数字化转型背景下高校数据安全治理探讨

来源：本站 作者：武相军 河南大学信息化管理办公室 发表于：2022.12.30  473浏览

文/武相军河南大学信息化管理办公室主任

摘要：当前，数字化转型风潮云涌，政府、企业和科研院校已然成为这场数字化转型变革的旗手和推动者，但面临的网络安全风险也急剧增加。基于此，高校亟需站在总体国家安全观的高度，综合考虑法律法规、行业规范、学校实际和目标规划等因素，从组织架构、规章制度、安全技术、工具支撑、运营管理、监督检查和应急响应等能力建设出发，建设涵盖数据全生命周期和应用场景的数据安全治理体系，为教育数字化转型保驾护航。

关键词：数字化转型；数据；网络安全；数据安全治理

 

一、背景

党的十九届四中、五中全会确立了数据要素的市场地位。2022年6月，中央深改委第二十六次会议审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》，为进一步释放数据要素价值、激活数据要素潜能指明了方向。大数据、云计算、5G、人工智能、区块链等新一代信息技术的快速发展，正推动高校信息化建设从校园网、数字校园大踏步跨入智慧校园阶段。相对而言，国内高校数据安全治理工作还处于发展探索阶段。大多数高校已经意识到数据安全治理的重要性，也相应地制定了一系列管理制度，采取了必要的技术防护手段，但还远远不够。新冠病毒全球传播、VR的广泛采用、自然环境恶化、国际形势剧变等，又给高校信息安全增加了新挑战。当前高校数据安全治理面临的困难与挑战粗略归结如下：

1.学校决策层对数字化转型重视不够

尽管大家普遍认识到了信息化建设的重要性，但高校决策层并没有将数字化转型提升到学校高质量发展的战略高度，没有把数字化建设作为高校发展的关键基础和发展引擎。信息化部门缺少大学数据治理方面的研究，在建设管理过程中偏重信息技术本身，缺少管理信息化顶层设计能力，未形成多部门联商联建机制，建设成果远低于师生真实预期。

2.缺乏职责清晰、统一的数据治理监控管理体系

在数据治理工作中，有些部门对本应由自己部门产生和维护的数据疏于管理，尤其是业务管理范围重叠的数据，涉及的部门都不愿意管理；公共数据平台的缺乏导致师生不得不在多个系统重复填报同一数据，增加了师生负担。跨部门的数据共享交换及沟通管理机制亟待完善。有些部门缺少相互协作、数据共享的理念，没有认真考虑从源头上解决数据质量问题，自立山头，造成重复建设、无效建设。甚至有些强势部门脱离学校信息化建设总体规划，不与其他部门发生联系，形成新的“数据孤岛”。

3.数据安全产品和机制导致面临新挑战

当前技术创新主要侧重网络安全产品而非数据安全应用产品，旧的数据安全产品功能单一、缺乏普适性，数据安全技术尚无突破性进展，新的数据安全产品技术不够成熟。现有的数据共享、备份机制不健全，在数据静态存储和动态传输过程中存在数据泄露的风险，数据安全面临挑战。

4.环境变化和经济社会发展变革带来新挑战

新冠病毒的全球大流行，线上远程工作的常态化，导致传统校园的信息安全边界消失，基于个人终端的云安全成为信息安全的新问题；随着个人设备的激增与在线远程工作时长的增加，个人数据隐私的保护愈加重要；师生更多通过各类移动终端、不同网络服务使用各类应用，其信息行为不再局限于校园网，大大延伸了信息安全需要监控和保护的范围；如何在经费紧张、控制预算的情况下满足不断提升的信息安全要求；当前国际关系波谲云诡，各国都在利用信息技术和社交媒体提升全球政治影响力，网络社交媒体上虚假视频、谣言、蛊惑性言论等被广泛传播，高校对此类信息活动的安全防护能力不足等。

二、数据安全治理对策

在后疫情时代，数字化转型将是一种新常态，数字化技术实现相对容易，最关键的是高校对数字化转型的重视度和执行力。数据安全治理能力建设绝不是单纯意义上的单一产品或平台的构建，而是需要在详细分析国家法律法规、行业规范、学校现况、建设目标等基础上，从决策到技术、从制度到工具、从组织架构到安全技术进行综合考虑，从而构筑涵盖数据全生命周期和应用场景的数据安全体系。

1.推动全校上下形成共识，建立完善数据治理机制

数据治理绝非某个部门的事情，而是涉及学校所有单位，需要学校决策层、各部门和各基层单位达成共识、合力推进。从组织制度层面来讲，需要成立由校长或者主管副校长牵头的校级网络安全和信息化建设领导小组，信息化建设部门具体负责数据标准的制定、统筹实施和数据中心的建设运维，各业务部门和基层单位负责各自业务范畴的数据维护和流转，须对学校发布的数据标准、数据确权、数据资产管理和数据安全等相关规章制度切实执行落实。需要特别强调的是，各相关业务部门需依据学校制定的数据标准等有关制度，全面整理完善现有数据，从源头上保障数据质量，这关乎后续的数据是否可有效共享。

2.构筑数据全生命周期安全治理体系

数据从采集、处理、存储、传输、交换到销毁构成了一个全生命周期，需要利用内容分析、密码、数据防泄露、数据脱敏和安全审计等安全技术，充分保障每个阶段的数据安全。

（1）数据采集安全

利用关键字匹配、内容识别等技术对系统产生或采集到的数据进行识别和分类分级标识，建设数据质量监控系统，加强对数据质量的控制，提升数据分类分级管理效率和可利用率。

（2）数据处理安全

在数据处理阶段，通过建设统一的个人用户账号权限管理系统，确保师生个人在授权范围内使用数据资源；借助数据脱敏、防泄露技术，防止侵犯个人隐私和秘密等；建设异常行为监测、综合日志管理与审计系统，保障数据合理使用和用户行为追溯。

（3）数据存储安全

通过建立数据加密存储机制，数据复制、备份与恢复机制，数据库运维审计机制，在线/离线多级数据归档架构等，保障存储数据的机密性、完整性和可用性，预防敏感数据泄露、重要数据被破坏和丢失等风险。

（4）数据传输安全

充分利用加密、签名、认证等多种技术手段对传输的数据和信道进行安全防护，保障传输信道的可靠性，实时查看数据传输时的安全策略实施情况，防止传输过程中可能引发的敏感数据泄露、数据篡改、数据发送方和接收方对身份的抵赖等风险。

（5）数据交换安全

通过建立边界安全防护机制和数据交换实时监控平台，充分利用访问控制、数据加密、数据脱敏、日志记录等安全防护技术，确保数据共享与交换的合理合规和安全。

（6）数据销毁安全

依据数据销毁有关要求，规范执行数据销毁工作，确保以不可逆方式将磁盘等存储介质中的数据及其副本内容永久删除、不可恢复。

3.构建以数据为中心的安全治理体系架构

数据安全治理不简单是一套有各类安全工具组合的产品级解决方案，而是涵盖了组织体制、管理制度、技术架构、工具支撑等自上而下贯穿整个组织架构的完整链条。因此，我们需要构建以数据为中心的全方位数据安全治理体系，在数据安全、风险可控的基础上实现数据增值和自由流转。为构建以数据为中心的数据安全治理体系，全面提升数据安全治理能力，实现途径如下：

（1）组织机构建设

建立由决策层、管理层和执行层组成的数据安全组织机构，明确职责，推动数据安全工作持续、有序、稳定地开展。

（2）制度规范建设

基于法律法规、学校重要信息防护需求及风险现状，准确定义数据安全管理内容和数据分类分级，明确工作职责和工作要求，建立健全数据安全管理制度和规范流程，使数据安全工作有章可依，责任落实到人。

（3）技术防护能力建设

安全技术是数据安全的重要基础，利用设备系统安全技术、态势感知、数据加密、数据泄露防护、权限管控、认证与访问控制、综合日志与审计等安全技术手段，强化数据全生命周期的安全监测和风险预警，筑牢数据安全防线。

（4）运营能力建设

结合业务场景，利用数据资产管控技术，构建良性数据共享交换机制，提升数据质量，数据流转更清晰、管理权责更明确。建立与数据安全策略一致的安全保护机制，维护和管理数据资产。对数据资产面临的内部风险和外部威胁持续安全监控，确保能够准确检测到异常和事件，并第一时间验证保护措施的有效性。

（5）监督检查体系建设

安全管理部门要定期对数据全生命周期的安全管理情况进行监控与审计，并对各业务部门和基层单位数据安全落实情况进行现场或远程监督检查，核查落实情况，不断完善预警通报、安全监测和综合评价体系。

（6）应急响应体系建设

充分挖掘校内外人才资源，组建安全专家队伍和支撑力量，常态化开展攻防演练、应急演练和全员安全培训，持续提升网络安全应急处置能力。

三、结束语

随着“新基建”和新一代信息技术应用创新的快速发展，我国数字化转型进入关键期，国家将数据定为重要生产要素，充分彰显了数据在社会经济发展中的重要地位和数据安全治理的迫切性。在数字化转型背景下，为全面提升高校数据防护能力和管理水平，须不断完善数据治理机制建设，在构建数据全生命周期安全治理体系的基础上，建设完善以数据为中心的安全治理体系架构，赋能高校数字化治理和高质量发展。