基于大数据背景下高职院校网络与数据安全治理体系研究
——以天津城市职业学院为例

宁 东

(天津城市职业学院,天津 300250)

一、 引言

党的十八大以来,习近平总书记高度重视网络安全与数据治理工作,围绕切实维护国家网络安全,发表了一系列重要讲话,对做好新形势下的网络安全和数据安全建设工作提出明确的要求,多次强调“没有网络安全就没有国家安全,没有信息化就没有现代化”。2017年6月1日,《中华人民共和国网络安全法》正式实施,开启了我国网络空间领域的建设发展和安全治理的新篇章。随后《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继出台,为网络空间综合治理工作提供了法律依据。在“十四五”不断深化的过程中,教育的数字化转型进入教育管理者的视野,“实施教育数字化战略行动”成为教育信息化的工作指引,文件指出的“强化数据挖掘和分析,构建基于数据的教育治理新模式”为教育信息化工作提出了更高层次的要求。各高校在做好网络安全建设工作的同时将工作重心向数据安全转移,持续开展网络与数据安全治理工作,但受技术能力限制,加之缺乏管理经验,高职院校的网络与数据安全问题依然突出,信息系统被攻击、网站被非法篡改、隐私信息被泄露、师生被网络诈骗等安全事件频繁发生,大量的教育数据得不到有效的挖掘和利用,甚至被滥用、泄露,造成极其恶劣的社会影响甚至危害。学校内部也出现数据资产不清晰,数据流动路径不明、数据共享与数据安全不平衡等问题。因此,如何深入践行新时代网络安全观和数据安全观,有效应对教育系统各种网络与数据安全威胁,仍然是各高校需要认真研究的现实问题。建立立体、多维度的网络与数据安全治理体系,无疑是当前解决这些问题的有效手段。

二、 学院网络与数据安全治理体系建设的必要性研究

(一)加强网络与数据安全治理体系建设是落实总体国家安全观的具体实践

近年来,随着网络空间的安全形势的日益严峻,国家安全的内涵向网络和数据安全延伸。自2017年以来,国家相继出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等一系列法律法规,从政策层面构建了网络安全法律法规体系。这些法律法规对数据的安全与共享进行了宏观布局与规划,既赋予了公民权利,也明确了应当承担的义务。教育领域作为数据资源的重要生产基地,各级各类的信息系统每天都在持续记录学生和教师日常教育教学活动信息、行为数据。对这些数据进行安全合规治理,充分挖掘和分析数据背后所蕴藏的价值、保护好数据安全是现阶段落实国家总体安全观的重要表现之一,因此更需加强相关法律法规的学习,做好教育数据的治理及安全体系建设,从风险出发、以合规为底线,落实好网络与数据安全的主体责任,在校园内营造尊重个人隐私,保护数据安全的良好氛围。

(二)加强网络与数据安全治理体系建设是学院高质量发展的战略需要

加强学院网络与数据安全治理体系建设有利于为学院教育在业务、技术、管理上为教育决策提供支撑,更好地谋划学院教育事业发展。通过对教育数据的治理,挖掘分析数据背后所蕴藏的信息,能够促进学院提升智慧校园建设水平,推动信息技术与教育教学深度融合,实现个性化学习、重构教育评价体系,发挥信息技术对教育、教学、科研等核心业务的支撑作用,助力学院各项事业发展。加强学院的网络与数据安全治理体系的建设还有助于增强自身安全防护水平和应急响应处置的能力,提升信息化服务水平,为学院高质量发展提供有力支撑和保障。

(三)加强网络与数据安全治理体系建设解决数据孤岛难题

教育的发展离不开“数据”的支撑。由于早期缺乏网络与数据安全领域相关法律、标准规范的指导,各校都出现了数据资产不明确、数据标准不统一、数据共享不畅通等一系列问题,数据大多是分散在不同信息系统、不同应用平台中,这些数据是单一的个体数据,没有关联性,利用价值不高,对教育决策的支撑作用不明显。随着网络与数据安全治理体系的建设,通过对信息系统和数据资产进行全面梳理和数据标准体系的建设,可以将分散的数据进行统一管理和定义,打通“数据孤岛”,实现数据流动与共享,以满足不同时期、不同业务部门的实际需求。

三、 学院网络及数据安全治理现状

学院的信息化建设经过多年积淀与发展,产生了大量的过程数据、衍生数据,形成了教育系统的数据资产,在网络和数据安全已经上升到国家安全层面的大背景下,做好教育网络与数据安全治理体系建设显得尤为重要。

(一)网络和数据安全建设情况

目前学院的互联网出口拥有多家运营互联网访问出口,总带宽1G,在网络出口部署了负载均衡、下一代防火墙、日志审计、VPN等网络安全设备,通过光纤直连实现了各校区网络互通互联。

学院部署了虚拟化服务器,使得服务器的使用效率得到极大的提升,优化了硬件资源利用率。

目前学院有多个信息系统,包括展示学院风貌和招生信息的门户网站;提高教师工作效率的教务管理系统;为老年教育提供教育资源的E家园网站;在线教育综合服务平台;为师生提供服务的“一卡通”系统等,这些系统在不同领域提供了服务支撑,产生大量的业务数据、系统数据、教学资源、档案资料数据等。

随着大量教育信息系统的衍生数据出现,教育数据治理迫在眉睫。依据《中华人民共和国数据安全法》,学院成立了网络与数据安全工作领导小组,并根据现有的工作流程,制定了学院数据安全治理工作的相关管理办法。初步搭建起组织架构,梳理制度与规范。

(二)存在的主要问题

尽管学院当前的网络与数据安全治理工作及相关监督体制正在日趋完善,但仍然存在数据资源分散,数据标准不统一,数据资源利用率不足等诸多方面的问题,网络与数据安全治理工作面临的困境和挑战也越来越大。

1.数据资源较为分散、数据标准不统一

经过多年的信息化建设,学校各职能部门,例如学生处、后勤处、教务处等部门存有大量的数据资源,但业务数据资源分布在独立的应用系统内,由于建设程度不同、建设年代不同、技术路线不同,数据标准不统一,部门数据很难高效整合应用,使得数据流动困难,数据的分析价值不明显。

2.数据资源统筹利用的机制尚不完善

当前,尚未形成数据共享机制,数据资源共享利用缺乏统筹管理,导致数据共享工作效率低,数据的可用性不高、鲜活度不够,对后期统计分析、共享利用造成了不利影响。亟待建立数据资源共享机制,打破各部门横向管理层面存在的制度约束,站在全局的高度,统筹资源,协调管理,建立数据开放共享与使用的激励政策和奖惩制度,以有效解决数据共享中遇到的难题和问题,打破信息孤岛,加强信息共享,提升工作效率。

3.网络与数据安全治理组织协同机制不健全

学院虽然搭建了网络与数据安全治理工作组织架构,也成立了由学院多个部门组成的工作领导小组。但数据安全治理工作涉及多个部门,在数据全生命周期治理范围内,需要多个部门协同配合,共同分担。目前存在沟通效率较低,协同难度较大的问题,需要建立统一的网络与数据安全治理组织架构以及协同机制,分阶段分层次地切实履行数据安全管理责任。

四、 学院网络与数据安全治理体系建设的总体思路

学院网络与数据安全治理体系建设的总体思路为:以现行《网络安全法》《数据安全法》为法律依据,以安全性、合规性、全面性为原则,以数据为核心,围绕教育应用场景,从搭建组织架构、建立数据规范及管理制度入手、以技术为手段、全面开展数据治理工作,做好数据安全运维保障,充分考虑教育数据全生命周期,建立完善的教育数据安全管理体系。

具体建设思路:

第一步:建立学院网络与数据安全治理组织机构和制度体系

要建立院校网络与数据安全治理工作的组织架构,建立决策层(数据安全领导小组)、管理层、执行层、监督层,明确机构职责和人员职能。解决“干什么、怎么干、谁来干”等关键问题。建立与数据安全相关的管理制度和标准规范体系,包括且不限于数据安全治理的相关方针与策略、管理与制度、标准与规范。修正和完善现有网络与信息安全管理制度。

第二步:学院教育数据资产梳理

本阶段的建设目标就是要梳理和识别数据资产,摸清数据资产家底。可以按照学院现有的信息系统、教育应用场景、教育业务流程、行为、状态等维度进行梳理。通过调研和识别将分布在各部门的信息系统、数据库、存储、服务器、云端、终端等节点的数据资产进行盘点,对数据资产的用途、数据类型、分布位置、存储容量、合规性及安全要求等应用情况进行全面的分析,生成唯一、准确、全面的《数据资产清单》,落实“一数一源”“多源审核”。

第三步:建立学院《数据分级分类标准》及配套管理制度

数据分类分级是数据安全治理的前提条件和关键步骤,只有对数据进行有效分类分级,才能针对不同的数据类别和安全级别,采取不同的安全措施,保障数据在安全合规的前提下开放共享和使用。

第四步:建立数据安全治理的技术体系

围绕教育数据全生命周期,建立数据安全治理的技术体系,开展风险识别、安全防御、安全监测、安全处置、应急响应,形成数据安全治理的技术能力。根据教育数据资产的分类分级,进行安全风险核查,部署防御措施和技术工具。通过技术工具的使用和完善,对重点安全场景实现全方位的保护。实现对数据安全威胁的识别、追溯和应急响应,提高综合防护能力。

第五步:建立数据安全治理保障体系

数据安全治理是一项覆盖教育数据、业务、技术、管理等多个方面、需要多方联动,协同配合的复合型工作。因此需要建立数据安全治理的长效机制,需要人员、流程和技术紧密结合。

五、学院网络与数据安全治理体系设计方案

网络与数据安全治理建设的目标是以安全合规为前提,以数据治理为核心,聚焦数据安全生命周期,围绕适合学院教育数据安全多元化应用场景,规划设计全局化和开放性的网络与数据安全治理体系,提升网络与数据安全治理能力,建立数据资产可查、数据权限可管、数据风险可控、数据价值可用的保障机制,在确保数据安全的前提下实现数据资产的合理开发利用,充分发挥数据的价值。

(一)总体架构

天津城市职业学院网络与数据安全治理整体架构分为四层,分别是安全基础、数据接入、数据中心、安全运营,各层级之间是相互关联的,且基于学校现有数据基础和业务能力,以网络与数据安全政策法规和标准规范为依据,通过安全管理机构与运维团队数据安全治理,打通各业务系统,实现数据流转,建立健全学院统一的数据标准,对数据的全生命周期进行采集、传输、存储、使用、共享、销毁等加工和处理,实现数据在各系统间的流动。通过安全运营,实现数据的开放、共享与分析,为其他业务提供数据支撑。

图1 学院网络与数据安全治理体系整体架构

1.安全基础

以网络安全等级保护为前提,升级校园现有基础设施,为数据安全治理提供坚实的安全底座。

2.数据接入

主要包括学校现有应用系统、物联服务平台、视频平台及其他平台、数据库等,完成各个平台业务数据和设备数据到数据中心的接入和集成,通过身份管理、认证管理、权限管理等多种方式,为数据中心提供数据来源。

3.数据中心

通过对数据全生命周期的加工与处理,构建数据集成能力,根据上层应用和运营的需要,对各个子系统的数据进行梳理,形成标准数据规则,打造统一的数据底座,消除底层业务子系统的信息孤岛。

4.安全运营

安全运营中心的功能包括教育数据资产的管理、数据的合规性审计、数据安全动态实时监测、数据安全态势感知、通报和预警。数据中心中的数据经过标准化处理后上传到安全运营中心,完成数据的汇聚、分析及数据治理,实现数据的开放与共享,掌控和监管数据,以保障数据安全。

(二)构建学院网络与数据安全治理组织架构

学院成立网络与数据安全治理工作领导小组,对学院各类数据安全负总责。负责指导学院各系部、职能部门深入贯彻落实党中央、市区委关于网络与数据安全的相关法律、法规和工作部署,建立学院网络与数据安全治理体系的组织架构,持续健全完善网络与数据安全风险评估、监测预警和应急处置制度机制,及时预警防范数据安全领域重大安全威胁,提高相关数据安全防护能力。指挥调度学院深入开展数据安全风险排查工作,排除安全隐患,杜绝发生网络与数据安全责任事故。

领导小组办公室设在学院党政办公室,负责对领导小组和工作组议定事项、工作安排的办理、落实、督办。起草领导小组相关制度文件、工作方案、应急预案以及情况报告,筹备相关会议,统筹协调各成员部门深入开展日常数据规范管理、安全隐患排查整改等工作,并向上级网信安全管理部门及时报送相关工作情况。制订数据安全事件的追责制度,强化安全责任与风险意识,推动网络与数据安全工作的有效执行与协作运行。

学院宣网处负责网络与数据安全策略与规范的制定与执行,以及数据存储、数据交换、数据使用与共享、数据信息门户等公共基础平台的建设、运维和技术支持工作。

学院可聘请第三方专业技术团队对我院数据安全工作进行专业指导与梳理,在合法合规的前提下,监督和协助我院数据安全决策管理层与技术团队做好相关工作。

(三)教育数据的分类与分级

数据的分类分级可以按以下五个步骤来实施:

1.建立分类分级组织体系

由涉及各业务系统的业务部门(如:招生就业、教务、科研、人事、后勤等)、信息安全部门、数据治理部门、网络安全运维部门、第三方专业数据治理服务人员等多部门人员组成,并建立协同联动机制,从业务发展需求入手,按照数据敏感级别和公开程度制定分类分级的标准和相关制度,开展具体的分类分级工作。

2.制定学院分类分级标准

由数据分级分类组织管理团队成员一起编写供学院内部使用的《数据分类分级标准》,用于指导具体开展数据分类分级工作。

3.建立分类分级管理制度

由上述团队成员一起编写供组织内部使用的分类分级相关的管理制度,如:《数据分类分级工作流程》《数据分类分级审核流程》《数据类别级别变更策略和流程》等,用于指导分类分级工作的开展。

4.数据分类分级的实施

开展具体的网络数据分类分级工作,从风险角度出发,结合国家及教育行业有关法律法规、规范标准、部门规章制度,理清核心数据、敏感数据、普通数据,对数据安全等级进行判定并加以区分,根据内容和重要性对数据进行分类分级,整理形成分级分类目录,制定数据安全策略,部署安全措施。

5.评估审核

由审核人员依据数据规模、数据时效性、数据形态(如是否经过加工、脱敏处理)等因素,对数据安全级别进行评估,根据评估结果进行调整,最终实现数据安全级别的划定和分类与学院数据安全保护目标一致,从而形成数据安全级别评定结果及定级清单,最终由拥有数据安全管理级别最高的决策层对数据安全分级结果进行审议批准。

(四)部署技术工具,加强技术与防御体系的建设

通过使用技术工具,可以有效落实各项数据安全的管理要求、提高管理效率、加强技术保障。借助工具,可以更快地梳理数据安全事件的类型和应用场景,以此搭建技术防御体系,查找数据全生命周期内各阶段的安全隐患并加以解决。物理层面可以通过部署防火墙、防病毒软件阻止窃取、篡改或破坏敏感数据的行为。加强用户身份管理和访问控制的能力,建立数据加密、解密、数据脱敏、水印溯源、数据库审计、数据防泄漏、数据备份、数据擦除等技术等能力,建设应用网关、API网关等。

(五)加强保障体系建设,提升安全人员能力

数据安全治理工作的效果很大程度上取决于数据安全专业人员的工作执行情况。为进一步落实学院总体数据安全规划下的具体工作,学院数据安全工作领导小组认真梳理当前的数据安全工作需求,分析岗位职责、评估专业人员能力,将工作任务与具体的岗位、人员进行匹配。通过分析当前人员的能力水平差距,不断完善数据安全培训机制,制定培训计划,提升专业人员的数据安全意识、保密意识、权属意识、制度规范、操作方法、技术规范和工作流程等,做好数据安全人才使用规划和人员储备计划。

六、结束语

在“实施教育数字化战略行动”的大背景下,教育数据承载的价值将会越来越高,教育网络与数据安全治理建设也将迎来更大挑战。未来如何激发数据活力、挖掘数据价值,成为“互联网+教育”数字转型新时期赋予高校信息化工作的重要发展使命。通过本文的研究,不仅对数据安全治理体系建设进行了初步探索与实践,还为职业院校网络与数据安全治理工作摸索出一条新的实施路径。未来的工作中心将以“数据服务”为重点,提高教育业务赋能效率,筑牢网络与数据安全屏障。