随着5G、云计算、物联网、大数据、人工智能的快速发展,数据变得越来越重要,随之而来数据安全面临的挑战也变得越来越多,网络信息安全已经从终端安全、网络安全进入到了数据安全阶段,传统以网络和系统为防护目标的安全体系已经不能满足数据安全的需求。
教育部部长怀进鹏多次提出,要加快推进教育数字化,不断推动教育变革和创新。数据是数字化、智能化的基础,在国家法律法规的明确要求下,数据如何能在合规、安全使用的前提下加速推进教育数字化已逐渐成为一个众人关注的热点话题。
数据的分类分级是数据合规、安全使用和精细化管控的基础,是数据安全的核心部分。高校对数据进行分类分级主要是为了对数据进行身份标识,依据这个标识保障数据在学校范围内活动的安全,同时提升数据管理能力。具体从以下两个方面着手:
掌握全局数据资源,形成数据资源目录。
实现精细化分级管理,有效保护数据的合规使用,最大化共享和利用数据。
指导数据的采集、存储、共享、使用、归档和销毁等全生命周期的管理工作。
基于数据资源目录搭建数据认责体系,构建数据管理地图。
优化资源配置,降低数据管理成本。
DAMA-DMBOK2.0提出的数据管理框架(DAMA车轮图)包含11个数据管理职能领域,其中以数据治理为中心,还包含数据安全、元数据管理、数据质量管理等领域。该框架说明,数据治理与数据安全共同贯穿于数据的全生命周期。所以,在数据治理的实施过程中同步做好数据安全,往往会有事半功倍的效果。
华南农业大学从2018年开始进行数据治理,成立了数据治理及应用建设工作领导小组,下设统筹规划、数据治理及应用、业务系统建设、集成及数据清洗、运行保障4个工作组,全力保障数据治理的顺利实施。通过建立共享数据中心,构建数据安全体系,为全校师生提供数据服务,为学校管理工作提供科学的辅助决策支撑。
2018年底,学校颁布了《华南农业大学数据管理办法》《华南农业大学数据资源分类分级办法》等一系列数据管理办法,搭建学校的数据管理制度体系,明确数据管理和分类分级的原则、策略、变更流程和要求等,以及数据生产者、管理者和使用者三方的权责,让数据在制度规范的约束下合理使用。
对学校现有数据进行梳理,包括线下数据,摸清学校的数据资产情况,将各业务部门的数据资源进行汇聚,并与业务部门以调研会和线上反馈的形式进行数据确权,构建“一套家底”,确保一数一源,形成统一的数据资源清单。
数据资源清单通过数据中台实现线上管理,随着业务的调整动态更新,目前涉及29个业务系统,1000多张数据清单,2万多个数据项。按照“谁提供、谁维护”的原则,数据提供单位按实际情况及时更新数据资源清单,确保数据资源的质量和时效。
在数据分类分级实施前,根据科学性、实用性、可扩展性的原则,明确数据分类分级的方法,构建分类体系结构和合适的分级规则。
华南农业大学紧密结合业务特征,考虑到业务的发展性按主题域进行数据分类,对每一大类主题,按照关联主题信息划分中类;对于每一中类,按照分类属性划分小类。
遵循“共享为常态,不共享为例外”原则,明确数据定级的颗粒度为字段,根据数据的敏感程度分为三级:非敏感数据划分为普遍共享类,涉及单位隐私数据划分为有条件共享类,涉及学校秘密数据划分为不予共享类(见表1)。
根据数据分类体系架构,采用人工与技术相结合的手段,用线分类法,根据数据的来源、内容和用途,从业务视角将数据进行划分,分为人力资源、学生管理、科研管理、教学资源与管理、资产管理、财务管理、行政管理和公共服务八大主题类,划分47个中类,819个小类。
在分类的基础上,采用数据中心制定初稿,业务部门核实确认的共同协作机制,实现对数据资源的分级,形成《华南农业大学数据资源目录》,依据分类分级情况对数据进行标识,明确数据的来源部门、来源系统、安全等级等,有效指导数据源头部门履行“谁生产、谁负责”的数据管理责任。
利用技术手段实现数据标准和数据资源线上化、流程化的全链动态管理,降低数据使用难度和管理成本,从数据查询、申请、审批到调用,为各种数据应用场景提供安全、先进、便捷的一站式数据申请服务。根据数据分级的情况,设计数据访问权限,对不同等级的数据实现差异化的安全保护措施。
在数据开放共享时,进行数据申请的分级审核,明确各审核节点的责任人,在审核过程中实现字段级别的审核;支持单流程多部门审核,根据数据使用需求进行共享条件限制、数据加密或脱敏;整个申请、审核过程均有详细记录。图1为数据资源安全分级审批流程。
在国家颁布的相关安全法律法规的指导下,高校应从多个方面做好保障,持续提升数据分类分级的能力。
第一,注重顶层设计。数据安全是一个体系化的建设,不是单靠某一个安全产品就可以解决的问题。高校需要从战略规划、实施方案等方面做好顶层设计,对整个校园的数据安全有一个全局的、体系化的规划,制定一个可落地的、分阶段实施的路线图,才能更好地实现对数据全面、细粒度的安全管控。
第二,加强统筹协调。加强数据安全组织领导,做好数据安全的整体规划,落实一把手工程,从上至下统筹协调,结合学校实际需求分步实施,形成多部门协同合作的监管机制,实现各个主体利益共生共赢、协同发展的局面。
第三,完善制度体系。制定和健全更加成熟的、推动技术向善发展的管理制度体系。从管理制度、执行标准、实施细则和流程等方面完善数据安全制度体系的建设,并逐步配套绩效考核措施和评价机制,监督和推动数据安全防护措施的落地。
第四,配套技术管理。数据安全需要靠人和技术共同实现,选择适合学校自身发展需求的专业的、成熟的安全设备和技术,利用“智能识别+人工审核”的方式,更加高效和精准地实现数据分类分级标签体系管理,形成数据安全管理工作的闭环。
第五,提升运营能力。数据安全是一个常态化、持续化的工作,建设一套集中化、规范化、流程化的数据安全运营机制,配置专职的数据安全管理人员,持续改进、落实数据安全制度和流程,提升数据安全长效运营的能力,更好地应对数据安全的挑战。
第六,强化安全意识。从国家上位法入手,开展形式多样的数据安全宣传教育,可以通过国家网络安全宣传周等系列活动,重点打造数据安全的主题活动,包括培训、竞赛、演练等,让师生、部门和学校深切感受到数据安全的重要性,提升数据安全防护意识。
当前,高校数据分类分级正处在一个发展阶段,数据安全厂商拥有数据分类分级的产品和服务,但是在教育行业的实践经验并不多,所以人工的工作量可能会更多。
在多措并举的保障下,以数据分类分级为基础,与数据安全各个环节形成联动策略,按照“重点优先、急用先上”的原则,实现数据安全常态化监测、预警和应急响应机制,搭建数据全生命周期的安全防护体系,增强高校数据治理的能力,构建数据安全协同治理的可持续发展新格局。
