王晓震 金培莉 陈瑛 宫旭 李海龙

[摘 要]  对全国高校信息化发展状况调研，以网络安全保障、信息系统与数据治理的调研数据为基础，分析高校数据中心数据安全管理现状。从数据分类分级、数据安全管理制度、数据安全防护技术、数据活动主体等方面分析数据安全风险。对照安全风险隐患，逐一阐述安全风险应对策略，提出防护建议，辅助高校建立有效的数据安全防护体系，营造健康的数据安全环境。

[关键词] 数据安全;高校数据中心;数据安全风险分析;数据安全管理

[中图分类号] TP 393.08  [文献标志码] A  [文章编号] 1005-0310（2021）03-0053-07

Abstract：  Based on the survey data of network security and information system and data governance， this paper analyzes the current situation of data security management in university data centers. And from the data classification， data security management system， data security protection technology and data activity subject， this paper focuses on the data security risk analysis. Finally， according to the hidden danger of safety risk， this paper expounds the countermeasures of safety risk one by one， and puts forward protection suggestions， so as to assist colleges and universities to establish an effective data security protection system and create a healthy data security environment.

Keywords： Data security;University data center;Data security risk analysis;Data security management

0 引言

随着教育信息化的推进，高校数据中心建设已经成为学校信息化建设的重点，它集成了教学、科研、管理等方面的系统数据，承担数据汇集、数据管理、数据服务等任务，是对校园信息系统中的数据进行集中存储、共享和交换的核心枢纽。高校通过数据中心建设，较好地解决了以往数字校园建设中的“信息孤岛”问题，通过全面数据开发与利用，向高校师生提供了更多的数据服务，充分发挥了数据价值。

当前，高校数据中心的数据不断积累，数据处理的角色更多元，系统、业务边界更模糊，业务趋于协同。高校数据中心在带来优势的同时也面临新的风险，比如，数据权属主体不断变化，由数据生产单位共享到数据管理单位，再传输到数据使用单位;数据管理责任变得不清晰，数据的处理活动难以追溯和控制，普遍意义的信息安全防护工作很难专门应对数据安全风险。这就需要高校提高风险管控能力，促进高校数据中心业务的可持续发展。

1 高校数据中心的数据安全现状

国外对数据安全及相关内容的关注较早。出于对公民合法权益的保护、企业的监管以及国家安全的考虑，国外不少国家对数据安全进行立法保护。例如，德国的黑森州在1970 年颁布世界上第一部《数據保护法》，瑞典在1973年从保护个人数据的角度颁布《瑞典数据保护法》，欧盟分别于1995 年、2016 年颁布《数据保护指令》和《通用数据保护条例》，俄罗斯于2006 年颁布《个人数据保护法》等[1]。

在我国，从国家到各级教育管理部门、再到高校各个层面，数据安全问题越来越受到重视。2016年11月6日，我国颁布《中华人民共和国网络安全法》，明确指出处理个人数据的合法、正当和必要这三大原则。2021年6月10日，我国颁布《中华人民共和国数据安全法》，旨在保障数据安全，促进数据开发利用，保护个人信息安全，维护国家数据主权。教育部和省市相关管理部门分别出台了《教育部关于加强新时代教育管理信息化工作的通知》（教科信函〔2021〕13号）、《教育部等七部门关于加强教育系统数据安全工作的通知》（教科信函〔2021〕20号）、《北京市政府投资信息化项目评审管理办法》（京大数据办发〔2021〕2号）、《北京市公共数据管理办法》《天津市数据安全管理办法（暂行）》等文件，明确要求提升数据安全防护和管理水平。① 本文数据由教育部科技发展中心与中国高等教育学会教育信息化分会共同成立的高校信息化发展监测研究工作组授权使用。

2020年，由教育部科技发展中心与中国高等教育学会教育信息化分会共同成立的高校信息化发展监测研究工作组对全国高校信息化发展状况组织开展调研，共有1 183个单位填报了数据，包括一流大学建设高校38所、一流学科建设高校78所、其他普通高校545所、高职（专科）院校510所、其他教育机构及单位12个。调研的内容涉及信息化建设体制机制、基础设施、信息系统与数据治理、信息化支撑教学、信息化支撑科研、网络安全保障、新技术应用等7个方面。本文提取了信息系统与数据治理及网络安全保障两部分的调研数据①进行研究，分析高校数据中心数据安全管理现状。

1.1 针对网络安全和数据安全制度建设方面的现状分析

针对网络安全管理措施的调研结果显示，有95%的高校已经制定了网络安全管理办法，44%的高校制定了个人信息安全保护办法（如图1所示）。

针对管理信息系统的调研结果显示，管理信息系统作为数字化校园建设的主要发力点，已在高校校务管理的核心领域实现了全面覆盖，为教学、科研、学生事务、人事、办公自动化、财务和设备资产等关键业务提供有力支撑，并成为高校数据中心数据的主要来源（如图2所示）。

针对网络安全和信息化发展规划的年度执行情况的调研结果显示，超过70%的高校制定了学校网络安全和信息化发展规划并能基本按规范执行，但也有近30%的高校对网络安全和信息化发展规划的执行度低于75%，更有9%的高校没有制定网络安全和信息化发展规划（如图3所示）。一流大学建设高校在发展规划执行程度上远高于其他三类高校，超过一半的一流大学建设高校能够做到完全按发展规划执行，但也有3%的一流大学建设高校执行程度低于50%，还有3%的一流大学建设高校未发布规划或发布未执行。一流学科建设高校在制定和执行发展规划上略优于其他普通高校和高职（专科）院校，但仍有3%的一流学科建设高校未制定发展规划。其他普通高校和高职（专科）院校在网络安全和信息化发展规划的执行方面情况近似，能够完全或基本按学校发展规划执行的占比均在70%左右。

1.2 针对数据安全技术方面的现状分析

在安全技术方面，当前高校主要采用传统的网络信息系统防护手段，比如安全体系建设以传统的分层安全防护为主，采用物理层、网络层、应用层安全防护应对面向数据的安全威胁;在数据中心软件及系统的运维方面，采用传统的安全运维方式;在系统容灾方面，防护手段比较欠缺（如图4所示）。

在系统容灾方面，具体来看，一流大学建设高校和一流学科建设高校在同城异地灾备方面使用率最高，表明这两類高校对灾备的安全性要求更高，能够保障在同一楼宇或同一园区整体遭遇灾害时系统的可用性;其他普通高校和高职（专科）院校的灾备措施主要采取同楼灾备;有约1/3的高校未采取任何灾备措施（如图5所示）。

另外，通过交流或者访谈的方式，我们发现高校还存在师生对敏感数据保护的安全意识不足、数据使用随意性强的问题。有的高校因为没有开展全面的数据治理，数据家底不清，难以做到数据采集最小化;有的高校内部数据流转没有授权审批和跟踪记录，数据使用不够规范;有的高校缺乏针对数据安全防护的技术手段;有的高校缺乏数据管理的经验，难以做好保障数据安全和发挥数据效能之间的平衡。

综上所述，高校数据中心数据安全现状可以概括为：高校普遍重视网络信息安全，对于数据安全有一定认识，有制度层面的保障和约束，但制度的落实程度还有待加强;数据中心的数据安全技术防护措施还不够全面;师生的数据安全意识有待加强。

2 高校数据中心数据安全风险分析

2.1 缺少数据资源分类分级标准

数据的分类分级是数据安全管理的基础工作。在《中华人民共和国数据安全法》出台之前，我国已经有一些法律文件对数据的分类分级进行了初步规定，这其中最为重要的是工信部在2020年初颁布的《工业数据分类分级指南（试行）》[2]。地方政府和其他行业管理部门也出台过相应法规，如贵州省《政府数据 数据分类分级指南》、金融行业的《金融数据安全 数据安全分级指南》和《证券期货业数据分类分级指引》等。教育部在2018 年出台的《教育部机关及直属事业单位教育数据管理办法》中，已对一些数据安全标准进行了相关规定，高校希望在此基础上，相关部门能够尽快建立教育数据安全分类分级指导标准[3]。目前，高校数据资源管理存在敏感数据保护不足、数据使用部门超范围传播的情况，还存在过度保护、没有发挥数据价值的情况。

2.2 数据安全管理制度不够完善

从调研数据来看，高校在网络安全管理方面已经有了明显的进步，从中央到地方都加强了对网络安全的统筹管理，相关文件陆续出台，有明确的政策方向引导和监管要求，形成数据安全管理的良好契机。部分高校将数据安全管理作为网络安全管理的一部分，从宏观层面对数据安全提出了原则性的要求，但有些制度可操作性不强;有些制度的内容比较片面，对于数据的安全保护和共享开放工作指导有限;也有相当数量的高校没有明确数据管理部门，亦没有数据管理办法。

国家标准《信息安全技术 数据安全能力成熟度模型》（GB/T 37988—2019）将数据生存周期分为以下6个阶段：数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁[4]。数据安全管理制度应该是一系列管理规章或操作规范的集合，除了总体上规定数据安全管理部门、责任主体和各方责权外，还应从数据生存周期的各个阶段进行安全规定。

2.3 数据安全层面技术防护不足

从技术防护方面看，数据安全风险来自物理安全、操作系统安全、网络安全、应用软件安全及数据存储安全等诸多方面[4]。传统的物理安全、操作系统安全和网络安全防护技术能够基本满足当前高校数据中心的技术防护要求，但调查显示，有超过30%的高校还没有配备基础的灾备系统。在应用软件方面，由于软件设计的缺陷，可能存在系统漏洞、逻辑错误等问题，易被某些组织或个人恶意利用并对系统进行攻击、盗取或篡改数据;在数据层面，对于数据脱敏、数据库审计、敏感数据加密等技术的应用还不是很普遍。因此，技术防护不足成为数据安全的又一风险点。

2.4 数据活动参与主体存在安全短板

数据活动过程参与主体可分为数据提供方、数据使用方、数据管理方和数据监管方[5]。高校参与数据活动的主体覆盖部门多、人群广，对于数据安全的防护能力不一致，对于数据安全的认识程度也不一致，成为数据安全的隐患。

数据提供方主要是校内各业务部门（如教务处、学生处、财务处等），各业务部门将各自信息系统产生的数据，通过统一数据接口提供给数据中心。业务系统安全防护水平参差不齐，有的部门有专门的系统管理人员，有的部门只有兼职或代管的管理人员，存在安全短板，使数据共享平台整体的安全防护水平降低。

数据管理方主要是学校网络安全和信息化领导小组、校信息化办公室或信息网络中心等高校信息化建设和管理部门，通过数据共享平台实现全校数据共享、交换和数据资源的应用。由于数据的集中存储和管理，大量的结构化和非结构化的数据汇集到数据共享平台，如果对数据流转过程不能有效监控和记录，那么在发生数据安全事故时，就难以追溯到相关参与者，也无法定位安全责任。

数据使用方主要是高校的管理者、业务部门和师生。针对数据的获取和使用，某些具有合法身份和权限的用户可能存在违规操作的风险。一般高校的业务系统都由外包公司协助进行系统建设，而如果对各种敏感和重要数据管理不规范，将大大增加发生安全事件的概率，成为数据安全的最大隐患[6]。另外，高校师生众多，安全意识比较薄弱，默认密码、弱密码现象屡见不鲜，缺乏定期进行数据备份、修复系统安全补丁等维护习惯。

数据监管方主要是学校的网络安全管理部门。调查显示，全国超过71%的高校已经配备专职网络安全管理的工作人员，而通过访谈了解到，这些网络安全人员主要来自网络或信息系统管理岗位，很少有专门的数据安全人员，也缺乏审计手段。因此对于数据安全的监管，缺少统一的审计和监督，在过程记录、人员监督、工具监控、技术审计等方面存在监督难的问题。

3 高校数据中心数据安全风险应对策略

3.1 建立教育数据资源分类分级管理规范

数据分类分级工作是数据安全防护体系的重要基础。在分类分级的基础上，制定数据防护要求，设置不同的数据共享权限，对重要数据和敏感数据进行加密存储、传输和脱敏处理，对数据流转操作进行追踪和记录等，才能形成有效的数据安全防护。

国际上对于数据分类分级一般统称为Data Classification，并根据需要对分类的级别（Classification Levels）和种类（Classification Categories）进行描述。我国将数据分类与分级进行了区分，分类是根据种类的不同按照属性、特征而进行的划分;分级则侧重于按照划定的某种标准，对同一类别的数据按照高低、大小进行级别的划分;一般都是遵循先分类再分级的顺序。

根据《教育部等七部门关于加强教育系统数据安全工作的通知》（教科信函〔2021〕20号）要求，教育部将制定数据分类分级工作指南，明确数据分类分級的方法和建议。高校应在此基础上落实数据分类分级制度，可以先进行学校数据资产的梳理，特别是数据中心数据的资产梳理，摸清数据家底，为数据分类分级打好基础。

3.2 完善和落实数据安全管理制度

在数据采集和传输阶段，应遵循数据分类分级管理、数据质量管理等方面的制度和操作规范。在采集师生和校务管理数据的过程中，应明确采集数据的目的和用途，确保满足数据源的真实性、有效性和最少够用等原则要求，明确数据采集渠道，规范数据存储格式、数据采集流程和采集方式，从而保证数据采集的合规性、正当性和一致性[4]。采集数据的业务部门需要保障数据采集过程的安全性，确保数据源可信，包括来源主体和数据本身可信。

在数据存储和销毁阶段，对于常规数据要建立数据备份管理制度，对于敏感数据则需要再建立数据脱敏、数据加密及数据销毁等管理制度。

在数据交换阶段，要制定数据共享交换管理制度，建立数据资源目录以及数据资源公示机制;制定数据申请使用流程规范及数据流转审批制度，同时明确数据活动的主体责任。

在数据使用和处理阶段，要建立数据安全审计制度。对数据的访问和活动情况应进行全方位的监控和记录，实现对数据访问的违规操作行为可追溯，便于事后追查。

3.3 加强数据安全技术防护

在数据采集和传输时，采用防火墙和VPN等设备进行边界保护、访问控制和入侵防范;采用数据源认证、数据加标签、数据加密等技术进行传输保护，防止数据被截获[6-7]。

在数据存储方面，需要保障数据汇集后的存储安全，如防雷、防火、防水、防潮、防静电、防盗、温湿度控制、电力供应和电磁防护等。对于数据访问，则需要采用数据加密、访问控制、备份与恢复等技术。备份策略可根据实际需求每日或每周备份，备份模式可以根据数据量情况进行全备份或增量备份，确保在发生系统数据丢失或系统异常等情况时，能够恢复已经备份的数据，从而尽可能降低数据丢失带来的损失[8-9]。

在数据交换方面，需要确保交换过程可控，将指定数据提供给指定的数据使用方，其他人员或系统无法获取。数据交换时一般采用数据视图、数据前置机、API数据接口等方式，分用户授权，授权粒度精确到表、数据字段或数据条目。同时，对数据交换行为进行审计，防止违规交换。在数据使用时，应对敏感数据进行脱敏处理;采用数据授权与访问控制措施，保证不同的使用方只获取其权限范围内的共享信息，保障数据合规使用 [7，10]。

3.4 加强数据活动参与主体责任落实和宣传教育

高校应加强数据安全工作的组织领导，对各类数据活动的参与主体，建立“主要负责人负总责、分管负责人具体抓”的领导责任制。同时，要明确各方应履行的职责，按照“谁主管谁负责、谁使用谁负责”的原则落实数据安全责任，对于联合第三方进行数据处理的，应签订数据保密协议。数据提供方不能进行过度的数据采集，数据采集时应遵循最小化原则，同时应对师生尽到告知义务，让师生“知情同意”。数据使用方不能随意公开师生个人信息数据，不能过度挖掘、曲解分析数据之间的关联关系。

对于师生，应加强宣传引导和教育，可通过国家安全日、国家网络安全宣传周等活动，采用海报、微视频、专家讲座、微信推文等方式宣传数据安全法等相关知识，介绍如何防范个人信息泄露等内容[11]，以期提高个人信息保护意识，并将其提高到法治高度。

4 结束语

如何以数据安全促进高校数据开放，促进数据互联互通，提升师生使用数据的便利性，增加师生获得感，是摆在高校数据中心建设者面前的难题。通过对全国高校信息化发展状况的调研数据分析得知，高校数据中心的数据安全管理制度需要完善、细化及切实落地执行，数据安全管理责任需要进一步明确和压实，技术防范工作有待加强。高校在发挥数据效能的同时，要确保数据安全，加强数据安全的监督和管理，建立有效的数据安全防护体系，营造健康的数据安全环境。

[参考文献]

[1] 张金平.跨境数据转移的国际规制及中国法律的应对：兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律，2016（12）：136-154.

[2] 何珺.工信部发布《工业数据分类分级指南（试行）》[J].今日制造与升级，2020（3）：18-19.

[3] 江魁.深圳大学：数据安全保护从数据分级做起[J].中国教育网络，2021（Z1）：73-75.

[4] 全国信息安全标准化技术委员会.信息安全技术 数据安全能力成熟度模型：GB/T 37988—2019 [S].北京：中国标准出版社，2019.

[5] 杨秋华，董贵山，杨永刚，等.政务云环境下数据共享安全保障框架研究[J].通信技术，2018，51（6）：1404-1411.

[6] 张聪.智慧校园环境下的数据安全研究与实践[J].网络安全技术与应用，2021（1）：103-105.

[7] 罗海宁.简析政务信息共享数据安全体系要点[J].保密科学技术，2020（4）：6-14.

[8] 全国信息安全标准化技术委员会.信息安全技术 大数据服务安全能力要求：GB/T 35274—2017 [S].北京：中国标准出版社，2017.

[9] 王建民，金涛，叶润国.《大数据安全标准化白皮书（2017）》解读[J].信息技术与标准化，2017（8）：38-41.

[10] 张雪莹，杨帅锋，王冲华，等.工业互联网数据安全分类分级防护框架研究[J].信息技术与网络安全，2021，40（1）：2-9.

[11] 陈瑛，王晓震，于春生，等.高校网络安全管理和技术支撑体系构建研究[J].北京联合大学学报，2021，35（2）：53-57.

（责任编辑 白丽媛）