今年3月，教育部發布《關于加強新時代教育管理信息化工作的通知》，提出加快教育行業以數據為驅動力，利用新一代信息技術提升教育管理數字化、網絡化、智能化水平的建設。目前，多數高校已完成信息管理系統和公共數據平臺建設，并圍繞教育數據的共享、挖掘和利用開展多維度的創新工作，但隨著教育數據價值的提高，數據安全威脅與挑戰也日趨嚴重。

高校亟待提升數據安全防護力

我國高校信息化建設已歷經40余年發展，但一直以來，數據安全在高校傳統認識中，仍是網絡信息安全的組成部分，絕大部分學校對數據安全工作缺乏重點關注，加之信息系統在建設初期缺少頂層的標準規范以及在數據安全方面考慮不足，導致當前高校數據安全能力普遍不高。

無論是2016年徐玉玉案、2018年常州大學懷德學院大規模學生信息泄露案，還是2020年的鄭州西亞斯學院近兩萬名學生信息遭泄露事件，我國高校數據安全事件屢見不鮮。

2020年，全國人大常委會先后發布了《數據安全法（草案）》和《個人信息保護法（草案）》，今年6月10日，《數據安全法》表決通過，很好地填補了國內數據安全根本法律的空白，同時一系列地方法規和行業標準等相繼出臺也表明國家和行業監管層面對數據安全的保護要求日趨嚴格。

目前，大多數高校已逐步意識到數據安全與個人隱私保護的重要性，并制定了相關的安全制度，采取了一定的技術防護手段，但這遠遠不足以消除現有隱患。日趨嚴格的合規要求下，高校數據安全尚存諸多風險：

●數據資產不清

高校數據資產數量眾多，且散落在校園內各個信息系統中，摸清資產家底，進行數據分類分級成首要任務。但目前，高校缺少統一的分類分級標準，人才、技術、方法支撐不足，且高校在數據分類分級過程中 “先梳理現有數據，再結合人工方式進行分類分級”的思路，這種方式既不夠全面，又效率低下、周期長，且主觀性比較強。

●數據管控手段弱

由內部導致的數據泄露事件連年升高，不少高校仍靠流程、制度約定，缺少相應的技術手段進行管控。以第三方運維人員、研發人員、數據庫管理員為例，由于過粗的管理顆粒度，這些特權用戶可以通過超級賬戶直接訪問核心敏感數據庫，造成數據盜竊、職工賄賂和售賣信息倒賣、運維人員報復性/誤刪除操作事件，影響惡劣。

●外部風險防護手段弱

高校個人和科研信息價值不斷瘋長，也引起外部威脅的覬覦，近年來黑產猖獗，以竊取和篡改數據為目的的攻擊日趨增加，攻擊手段有系統漏洞、SQL注入、勒索病毒、采用社會工程學撞庫等等，技術復雜性和攻擊隱蔽性越來越高，防范難度越來越難。

●數據共享難平衡

隨著越來越多高校建立統一數據共享交換平臺/大數據平臺，在數據采集階段，是否存在過度收集？在數據交換共享階段，數據面臨不同角色、不同部門、不同單位的獲取，是否存在轉售、轉賣行為？是否存在違規使用？在數據安全保護與開放獲取的博弈中，這無疑是高校又一個迫切需要解決的新問題。

5●數據上云的泄露風險

伴隨著互聯網+教育的進程的加速，特別是本次新冠疫情期間，大量在線教育模式的應用，越來越多高校也在探索教育上云，因此大量的教育數據正在往云端遷移，但上云意味更多風險的發生，數據以明文方式保存, 平臺自身漏洞、以及云端數據被超級權限DBA 訪問，都極易導致數據被竊取，防止云數據丟失和泄露以及對訪問授權進行規范管理，高校需要采取更為有效的防御手段。

二“三力五步”落地高校數據安全建設

針對高校數據安全建設當前面臨的問題難點，美創科技經過多年在數據安全治理的專注研究和探索實踐，以“三力五步” 落地高校數據安全建設體系。

●三大數據安全能力

美創科技在實踐整個數據安全治理體系建設過程中，貫通數據安全咨詢能力、數據安全架構能力、數據安全技戰能力三類能力，從現狀梳理、風險評估，再到數據安全架構與產品技術保障，美創提供一站式數據安全能力建設服務，幫助高校用戶依據《中華人民共和國數據安全法》要求建立健全數據安全治理體系，提高數據安全保障能力。

1.  數據安全咨詢能力：采用敏捷咨詢規劃和方案設計，幫助高校從組織、制度、技術、人員四個維度厘清數據安全現狀、差距和風險，為數據安全建設奠定基礎。

2.  數據安全架構能力：結合前期咨詢所獲結果，規劃數據安全整體建設架構，制定符合組織戰略的數據安全架構，同時根據實際情況制定短期、長期建設規劃。

3、數據安全技戰能力：不僅涵蓋數據全生命周期技術工具，還包含安全設計、制度建設、人員能力提升等，根據數據安全體系架構，有計劃提升數據安全治理能力。

●五大建設實施步驟

基于多年沉淀，美創從明現狀、立組織、定制度、建標準、訂規劃五個方面幫助高校建立健全數據安全治理體系，助力高校具備保障持續安全狀態的能力。

■ 1、 現狀梳理：

基于組織現狀完成其數據資產梳理、數據分類分級、基于現狀完成數據安全風險評估，為數據安全建設提供奠定基礎。

厘清資產家底，進行分類分級：通過調研訪談、文件分析、工具探查，多維度了解數據資產，明確數據資產構成、特征、范圍及流轉情況。根據國家行業標準及組織實際情況，對數據進行分類定級?；谧匝械陌禂祿l現和分類分級系統，實現數據掃描、識別、定位、解析、分析、分類，同時為用戶生成完整、全面、直觀的可視化發現報告（包括：數據分級分類報告、數據質量報告、數據資產報告等），讓用戶更快、更全地認識數據。

安全風險評估，識別合規情況：從兩大視角出發，按照風險分析的方法，分析組織內數據相關活動或數據資產所存在的安全風險，以生成數據資產的全面風險清單和風險預估、并基于評估結果給出風險處置建議的服務方案。

■ 2、 組織構建

依據數據安全法要求，幫助高校用戶建立健全數據安全團隊組織，明確數據安全責任人及具體責任要求，包括部門職責與人員角色確定，以及動態協同機制。如：在了解部門信息，明確敏感信息組成、特征、范圍及流轉情況的基礎上，建設完善的動態協同機制，明確數據訪問人員、數據生產人員、數據維護人員等目標對象，對于數據資產使用角色進行規范限定。

組織合規框架示例

■ 3、 制度建設

根據數據安全治理的內容，建立相應的流程，以及組織數據安全治理的制度規范，如規章制度、管控辦法、獎懲機制、技術規范等制度建設，為數據安全管理和保障提供依據。

目前數據安全教育已成為安全建設中不可或缺的內容，美創在深度研究國內外法律法規、政策標準、行業發文等基礎上，形成矩陣式的數據安全教育培訓內容，并根據組織具體情況提供針對性宣貫和培訓，覆蓋數據安全基礎、安全意識、安全技術、安全事件、合規解讀等多個方向。

■ 4、 標準制定

數據安全法規定“相關行業組織按照章程，依法制定數據安全行為規范和團體標準，加強行業自律?！泵绖摽萍紖⑴c多項國家、行業數據安全標準制定工作，可協助高校進行內部數據安全標準規范的制定

■ 5、 安全建設規劃

以業務需求為導向，設計數據安全規劃路徑，進行階段性、體系化的安全建設，包括數據內控合規、數據全域可管、數據全局可視，整個防護體系，覆蓋數據全生命周期管控、風險控制和資產保護，幫助組織建立數據安全能力。如：

1、 數據內控合規建設：

基于法律法規及數據分類分級結果，采用敏感數據發現、數據分級分類、數據動/靜態脫敏、數據庫日志審計、權限管控和數據資產保護、身份鑒別（人、終端、應用）、高危操作防護、訪問控制、特權管理等產品技術手段，加強內部安全管控。

2、 數據全域可管

基于現有網絡安全和內控安全保障體系，防御外部和數據流動風險，采用入侵防護、漏洞防御、訪問控制、誤操作恢復、數據加密、溯源管理、數據加密等技術，通過數據安全管理平臺整體實現數據全域管理。

3、 風險全局可視

基于數據安全管理平臺，對各類數據安全產品進行統一管理，從全局視角提升對數據安全威脅的發現識別、理解、分析和響應能力，實現資產全域可管、風險全域可視、策略全域聯動，充分盤活用戶整體數據安全防護能力，最終實現有序、快速響應的數據安全運營能力。

——本文為成都市教育城域網 2021年主任工作會美創科技資深數據安全顧問王彥翔分享《高校數據安全建設賦能—數據安全法之下的建設路徑》演講紀要