的數據歸并在一起，數據分級根據數據所具有的后果性標準構建技術(shù)保護體系，最后通過(guò)數據類(lèi)別將其納入對應的數據分級體系。

在這方面，相關(guān)人士表示，雖然教育部2018年出臺的《教育部機關(guān)及直屬事業(yè)單位教育數據管理辦法》中，已對一些數據安全相關(guān)標準進(jìn)行了規定，但各高校期待教育管理部門(mén)盡快出臺更詳細、統一的標準文件，規范教育數據安全分級分類(lèi)程序，提升高校數據安全分級分類(lèi)的可實(shí)施性和可操作性，為各高校數據安全管理工作提供指導。

鄭先偉也指出，和所有法律法規的出臺一樣，這些政策和指導意見(jiàn)必須是廣泛征求各個(gè)個(gè)體的意見(jiàn)之后才會(huì )形成標準。這就要求個(gè)別學(xué)校先試先行，從而形成參考意見(jiàn)。因此，高校數據分級分類(lèi)工作可能也遵循螺旋式上升的發(fā)展軌跡。

盡管?chē)鴥雀咝Ｔ跀祿踩雷o工作上取得了一定的成績(jì)，但整體形勢依然嚴峻，還有很多風(fēng)險和隱患需要解決。

首先，要充分利用此次《數據安全法（草案）》、《個(gè)人信息保護法（草案）》出臺的機遇，在學(xué)校進(jìn)行大力的宣傳并積極與領(lǐng)導層面溝通交流，積極爭取資源，將數據安全作為下一步信息化工作重點(diǎn)予以高度關(guān)注。并通過(guò)多種數據安全相關(guān)溝通、宣傳渠道，以及定期自查和培訓機制，切實(shí)提升學(xué)校管理者和用戶(hù)的數據安全意識和素養。

其次，在引起足夠重視的基礎上，對整個(gè)網(wǎng)絡(luò )安全和信息化體系，甚至在整個(gè)智慧校園的框架結構中進(jìn)行頂層設計，形成包括管理、制度、技術(shù)，以及應急處置、教育培訓、考核等各方面的保護體系。完成數據發(fā)現與分級分類(lèi)，從內部安全管控、外部威脅防御、流動(dòng)數據守護、數據庫安全運維等各個(gè)維度做好數據安全保護工作。

例如復旦大學(xué)信息辦成立了安全中心及預研與數據服務(wù)中心，梳理制定數據安全相關(guān)規章制度和標準等，并進(jìn)行數據安全日常的管理工作。

海南師范大學(xué)黨委委員沈富可表示，數據安全隊伍除了必要的信息化技術(shù)人才之外，還需要一定數量的教育、傳媒等相關(guān)學(xué)科背景人員，能夠將技術(shù)問(wèn)題解釋清楚并推廣普及。

如何通過(guò)技術(shù)、系統實(shí)現安全策略非常重要，例如通過(guò)技術(shù)實(shí)現數據層和應用層的解耦，避免原始數據直接被推出使用。

在這方面，華南理工大學(xué)通過(guò)建立數據中臺，對校園各專(zhuān)業(yè)系統和業(yè)務(wù)系統數據進(jìn)行融合，形成主題庫。海南師范大學(xué)的信息化團隊也搭建了包括基礎數據在內的信息化基礎底座。

兩所學(xué)校均完成了對數據的封裝，并以API方式提供使用。在保證職能部門(mén)、社會(huì )力量等第三方合作伙伴可以在有限范圍內授權使用特定數據的同時(shí)，又降低了數據泄露風(fēng)險。

最后，還應重視提升面向新技術(shù)的數據安全防護能力。面對云計算、大數據分析、5G等新技術(shù)所帶來(lái)的挑戰，應針對性加強安全管理來(lái)確保其合規使用和健康發(fā)展。

例如，采取數據備份、數據加密、數據脫敏和細粒度訪(fǎng)問(wèn)控制等措施，加強數據安全和隱私保護能力。并深化數據安全技術(shù)平臺建設，利用大數據分析和AI技術(shù)，智能預測和發(fā)現潛在的數據安全問(wèn)題和風(fēng)險，防患于未然，變被動(dòng)防御為主動(dòng)出擊。

當然，將安全問(wèn)題從法律條文具體落實(shí)到各個(gè)單位，建立起覆蓋數據全生命周期的安全體系，還需要相當長(cháng)的時(shí)間。對廣大高校來(lái)說(shuō)，數據安全的防護與探索任重道遠，且可能永遠在路上。