随着《个人数据保护法》于8月20日正式获得通过,及《数据安全法》于9月1日起实施,如何更好地保障高校数据安全再次成为业界关注热点。
接受《中国教育网络》杂志采访时,海南师范大学党委委员兼信息网络与数据中心主任、华东师范大学信息化治理委员会秘书长沈富可表示,高校数据安全防护没有最好,只有更好。高校“十四五”规划除了进一步明确建立高校数据安全和隐私保护体系的重要性之外,技术上要搭建一个“开放、安全、可扩展的信息化基础框架”。
沈富可
海南师范大学党委委员兼
信息网络与数据中心主任(挂职),
华东师范大学信息化治理委员会秘书长
数据安全防护没有最好,只有更好
《中国教育网络》:如果让您为当前国内高校数据安全防护总体情况作个评价,满分为10分,您打多少分?为什么?
沈富可:我个人认为可以评7分。目前,关于高校数据安全的保障意识正逐步形成,硬件条件普遍提升,各类云服务解决方案为用户提供了多种选择等,为保障高校数据安全创造了很好的条件。
但与此同时,由于数据安全涉及的主体除了信息中心、合作伙伴外,还有业务部门、院系、师生用户等,要做好数据安全工作,需要明确各个相关主体的职责,各方都要承担起自己的责任。在这方面,目前多数高校还难以做到。
此外,随着安全威胁的变化,安全机制、技术措施需要不断调整以及时应对新的挑战,从这个角度而言,高校数据安全防护没有最好,只有更好。
《中国教育网络》:国内外经常有高校隐私信息被窃取或泄露事件发生,您认为此类事件高发的原因是什么?
沈富可:类似事件频发,我认为可能主要还是安全意识和技术方面原因。
但我想强调的一点是,很多高校不太重视信息化队伍的建设问题。这支队伍除了有相当数量的信息化技术人才之外,还要有一定数量的教育、传媒等相关学科背景人员,能够将一个技术问题说清楚并推介出去,让普通用户理解、接受。
举例而言,关于安全、隐私保护,很多同行都比较为难的是用户安全防范意识跟不上。其实,一个普通用户在未遭受数据泄露损失之前,一味强调便捷、方便是可以理解的。
如何通过举例与演示培养用户建立起“方便”往往是一种安全威胁的观念,让用户理解安全与方便是需要权衡的,并形成一种习惯,这是需要信息化团队花心思认真谋划的。
《中国教育网络》:在您看来,目前高校数据安全防护的难点和挑战主要有哪些方面?
沈富可:目前高校数据安全防护的难点和挑战还有很多。
首先是理念层面,数据是学校的重要资产,数据安全威胁就意味着所在学校的资产威胁,甚至还会涉及学校的舆情、意识形态安全等更复杂的问题。
因此,高校领导、信息化部门、业务部门等都应重视数据安全工作,只有认识到其中的重要性,才会共同想办法解决问题。
其次是制度层面,要制订符合学校实际的一整套制度、规定,明确技术部门、业务部门、院系、师生用户和合作伙伴等的职责权限,及如何在保障数据安全的前提下充分共享等。
此外,数据安全并不止于出台针对“人”的“物理空间”范围的管理规定,因其还涉及“数字空间”范围各个主体之间的交互,需要有一整套的数据采集、存储、处理、使用、归档处置等标准规范,以解决“人—机”、“机—机”、“人—人”的有序交互问题。
最后是技术层面,一所学校的数据安全需要一套与所在学校的上述制度、标准等相适应的技术设施来支撑和配合,并且需要一个具有一定规模的强有力的信息化团队作为保障。这个团队既要有信息安全前瞻技术研究能力和技术实施“落地”保障能力,还要有在校内推介、培训的能力。
如何实现全方位数据保护?
《中国教育网络》:数据安全的基础工作之一是对数据进行分级分类,请问在高校进行数据分级分类的依据、策略各是什么?具体如何实现?
沈富可:具体到学校数据的分级分类,我认为,首先要明确高校数据的权属关系,也即具体数据的归属,谁有支配权,谁有权使用等。对于隐私数据应该坚持“最大量”保护原则,而针对公共数据应该坚持“最大程度”开放共享原则,来发挥共享增值的作用。
因此,数据分级分类的依据就是确定数据的权属关系、明确数据安全保密要求、明晰数据开放共享范围,以及上述关系、要求、范围的时效性问题。
数据分级分类是一个动态变化的持续性工作,需要根据安全威胁、学校管理流程、职能部门定位、决策支持的要求等变化进行持续调整。这个工作只有开始没有结束,“永远在路上”。
关于分级分类的策略,我更强调数据的质量问题。我理解,经过数据的汇聚共享,虽然用户更多了,但是数据的质量责任主体没有变。
例如,学生的成绩数据虽然已汇集到数据中心,但是其权威部门依然是教务处,学生成绩数据的质量责任依然由教务处负责。
至于具体的策略和技术方面的实现,可基于角色的授权(RBAC)、基于属性的授权(ABAC)和基于策略的授权(PBAC)等,要根据各学校的具体情况,技术方案配合其策略机制分别实现,并不断调整。
简单归结为一句话:“做好顶层设计,动态更新,融入各自日常工作常态,技术为安全制度、规范服务”。
《中国教育网络》:在数据安全中,很重要的一个方面是隐私保护。但目前为止,由于缺乏明确定义,不同的高校对于隐私可能有不同的解读,请问您如何理解高校隐私信息的内涵?
沈富可:要理解高校隐私信息的内涵,首先应了解之所以分离隐私信息,是为了促进共享,而共享的目的是为了“信息公开”和“倒逼服务”,共享的对象范围不止于个人、业务部门和学校层面,还应考虑社会、国家等层面。在此基础上来谈隐私的范围和分级分类保护才有意义。
不要绕坎,要面对问题
《中国教育网络》:当前海南师范大学采取了哪些数据安全相关保护策略?
沈富可:海师大在保障数据安全方面所做工作包括:
在制度层面,出台了《海南师范大学信息安全总体方针》《海南师范大学网络安全管理制度》《海南师范大学信息安全管理体系职责》等一系列制度。
以及更具体的,如《海南师范大学信息安全产品采购、使用管理制度》《信息网络与数据中心人员安全管理制度》等。但相关制度建设目前刚起步,还谈不上有可借鉴的成果。
除了上述制度办法,海师大长期致力于加强人才队伍的建设。一个符合所有信息化(包括数据安全工作)要求的具有一定开发能力的信息化团队是非常重要的,人才是使顶层设计能够落地实现的根本。
此外,在技术保障机制上,海师大也做了一些有益的尝试。学校的信息化团队搭建了包括基础数据在内的信息化基础底座,封装了包括认证、授权、连接、交互、可信等基础服务的API。
由学校的团队负责运维支持,职能部门、社会力量等第三方合作伙伴可以在有限范围内授权使用特定数据,避免了数据泄露风险,这个框架和模式的搭建与维护,形成了海师数据“以我为主”、有限授权访问的机制,尝试从根本上解决多主体安全机制,正在逐步形成自主可控、可持续、可伸缩的数据安全发展模式。
《中国教育网络》:针对校企合作中第三方对学校信息数据的采集及应用,海师大是如何保护隐私信息的?
沈富可:高校信息化广泛涉及各个业务部门、院系、个人等,其涵盖的内容又涉及教学、科研、管理和服务模式的创新,以及学校的内涵发展,既要有宏观支持,也需要非常具体的细节支持。建设过程中涉及的参与主体也非常多,各个高校的信息化团队、业务部门和第三方合作伙伴的分工协作情况不尽相同。
海师大建设的信息化基础底座是一个“安全的、可扩展的信息化中间件”,作为信息化建设的基础支撑,封装了包括认证、授权、连接、交互、可信等基础服务的API,其中涵盖统一身份认证、授权以及日志记录等支撑信息化建设的基础服务,提供基础服务访问标准、接口。基于该底座,无论是支持学校教学、科研和管理决策,还是和第三方展开合作,都能够最大限度保障数据安全,保护个人隐私。
《中国教育网络》:安全问题是“十四五”绕不过去的“坎”,您认为高校在“十四五”规划中应如何建立数据安全和隐私保护体系?
沈富可:我的建议是不要绕坎直面问题,解决问题,也即所谓的“问题导向”。
首先要分析之前信息安全、信息化建设中存在的问题以及这些问题背后的原因。同时面向未来五年,给出针对性的对策及措施,不回避问题,也不好高骛远,实事求是,一步一个脚印,“坎”一个个克服,信息安全的问题才能骊决,十四五目标才能实现。
其次,基于海师大的建设经验,我建议高校“十四五”规划除了进一步明确建立高校数据安全和隐私保护体系的重要性之外,技术上要搭建一个“开放、安全、可扩展的信息化基础框架”,为高校业务部门、院系、用户的信息化建设和应用提供安全支撑,并重视信息化队伍建设,加强信息安全的培训等。
教育网记者、责编:郑艺龙