高校数据安全保护规划与策略

　目前，国内大多数高校都逐步意识到数据安全保护的重要性，并制定了相应的管理制度、采取了必要的技术防护手段，在数据安全保护工作上有了一定基础。想了解不同高校是如何推进数据安全保护吗？它们又是如何制定规划与策略的？一起来听听主任们怎么说。

数据安全保护策略

　　不同的高校具有不同的实际情况，在数据安全和隐私保护方面的措施、进展程度以及侧重点各有不同。但可以肯定的趋势是，学校越来越重视数据安全，并逐渐加大投入力度。

数据安全涉及很多方面，总的来说分为技术和管理两个方面，华南理工大学可以和其他高校分享的经验有：

　　1.建立了信息化和网络安全的同步机制，即新建信息化项目整个生命周期都由网信办进行网络安全的指导和检查，这样可及时发现和处理网络安全的隐患；

　　2.分清开发和运行的界面，并分别由两个不同的部门负责，防止开发者获取数据访问的不合理权限；

　　3.完善数据访问的监控和审计，对日志实时进行异地存储，严格管理和定期检查管理员的密码；

　　4.做好数据的异地容灾备份；

　　5.建立应急响应机制。

　　学校正在建立数据中台，拟对校园各专业系统和业务系统数据进行融合，形成主题库，并通过对数据进行封装，以API方式提供给第三方使用，亦即数据中台和应用层是解耦的；

　　如果API不能满足第三方的分析需求，则可以由第三方提供给分析软件，经过测试，放到后台脱敏数据上运行，向第三方输出分析结果，原则上数据不能离开后台提供给第三方。

　　王新：成立安全中心制定相关制度和标准

复旦大学当前采取了以下数据安全相关保护策略：

　　1.信息办成立了安全中心及预研与数据服务中心，梳理制定数据安全相关规章制度和标准等，并进行数据安全日常的管理工作。

　　2.对数据资产进行梳理，对敏感数据进行定位，通过统计访问频次确定访问基线。

　　3.强制要求信息系统在上线之前实施第三方机构的安全渗透测试，明确数据生产、责任、管理、使用主体部门的责任权利。

　　4.在传统安全防护的基础上，对敏感数据实施最小化授权访问，对关键数据进行脱敏处理和加密传输，做好数据安全日志管理和数据审计。

　　5.通过多个渠道定期进行网络安全宣传活动，提升学校管理者和用户的数据安全意识和素养。

　　针对有第三方参与的信息系统，复旦大学在隐私保护方面有如下几项管理措施：

　　1.制定第三方数据保密规范和协议。

　　2.推进信息化应用的网络信息安全等级保护测评，并聘请第三方机构实施安全渗透测试。另外，定期进行管理巡查，修改密码，审计堡垒机日志等。第三方对学校信息数据的采集及应用进行私有化部署，数据原则上不上云。

　　3.数据使用最小化原则，并对隐私信息和特定类型的数据进行脱敏、加密等数据安全保护措施。构建数据安全相关技术平台，提供数据安全相关保护能力。

山东大学在数据安全与隐私保护方面的工作包括：

　　第一，网络安全和信息化的体系建设上，山东大学从组织体系、管理体系、制度体系、应急体系，还包括技术系统，教育培训等方面进行了全方位的顶层设计。

　　第二，在梳理好安全风险，摸清资产的基础上制定了相应策略。山东大学制定了校级的整体策略和行动指南，细化到从学校层面，到二级单位层面，再到个人层面，都有可指导性可操作性的规范。

　　第三，在制度建设方面，我们主要是做安全检查，目前是信息化部门的专项检查。下一步，我们希望把安全考核做起来，包括网站安全的制度，信息系统管理的制度，与厂商签订相关的安全协议，以及内部数据管理制度等，都要进行完善。

　　此外，加强信息化的安全措施，也就是对技术体系也要形成顶层设计，加强合规性建设。山东大学通过ISO20000和ISO27000体系的认证，将运维管理和安全体系建立起来。此外，我们还实施了像审计、容灾备灾等等技术措施。

　　针对校企合作中的第三方，我们要求和相关合作企业签订保密协议，比如在外部人员进入档案馆工作时，要使用馆内的机器，不能带出去。对于校企合作开发的平台，要坚持自主运维，把底层数据留在学校内，对需要提供给第三方的数据进行脱敏处理等。

葛连升：要制定切实可靠的绩效考核制度

　　首先，数据安全和隐私保护，是整个网络安全和信息化工作的一个组成部分，或者说是很小的一部分。应该对整个网络安全和信息化体系进行顶层设计，包括管理、制度、技术，应急处置、教育培训、考核等各方面，形成一个链条。

　　因为高校的每项工作，其实都不同程度地掌握着师生的敏感信息，都有可能是造成数据安全和隐私问题的隐患。因此，数据安全和隐私保护，一定要纳入网络安全和信息化工作的整个管理体系中，进行全链条、全要素、全过程的管理，这是最核心的部分。

　　第二，要有安全策略和行动指南。有策略，还要有能落地的措施，要有“该怎么做”的具体指导。

　　第三，要通过技术，通过信息化的手段来保障安全。如何将安全策略通过技术，通过系统来实现非常重要。比如安全审计，弱密码禁止等，都可以通过技术去实现。再比如，对外发布信息常常涉及到隐私保护的问题，我们可以在信息发布系统上用技术手段来防止隐私泄露，比如系统会提醒“学生学号不能显示”等。

　　第四，就是要进行相关的教育培训，提升师生员工的安全意识是最重要的，要把网络安全和信息化工作，以及保密工作等一起考虑，统筹管理。在安全观方面，要坚持国家总体安全观，不仅要考虑网络安全，还要统筹各类安全，有“综合安全”的意识。

　　最后，一定要把绩效考核做起来。在数据安全和隐私保护上，已经有法律基础，但如何在高校具体执行，一定要制定详细的规章制度。

来源于：中国教育网络

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。