目前，國內大多數高校都逐步意識到數據安全保護的重要性，并制定了相應的管理制度、采取了必要的技術防護手段，在數據安全保護工作上有了一定基礎。想了解不同高校是如何推進數據安全保護嗎？它們又是如何制定規劃與策略的？一起來聽聽主任們怎么說。

數據安全保護策略

　　不同的高校具有不同的實際情況，在數據安全和隱私保護方面的措施、進展程度以及側重點各有不同。但可以肯定的趨勢是，學校越來越重視數據安全，并逐漸加大投入力度。

　　陸以勤：開發和運行分開進行，防止不合理權限

　　數據安全涉及很多方面，總的來說分為技術和管理兩個方面，華南理工大學可以和其他高校分享的經驗有：

　　1.建立了信息化和網絡安全的同步機制，即新建信息化項目整個生命周期都由網信辦進行網絡安全的指導和檢查，這樣可及時發現和處理網絡安全的隱患；

　　2.分清開發和運行的界面，并分別由兩個不同的部門負責，防止開發者獲取數據訪問的不合理權限；

　　3.完善數據訪問的監控和審計，對日志實時進行異地存儲，嚴格管理和定期檢查管理員的密碼；

　　4.做好數據的異地容災備份；

　　5.建立應急響應機制。

　　學校正在建立數據中臺，擬對校園各專業系統和業務系統數據進行融合，形成主題庫，并通過對數據進行封裝，以API方式提供給第三方使用，亦即數據中臺和應用層是解耦的；

　　如果API不能滿足第三方的分析需求，則可以由第三方提供給分析軟件，經過測試，放到后臺脫敏數據上運行，向第三方輸出分析結果，原則上數據不能離開后臺提供給第三方。

　　王新：成立安全中心制定相關制度和標準

　　復旦大學當前采取了以下數據安全相關保護策略：

　　1.信息辦成立了安全中心及預研與數據服務中心，梳理制定數據安全相關規章制度和標準等，并進行數據安全日常的管理工作。

　　2.對數據資產進行梳理，對敏感數據進行定位，通過統計訪問頻次確定訪問基線。

　　3.強制要求信息系統在上線之前實施第三方機構的安全滲透測試，明確數據生產、責任、管理、使用主體部門的責任權利。

　　4.在傳統安全防護的基礎上，對敏感數據實施最小化授權訪問，對關鍵數據進行脫敏處理和加密傳輸，做好數據安全日志管理和數據審計。

　　5.通過多個渠道定期進行網絡安全宣傳活動，提升學校管理者和用戶的數據安全意識和素養。

　　針對有第三方參與的信息系統，復旦大學在隱私保護方面有如下幾項管理措施：

　　1.制定第三方數據保密規范和協議。

　　2.推進信息化應用的網絡信息安全等級保護測評，并聘請第三方機構實施安全滲透測試。另外，定期進行管理巡查，修改密碼，審計堡壘機日志等。第三方對學校信息數據的采集及應用進行私有化部署，數據原則上不上云。

　　3.數據使用最小化原則，并對隱私信息和特定類型的數據進行脫敏、加密等數據安全保護措施。構建數據安全相關技術平臺，提供數據安全相關保護能力。

　　葛連升：摸清資產，梳理風險，制定策略

　　山東大學在數據安全與隱私保護方面的工作包括：

　　第一，網絡安全和信息化的體系建設上，山東大學從組織體系、管理體系、制度體系、應急體系，還包括技術系統，教育培訓等方面進行了全方位的頂層設計。

　　第二，在梳理好安全風險，摸清資產的基礎上制定了相應策略。山東大學制定了校級的整體策略和行動指南，細化到從學校層面，到二級單位層面，再到個人層面，都有可指導性可操作性的規范。

　　第三，在制度建設方面，我們主要是做安全檢查，目前是信息化部門的專項檢查。下一步，我們希望把安全考核做起來，包括網站安全的制度，信息系統管理的制度，與廠商簽訂相關的安全協議，以及內部數據管理制度等，都要進行完善。

　　此外，加強信息化的安全措施，也就是對技術體系也要形成頂層設計，加強合規性建設。山東大學通過ISO20000和ISO27000體系的認證，將運維管理和安全體系建立起來。此外，我們還實施了像審計、容災備災等等技術措施。

　　針對校企合作中的第三方，我們要求和相關合作企業簽訂保密協議，比如在外部人員進入檔案館工作時，要使用館內的機器，不能帶出去。對于校企合作開發的平臺，要堅持自主運維，把底層數據留在學校內，對需要提供給第三方的數據進行脫敏處理等。

　　侯孟書：定期開展安全自查，加強意識培訓

　　電子科技大學在數據安全和隱私保護方面的工作包括：

　　1.制定相關規章制度，按照“誰主管誰負責、誰采集誰負責、誰使用誰負責”的原則，規范數據的采集、存儲、使用、審核發布與共享；

　　2.加強技術手段監督與管理，具體包括機房物理安全管理、網絡與主機安全防護、數據備份與冗余機制、強制SSL證書實現網頁數據加密、統一身份認證訪問控制管理、采取動態應用防護手段監測數據庫異常訪問、拖庫等行為；

　　3.定期開展安全自查，加強安全意識培訓。關于數據安全的檢查項包括：數據庫權限配置、數據查詢方式、身份認證與訪問控制策略、密碼復雜度、敏感數據加密存放等。

　　學校目前主要從管理和技術兩個層面保護隱私信息。

　　首先在管理層面，實行數據共享實行審批制度，并與第三方簽訂保密協議規范操作過程，以保護隱私信息。

　　1.數據共享實行審批制度。由責任人提出申請，按要求填寫信息或數據的應用場景和范圍，經過相關部門負責人逐層審批后，才能共享數據。

　　2.簽訂保密協議并規范操作過程。學校和第三方企業、平臺簽訂保密協議，從數據保密義務和數據安全管理等層面進行操作規范約束。明確維護人員的責任和義務，防止數據泄露。

　　其次在技術層面，通過實行數據唯一的交互方式、數據最小化授權原則、數據最小化存儲原則和數據安全接口控制，以保護隱私信息。

　　1.數據唯一的交互方式。第三方系統、平臺或校內自建應用系統的數據交互只能通過數據共享平臺，不允許應用系統之間的直接對接。

　　2.數據最小化授權原則。在數據共享授權時，根據應用的自身需求，實行最小化原則。

　　3.數據最小化存儲原則。數據共享平臺有兩種數據對接方式——ETL和API。若無特別的應用需求，如選課等并發量較大的具體應用場景，均選擇API的方式進行數據交互。

　　4.數據接口安全控制。不同應用系統訪問的數據接口不同，每個接口配置數據權限及ACL訪問策略，并且訪問時需進行身份校驗和核查。

　　劉昕：部署華中地區高校首個數據泄露防護系統

　　武漢大學非常重視數據安全。首先，在物理安全方面，2011年就建設了數據中心各數據庫的數據容災和容災集群，2018年又升級了數據中心軟硬件系統，2019年更新了數據中心災備系統，通過Web方式管理和監控容災情況，實現了數據備份的集中管理和可靠恢復。

　　其次，在數據訪問方面，為了做好個人敏感信息的保護工作，2020年部署了華中地區高校首個數據泄露防護系統。系統上線運行后，監測到多起敏感信息泄露，我們提前進行了有效處理。

　　第三，對數據的訪問也制定了一系列規范，通過IP限制，訪問方式限制等方式，最小化可以直接訪問數據庫的設備。并根據使用者的范圍、使用場景等開放使用授權。目前，我們正在推進人員和機構管理系統，就是要把學校師生員工和崗位梳理清楚，從而對應數據的使用權限。同時，我們會以一定的方式對數據進行“脫敏”后才提供使用。

　　在制度建設層面，2020年出臺《武漢大學數據資源管理辦法》，由信息中心負責數據中心的數據安全保障，根據網絡安全等級保護要求明確各類數據的安全級別，并建立相應的安全管理制度和技術保護方案，對數據操作實行痕跡管理。

　　此外，在和第三方合作過程中，我們采取以下措施來保護隱私信息：

　　1.要求參與學校信息化建設的第三方，均須嚴格保障所涉及的數據安全。凡涉及重要數據信息的，須與信息中心簽訂《數據安全責任保證書》，同時也在合同中規定如出現任何可能導致數據安全的違規操作，學?？勺肪科浞韶熑蔚臋嗬?。

　　2.重要系統要求本地化部署。

　　3.系統上線試運行前，先進行初步檢測，包括漏洞掃描，弱密碼檢測等。

　　4.第三方在前期部署和后期運維時，要求通過VPN，并經過堡壘機審計。

　　5.部署威脅感知系統，主動發現安全威脅。

從頂層設計出發規劃數據安全

　　如何建立高校數據安全和隱私保護體系？這是各高校在進行信息化規劃時無法回避的問題，那么“十四五”期間學校應重點關注哪些方面？

　　陸以勤：應用層和數據層應該進行解耦

　　“十四五”期間，高校數據將會海量增加，除了業務系統的數據，還有大量物聯網數據和各類智能化系統的數據，如網絡系統、樓宇自動化（BA）系統、安保系統、一卡通系統、能源管理系統、智慧課室、位置數據等，對這些數據的有效應用可以提高學校的核心競爭力，因此這些數據將形成學校的核心資產，而如何保證這些核心資產的安全是一個基礎的課題。

　　在整個智慧校園的框架結構中，應該有一個數據處理的技術層面，包括數據的清洗、分析、存儲、關聯、融合、使能和安全；而應用這些數據資產則是另外一個技術層面的問題，一般可稱之為應用層。

　　為了保證數據安全和應用的方便，應用層和數據層應該進行解耦，就是應該有一個數據中臺，對數據進行封裝、脫敏或者解密保護，避免原始數據直接被推出使用。

　　侯孟書：提升面向新技術的數據安全防護能力

　　學校應依據國家和教育部出臺的相關法律法規，結合學校實際情況，從基礎設施安全、平臺運行安全、數據安全、隱私安全等多個層次出發，提供立體化的安全防護手段，包括數據備份與恢復、訪問控制與鑒別、數據加密與隔離、敏感數據識別與數據脫敏等，實現學校數據在存儲、交換、計算、應用中的安全防護和隱私信息保護。

　　首先，健全數據安全和隱私的保護機制。制定高校數據安全管理辦法、數據分級分類管理辦法、數據開放共享標準、網絡安全應急處理辦法等規章制度，建立數據安全和隱私保護的問責機制，形成學校統一、自上而下的數據安全和隱私保護鏈條。

　　其次，提升面向新技術的數據安全防護能力。隨著云計算、大數據分析、5G等新技術的應用，給傳統的數據安全和隱私保護帶來了挑戰，學校應采取數據備份、數據加密、數據脫敏和細粒度訪問控制等措施，加強數據安全和隱私保護能力。

　　第三，加強數據安全教育和師生隱私保護素養培訓。安全問題，三分技術七分管理，因此，應加大數據安全與隱私保護方面的宣傳，不斷提升高校師生的信息化素養。

　　葛連升：要制定切實可靠的績效考核制度

　　首先，數據安全和隱私保護，是整個網絡安全和信息化工作的一個組成部分，或者說是很小的一部分。應該對整個網絡安全和信息化體系進行頂層設計，包括管理、制度、技術，應急處置、教育培訓、考核等各方面，形成一個鏈條。

　　因為高校的每項工作，其實都不同程度地掌握著師生的敏感信息，都有可能是造成數據安全和隱私問題的隱患。因此，數據安全和隱私保護，一定要納入網絡安全和信息化工作的整個管理體系中，進行全鏈條、全要素、全過程的管理，這是最核心的部分。

　　第二，要有安全策略和行動指南。有策略，還要有能落地的措施，要有“該怎么做”的具體指導。

　　第三，要通過技術，通過信息化的手段來保障安全。如何將安全策略通過技術，通過系統來實現非常重要。比如安全審計，弱密碼禁止等，都可以通過技術去實現。再比如，對外發布信息常常涉及到隱私保護的問題，我們可以在信息發布系統上用技術手段來防止隱私泄露，比如系統會提醒“學生學號不能顯示”等。

　　第四，就是要進行相關的教育培訓，提升師生員工的安全意識是最重要的，要把網絡安全和信息化工作，以及保密工作等一起考慮，統籌管理。在安全觀方面，要堅持國家總體安全觀，不僅要考慮網絡安全，還要統籌各類安全，有“綜合安全”的意識。

　　最后，一定要把績效考核做起來。在數據安全和隱私保護上，已經有法律基礎，但如何在高校具體執行，一定要制定詳細的規章制度。

相關內容：

>>眾議：高校數據隱私保護挑戰與規劃