隨著《個人數(shù)據(jù)保護(hù)法》于8月20日正式獲得通過,及《數(shù)據(jù)安全法》于9月1日起實施,如何更好地保障高校數(shù)據(jù)安全再次成為業(yè)界關(guān)注熱點。
接受《中國教育網(wǎng)絡(luò)》雜志采訪時,海南師范大學(xué)黨委委員兼信息網(wǎng)絡(luò)與數(shù)據(jù)中心主任、華東師范大學(xué)信息化治理委員會秘書長沈富可表示,高校數(shù)據(jù)安全防護(hù)沒有最好,只有更好。高校“十四五”規(guī)劃除了進(jìn)一步明確建立高校數(shù)據(jù)安全和隱私保護(hù)體系的重要性之外,技術(shù)上要搭建一個“開放、安全、可擴(kuò)展的信息化基礎(chǔ)框架”。
沈富可
海南師范大學(xué)黨委委員兼
信息網(wǎng)絡(luò)與數(shù)據(jù)中心主任(掛職),
華東師范大學(xué)信息化治理委員會秘書長
數(shù)據(jù)安全防護(hù)沒有最好,只有更好
《中國教育網(wǎng)絡(luò)》:如果讓您為當(dāng)前國內(nèi)高校數(shù)據(jù)安全防護(hù)總體情況作個評價,滿分為10分,您打多少分?為什么?
沈富可:我個人認(rèn)為可以評7分。目前,關(guān)于高校數(shù)據(jù)安全的保障意識正逐步形成,硬件條件普遍提升,各類云服務(wù)解決方案為用戶提供了多種選擇等,為保障高校數(shù)據(jù)安全創(chuàng)造了很好的條件。
但與此同時,由于數(shù)據(jù)安全涉及的主體除了信息中心、合作伙伴外,還有業(yè)務(wù)部門、院系、師生用戶等,要做好數(shù)據(jù)安全工作,需要明確各個相關(guān)主體的職責(zé),各方都要承擔(dān)起自己的責(zé)任。在這方面,目前多數(shù)高校還難以做到。
此外,隨著安全威脅的變化,安全機(jī)制、技術(shù)措施需要不斷調(diào)整以及時應(yīng)對新的挑戰(zhàn),從這個角度而言,高校數(shù)據(jù)安全防護(hù)沒有最好,只有更好。
《中國教育網(wǎng)絡(luò)》:國內(nèi)外經(jīng)常有高校隱私信息被竊取或泄露事件發(fā)生,您認(rèn)為此類事件高發(fā)的原因是什么?
沈富可:類似事件頻發(fā),我認(rèn)為可能主要還是安全意識和技術(shù)方面原因。
但我想強(qiáng)調(diào)的一點是,很多高校不太重視信息化隊伍的建設(shè)問題。這支隊伍除了有相當(dāng)數(shù)量的信息化技術(shù)人才之外,還要有一定數(shù)量的教育、傳媒等相關(guān)學(xué)科背景人員,能夠?qū)⒁粋€技術(shù)問題說清楚并推介出去,讓普通用戶理解、接受。
舉例而言,關(guān)于安全、隱私保護(hù),很多同行都比較為難的是用戶安全防范意識跟不上。其實,一個普通用戶在未遭受數(shù)據(jù)泄露損失之前,一味強(qiáng)調(diào)便捷、方便是可以理解的。
如何通過舉例與演示培養(yǎng)用戶建立起“方便”往往是一種安全威脅的觀念,讓用戶理解安全與方便是需要權(quán)衡的,并形成一種習(xí)慣,這是需要信息化團(tuán)隊花心思認(rèn)真謀劃的。
《中國教育網(wǎng)絡(luò)》:在您看來,目前高校數(shù)據(jù)安全防護(hù)的難點和挑戰(zhàn)主要有哪些方面?
沈富可:目前高校數(shù)據(jù)安全防護(hù)的難點和挑戰(zhàn)還有很多。
首先是理念層面,數(shù)據(jù)是學(xué)校的重要資產(chǎn),數(shù)據(jù)安全威脅就意味著所在學(xué)校的資產(chǎn)威脅,甚至還會涉及學(xué)校的輿情、意識形態(tài)安全等更復(fù)雜的問題。
因此,高校領(lǐng)導(dǎo)、信息化部門、業(yè)務(wù)部門等都應(yīng)重視數(shù)據(jù)安全工作,只有認(rèn)識到其中的重要性,才會共同想辦法解決問題。
其次是制度層面,要制訂符合學(xué)校實際的一整套制度、規(guī)定,明確技術(shù)部門、業(yè)務(wù)部門、院系、師生用戶和合作伙伴等的職責(zé)權(quán)限,及如何在保障數(shù)據(jù)安全的前提下充分共享等。
此外,數(shù)據(jù)安全并不止于出臺針對“人”的“物理空間”范圍的管理規(guī)定,因其還涉及“數(shù)字空間”范圍各個主體之間的交互,需要有一整套的數(shù)據(jù)采集、存儲、處理、使用、歸檔處置等標(biāo)準(zhǔn)規(guī)范,以解決“人—機(jī)”、“機(jī)—機(jī)”、“人—人”的有序交互問題。
最后是技術(shù)層面,一所學(xué)校的數(shù)據(jù)安全需要一套與所在學(xué)校的上述制度、標(biāo)準(zhǔn)等相適應(yīng)的技術(shù)設(shè)施來支撐和配合,并且需要一個具有一定規(guī)模的強(qiáng)有力的信息化團(tuán)隊作為保障。這個團(tuán)隊既要有信息安全前瞻技術(shù)研究能力和技術(shù)實施“落地”保障能力,還要有在校內(nèi)推介、培訓(xùn)的能力。
如何實現(xiàn)全方位數(shù)據(jù)保護(hù)?
《中國教育網(wǎng)絡(luò)》:數(shù)據(jù)安全的基礎(chǔ)工作之一是對數(shù)據(jù)進(jìn)行分級分類,請問在高校進(jìn)行數(shù)據(jù)分級分類的依據(jù)、策略各是什么?具體如何實現(xiàn)?
沈富可:具體到學(xué)校數(shù)據(jù)的分級分類,我認(rèn)為,首先要明確高校數(shù)據(jù)的權(quán)屬關(guān)系,也即具體數(shù)據(jù)的歸屬,誰有支配權(quán),誰有權(quán)使用等。對于隱私數(shù)據(jù)應(yīng)該堅持“最大量”保護(hù)原則,而針對公共數(shù)據(jù)應(yīng)該堅持“最大程度”開放共享原則,來發(fā)揮共享增值的作用。
因此,數(shù)據(jù)分級分類的依據(jù)就是確定數(shù)據(jù)的權(quán)屬關(guān)系、明確數(shù)據(jù)安全保密要求、明晰數(shù)據(jù)開放共享范圍,以及上述關(guān)系、要求、范圍的時效性問題。
數(shù)據(jù)分級分類是一個動態(tài)變化的持續(xù)性工作,需要根據(jù)安全威脅、學(xué)校管理流程、職能部門定位、決策支持的要求等變化進(jìn)行持續(xù)調(diào)整。這個工作只有開始沒有結(jié)束,“永遠(yuǎn)在路上”。
關(guān)于分級分類的策略,我更強(qiáng)調(diào)數(shù)據(jù)的質(zhì)量問題。我理解,經(jīng)過數(shù)據(jù)的匯聚共享,雖然用戶更多了,但是數(shù)據(jù)的質(zhì)量責(zé)任主體沒有變。
例如,學(xué)生的成績數(shù)據(jù)雖然已匯集到數(shù)據(jù)中心,但是其權(quán)威部門依然是教務(wù)處,學(xué)生成績數(shù)據(jù)的質(zhì)量責(zé)任依然由教務(wù)處負(fù)責(zé)。
至于具體的策略和技術(shù)方面的實現(xiàn),可基于角色的授權(quán)(RBAC)、基于屬性的授權(quán)(ABAC)和基于策略的授權(quán)(PBAC)等,要根據(jù)各學(xué)校的具體情況,技術(shù)方案配合其策略機(jī)制分別實現(xiàn),并不斷調(diào)整。
簡單歸結(jié)為一句話:“做好頂層設(shè)計,動態(tài)更新,融入各自日常工作常態(tài),技術(shù)為安全制度、規(guī)范服務(wù)”。
《中國教育網(wǎng)絡(luò)》:在數(shù)據(jù)安全中,很重要的一個方面是隱私保護(hù)。但目前為止,由于缺乏明確定義,不同的高校對于隱私可能有不同的解讀,請問您如何理解高校隱私信息的內(nèi)涵?
沈富可:要理解高校隱私信息的內(nèi)涵,首先應(yīng)了解之所以分離隱私信息,是為了促進(jìn)共享,而共享的目的是為了“信息公開”和“倒逼服務(wù)”,共享的對象范圍不止于個人、業(yè)務(wù)部門和學(xué)校層面,還應(yīng)考慮社會、國家等層面。在此基礎(chǔ)上來談隱私的范圍和分級分類保護(hù)才有意義。
不要繞坎,要面對問題
《中國教育網(wǎng)絡(luò)》:當(dāng)前海南師范大學(xué)采取了哪些數(shù)據(jù)安全相關(guān)保護(hù)策略?
沈富可:海師大在保障數(shù)據(jù)安全方面所做工作包括:
在制度層面,出臺了《海南師范大學(xué)信息安全總體方針》《海南師范大學(xué)網(wǎng)絡(luò)安全管理制度》《海南師范大學(xué)信息安全管理體系職責(zé)》等一系列制度。
以及更具體的,如《海南師范大學(xué)信息安全產(chǎn)品采購、使用管理制度》《信息網(wǎng)絡(luò)與數(shù)據(jù)中心人員安全管理制度》等。但相關(guān)制度建設(shè)目前剛起步,還談不上有可借鑒的成果。
除了上述制度辦法,海師大長期致力于加強(qiáng)人才隊伍的建設(shè)。一個符合所有信息化(包括數(shù)據(jù)安全工作)要求的具有一定開發(fā)能力的信息化團(tuán)隊是非常重要的,人才是使頂層設(shè)計能夠落地實現(xiàn)的根本。
此外,在技術(shù)保障機(jī)制上,海師大也做了一些有益的嘗試。學(xué)校的信息化團(tuán)隊搭建了包括基礎(chǔ)數(shù)據(jù)在內(nèi)的信息化基礎(chǔ)底座,封裝了包括認(rèn)證、授權(quán)、連接、交互、可信等基礎(chǔ)服務(wù)的API。
由學(xué)校的團(tuán)隊負(fù)責(zé)運維支持,職能部門、社會力量等第三方合作伙伴可以在有限范圍內(nèi)授權(quán)使用特定數(shù)據(jù),避免了數(shù)據(jù)泄露風(fēng)險,這個框架和模式的搭建與維護(hù),形成了海師數(shù)據(jù)“以我為主”、有限授權(quán)訪問的機(jī)制,嘗試從根本上解決多主體安全機(jī)制,正在逐步形成自主可控、可持續(xù)、可伸縮的數(shù)據(jù)安全發(fā)展模式。
《中國教育網(wǎng)絡(luò)》:針對校企合作中第三方對學(xué)校信息數(shù)據(jù)的采集及應(yīng)用,海師大是如何保護(hù)隱私信息的?
沈富可:高校信息化廣泛涉及各個業(yè)務(wù)部門、院系、個人等,其涵蓋的內(nèi)容又涉及教學(xué)、科研、管理和服務(wù)模式的創(chuàng)新,以及學(xué)校的內(nèi)涵發(fā)展,既要有宏觀支持,也需要非常具體的細(xì)節(jié)支持。建設(shè)過程中涉及的參與主體也非常多,各個高校的信息化團(tuán)隊、業(yè)務(wù)部門和第三方合作伙伴的分工協(xié)作情況不盡相同。
海師大建設(shè)的信息化基礎(chǔ)底座是一個“安全的、可擴(kuò)展的信息化中間件”,作為信息化建設(shè)的基礎(chǔ)支撐,封裝了包括認(rèn)證、授權(quán)、連接、交互、可信等基礎(chǔ)服務(wù)的API,其中涵蓋統(tǒng)一身份認(rèn)證、授權(quán)以及日志記錄等支撐信息化建設(shè)的基礎(chǔ)服務(wù),提供基礎(chǔ)服務(wù)訪問標(biāo)準(zhǔn)、接口。基于該底座,無論是支持學(xué)校教學(xué)、科研和管理決策,還是和第三方展開合作,都能夠最大限度保障數(shù)據(jù)安全,保護(hù)個人隱私。
《中國教育網(wǎng)絡(luò)》:安全問題是“十四五”繞不過去的“坎”,您認(rèn)為高校在“十四五”規(guī)劃中應(yīng)如何建立數(shù)據(jù)安全和隱私保護(hù)體系?
沈富可:我的建議是不要繞坎直面問題,解決問題,也即所謂的“問題導(dǎo)向”。
首先要分析之前信息安全、信息化建設(shè)中存在的問題以及這些問題背后的原因。同時面向未來五年,給出針對性的對策及措施,不回避問題,也不好高騖遠(yuǎn),實事求是,一步一個腳印,“坎”一個個克服,信息安全的問題才能驪決,十四五目標(biāo)才能實現(xiàn)。
其次,基于海師大的建設(shè)經(jīng)驗,我建議高校“十四五”規(guī)劃除了進(jìn)一步明確建立高校數(shù)據(jù)安全和隱私保護(hù)體系的重要性之外,技術(shù)上要搭建一個“開放、安全、可擴(kuò)展的信息化基礎(chǔ)框架”,為高校業(yè)務(wù)部門、院系、用戶的信息化建設(shè)和應(yīng)用提供安全支撐,并重視信息化隊伍建設(shè),加強(qiáng)信息安全的培訓(xùn)等。
教育網(wǎng)記者、責(zé)編:鄭藝龍
