高校数据安全，需牢牢把握三个关键

针对高校数据安全现状和主要问题，如何做好数据安全建设？美创科技认为需要技术和管理双管齐下，以数据分类分级为起点，以管理制度为依据，在具体建设过程和环节中，充分利用和发挥好各种关键技术的作用，分段实施，体系规划，逐步构建覆盖数据全流程、全链路的数据安全防护技术体系，最后构建数据安全运营体系，实现数据安全的持续优化和提升。

分类分级是建设基础

经过多年信息化建设，高校已积累了规模庞大的数据资产，且涉及的信息量及群体规模十分复杂，数据资产有哪些？怎么分布？有哪些类型？借助技术手段摸清资产家底，进行数据分类分级成为数据安全建设的首要任务。

高校应结合法律法规、部门规章、行业标准（如：《教育部等七部门关于加强教育系统数据安全的通知》、《教育系统核心数据和重要数据识别认定工作指南（试行）的通知》等），制定数据分类分级标准，梳理出高校信息系统重要的数据目录，明确个人隐私和敏感数据保护范围。

管理制度是建设依据

《教育部等七部门关于加强教育系统数据安全的通知》中明确，应健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度。

对此，高校在制定数据安全管理与隐私保护相关办法中，需明确数据收集、存储、处理、共享等关键环节的操作规范、管理部门职责分工、应急管理与安全检查机制，充分发挥各部门和各类人员在数据安全保障工作中的作用，共同遵守和执行安全规章制度，保障数据安全策略的贯彻落实。

数据安全需全链路建设

数据在流动中创造价值，对数据的保护就是对流动过程的数据全链路分级保护。在数据安全建设中，高校需梳理数据应用重要业务场景，评估其数据安全现状，在数据分类分级的基础上，分段实施、体系规划、面向数据访问域、存储域、流动域，落实覆盖数据全链路的数据安全技术防护体系。

在数据存储域：对师生敏感数据或重要数据进行加密存储，防止黑客拖库、磁盘丢失、备份文件被盗等原因造成敏感信息泄漏；对重要哑终端、数据库服务器、应用服务器、文件服务器等重要系统部署勒索软件防范勒索攻击；同时借用数据灾备保障业务连续。

在数据访问域：通过数据库防水坝对运维人员的权限进行细粒度的操作权限控制，实现DBA权限分离控制、防止越权，实现DML/DDL操作指令控制，防止误操作；通过数据库防火墙防范黑客通过SQL注入漏洞和数据库漏洞进行网络攻击和数据窃取；采用DLP数据防泄漏系统对重要文件的处理、传输进行管控；通过数据库审计实现数据库访问的各类操作行为的监控和记录、审计溯源。

在数据流动域：通过静态脱敏、水印溯源、API监测与访问控制等能力，加强数据流动场景下的安全保障和风险监测，实现数据可控流动。

安全是一个不断变化的过程。为了应对变化，高校应对数据安全进行持续优化改进与运营，以看见驱动安全，从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力，实现资产全域可管、风险全域可视、策略全域联动，充分盘活整体数据安全防护能力，最终形成一体化的数据安全管理、安全监控和安全运营体系，实现数据安全统一运营。

在数字化转型的持续推动下，越来越多的高校以数据为驱动力，利用新一代信息技术提升教育管理数字化、网络化、智能化水平的建设。数据驱动教育高质量创新发展，守好数据安全防线更是关键！

高校数据安全要“合规”而行

分析当前网络数据主要的法律规定，高校数据安全法律指引聚焦于以下四个方面：

第一，网络安全等级保护制度。

根据《网络安全法》第二十一条的规定，高校作为网络运营者应当按照网络安全等级保护制度的要求，履行相关安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第二，数据分类分级保护制度。

《网络安全法》规定网络运营者应当采取数据分类、重要数据备份和加密等措施保护网络安全。《数据安全法》则进一步规定，根据数据在经济社会发展中的重要程度，对数据实行分类分级保护。

高校应当根据本地区本部门确立的重要数据目录对相关数据进行重点保护，达到分类分级保护的效果。其中达到秘密级的数据应当遵循《保守国家秘密法》的规定。

第三，个人数据（信息）处理活动应合法正当必要。

根据《网络安全法》第四章信息安全的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

《数据安全法》第三十二条规定任何组织、个人收集数据，应当采取合法、正当的方式，应当在法律、行政法规规定的目的和范围内收集使用数据。文前所述的郑州西亚斯学院被处罚案例，正是违反了《网络安全法》个人信息保护的相关规定。

第四，其他法律规范指引，例如数据活动目的审查、重要数据出境管理等。

《数据安全法》第二十八条规定，开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展、增进人民福祉，符合社会公德和伦理。

数据安全的重重隐患与风险，高校有望在法律规范指引之下通过“合规”而得到消解。具体说来，人员配置、制度管理、流程设置以及思维培养是高校数据安全“合规”的四个关键点。

第一，确定网络安全责任人与数据安全负责人，落实安全保护责任。

无论是数据安全保护活动的开展还是法律义务的承担，“责任人”的落地必不可少。根据法律的规定，在高校处理重要数据的情形下，还应当明确数据管理机构。

高校如果被认定为关键信息基础设施运营者，除了应当设置专门安全管理机构之外，还应当对负责人和关键岗位人员进行安全背景审查。

第二，建立健全完善的网络数据安全管理制度。

法律的要求应当详细地体现于高校数据安全管理制度之中。

例如网络安全等级保护制度要求的监测、记录网络运行状态、留存相关的网络日志不少于六个月等内容应细化为高校数据安全管理制度条款。

又如在数据分级分类制度方面，建议高校将本地区本部门“自上而下”确定的重要数据具体目录纳入单位安全制度依据，对列入目录的数据进行重点保护。

发现数据安全缺陷、漏洞等风险应当采取补救措施与报告、法定条件下数据风险评估等内容都是高校结合自身情况，将其细化如数据安全管理制度的应有内容。

第三，采取安全技术措施，确立合理的操作规程。

完善的管理制度需要合理的操作流程才能发挥实效。高校可采用“权限分层+技术控制”的双重方式建立数据操作流程，即确立不同主体对数据访问与处理的权限分层，并在操作规程中嵌入数据审计，隐私加密、数据脱敏等网络安全技术，增补各个安全节点，完善数据访问与处理的操作流程，强化网络数据安全保障。

第四，加强宣传教育，培养数据安全思维。

在高校师生中开展“网络安全日”和“数据安全宣传周”等宣传活动，尤其关注提高大学生个人信息保护意识，积极防范网络诈骗。

有条件的高校还可以开设《网络安全法律治理》《数据安全法律合规》等前沿课程与讲座，甚至聘请专业的网络安全法律团队为高校数据安全具体“合规”，提高高校数据安全保护意识和水平，形成高校共同维护数据安全和促进发展的良好环境。