數據安全全過程管理
——以大連理工大學為例

文/張巍

數據安全全過程管理
——以大連理工大學為例

文/張巍

《網絡安全法》出臺后，以法律的形式明確要求各類組織切實承擔起保障數據安全的責任，因此高校必須高度重視數據安全工作，做好數據安全的全過程管理。

大連理工大學在數據安全管理方面也遇到了一些困難和問題，針對這些問題，大連理工大學通過規范數據全過程管理，在一定程度上避免了數據安全事件的發生。

我們認為，加強高校數據安全管理，首先要讓師生、業務部門了解什么是信息化數據，學校有哪些信息化數據。簡單地說，信息化數據是指學校各職能部門、各二級單位以及全校師生員工在履行職責過程中產生或獲取的各類數據，包括但不限于各業務部門直接或通過第三方依法采集的、依法授權管理的和因履行職責需要依托信息化系統形成的信息化數據等。數據的內容涵蓋學校組織機構域、人力資源域、學生管理域、教學資源與管理域、科研管理域、財務資產域、數字檔案域、個人信息域、公共服務域、系統數據域等。

數據內涵界定清晰后，師生和業務部門明確了數據是怎么產生的，學校有什么數據，可以有效避免重復采集數據、線下傳遞數據等安全隱患。

數據安全管理四大原則

數據時代，高校掌握盡可能多的數據十分必要，但高校信息化部門在進行數據治理，獲取數據資源過程中經常遇到的困難是業務部門以數據保密等原因不愿意把數據共享出來，把數據資源當作本部門的私有財產，只要解決本部門問題即可，不能站在學校層面考慮數據資源共享問題。同時，業務部門在自有數據管理、使用過程中對數據安全重視不夠，也發生過數據泄露的安全事件。因此學校應明確數據資源的管理原則，保證能夠獲得數據，并且安全管理和使用數據。

1.統籌建設原則

數據是學校的公共資產，各業務部門的系統不是怎么建設都可以，必須在信息化部門統籌規劃和參與下建設，以保證學校需要的數據能夠由業務部門生產、維護和共享，保證業務系統安全、數據安全。同時，大連理工大學用一年的時間對各業務部門所需填寫的表格進行了集中梳理，對梳理出來的1萬余條數據字段進行分類匯總分析，確認哪些數據已有，哪些沒有；數據的生產部門是那些，數據的使用部門是哪些；沒有的數據應該由哪些業務部門負責生產，并參與到這些部門系統建設、升級的過程中，系統通過安全檢測后才可以上線，統籌解決了所需數據的采集和安全管理。

2.全面共享原則

大連理工大學明確提出業務部門生產的各類數據以全面共享為根本，不共享為例外。如有哪些數據不共享，業務部門必須拿出明確的法律法規或學校規章制度依據，否則都需要普遍共享或有條件共享。這樣做可以有效保障信息化部門充分獲得學校已有的各類數據，建設公共數據庫平臺，在平臺層面實現各類數據資源的共享、交換，避免線下傳遞數據引發安全隱患。

3.依法使用原則

在大連理工大學公共數據庫建設不完善、制度不健全時期，各部門所需要的數據大多是找到相關部門導出電子文檔線下傳遞，沒有有效的監督，數據安全風險極大。在大連理工大學公共數據庫建設較好初期，許多業務部門或個人的數據使用也不規范，往往給信息化部門打個電話、發個郵件就可以獲取到相關數據，各方數據安全意識都不強，數據泄露風險極大。因此有必要明確數據使用原則，只有在履職或科研等特定工作需要的情況下，才可以申請使用信息化數據，且只能在申請范圍內合法、合理使用，不得濫用，保證數據安全。

4.安全可控原則

業務系統可能泄露本部門的數據，而學校的公共數據平臺有可能泄露學校的全部數據。因此信息化部門首先應加強公共數據平臺的安全建設和管理，建立完善的數據共享安全機制，確保數據平臺的安全。提供數據盡量以平臺對接方式完成，提供數據內容盡量最小化，不需要的數據不提供，需要的數據敏感信息脫敏后再提供。對數據使用者而言，按照 “誰使用，誰負責”的原則，在嚴格履行數據使用申請、審批、簽署保密協議的基礎上，信息化部門還要加強數據的使用監督和安全風險提示，對存在安全隱患的使用方式停止數據提供。

五大步驟推動數據安全工作

高校對數據的重要性已經達成共識，但對數據安全工作重視還需加強。數據生產的業務部門對業務系統安全、數據安全重視不夠，師生的個人數據安全保護意識欠缺，數據使用者對數據安全的忽視，都可能導致安全事件的發生。那么大連理工大學是如何推動數據安全工作的呢？

1.健全數據安全管理機構和隊伍

大連理工大學成立的“網絡安全與信息化建設管理委員會”由黨委書記和校長擔任主任，委員會下設“網絡與信息安全工作組”，由宣傳部、保衛部、網信中心的負責人共同擔任組長，負責全校輿情、政治保衛、網絡信息安全工作。同時，大連理工大學各二級單位主要負責人為本單位數據安全管理第一責任人，各單位業務系統管理員是本單位數據安全管理人員。學校一把手、各單位主要領導親自抓網絡安全工作，又有具體數據安全管理隊伍，使得數據安全工作有領導、有隊伍、有抓手，形成數據安全工作齊抓共管的局面。

2.建設學校公共數據平臺

要規范學校數據的管理，避免數據線下傳遞和出現無序采集、擴大化采集和非法使用、超范圍使用數據等安全問題，就必須建設學校的公共數據平臺，實現學校所有數據的統一管理，為業務部門之間數據資源共享交換、數據使用提供支撐。大連理工大學從2009年開始建設公共數據平臺，當時只建設了沒有按主題域細分的公共數據庫，沒有建設數據標準管理平臺、數據清洗交換平臺、歷史庫和行為數據庫等，導致數據共享使用效果不理想，一些業務數據還是通過線下方式進行傳遞。2016年開始，大連理工大學開展新一輪基礎平臺建設，其中最核心的內容是進行數據治理和建設公共數據平臺。為保證平臺建設質量，大連理工大學規定全校性的管理信息系統都必須納入信息化數據共享工作范圍內統籌建設與管理，與公共數據平臺對接，使得公共數據平臺數據更完整和準確，平臺作用得以發揮。

3.加強業務系統安全和運維管理

高校由于業務系統安全漏洞、系統不規范運維、系統管理員和用戶弱密碼等原因造成的數據泄露是發生數據安全事件的最主要原因，因此加強數據安全工作，要從數據產生源頭——業務系統的安全管理著手。目前大連理工大學大部分業務系統完成了等保定級，新開發系統只有完成安全檢測才能上線，網信中心也定期對校內系統進行安全檢測，對發現有問題的系統臨時限制在校內訪問，對所在部門發出書面整改通知書，整改完成后恢復使用；在系統運維方面，對于公司代維護的業務系統，公司維護前需申請校內堡壘機臨時使用權限，通過堡壘機進行運維。網信中心負責各業務系統的技術負責人也通過堡壘機對系統云主機進行定期的安全運維；在系統管理方面，學校要求業務部門定期對本部門負責管理的數據進行檢查，明確數據的修正、補充、更新、刪除等操作流程，保存數據運維過程中所有相關的日志記錄，避免因人為誤操作導致的數據安全風險。學校也培訓和要求各業務系統管理員加強系統登錄權限、密碼的管理，避免初始密碼、弱密碼、助學學生代管、公司代管系統的情況發生。同時，大連理工大學的統一身份認證系統進行了密碼強度校驗，登錄時強制修改滿足要求的密碼，未來，大連理工大學將逐步隱藏各業務系統的登錄鏈接，系統管理員和普通用戶登錄業務系統都通過安全性較高的統一身份認證系統來完成。

4.嚴格數據資源使用審批和監管

大連理工大學明確規定各業務部門和個人在使用校內數據時只能通過公共數據平臺獲得，不允許業務部門以離線文檔的形式傳遞。在數據使用申請管理上，學校所有的信息化數據使用都需向網信中心提出書面申請，簽署數據使用保密協議，審批通過后才能獲得數據。對于普遍共享類數據，需求經網信中心申請得到批準后，網信中心通過公共數據平臺直接提供數據；對有條件共享類數據，網信中心還會將申請轉至數據產生部門審批；在數據使用上，學校要求所有數據使用者承諾在使用數據時必須保護個人隱私，數據只能用于申請授權范圍以內的用途，不得將獲得的數據公開，不得直接或以改變數據形式等方式提供給第三方，也不得用于或變相用于其他目的。

5.開展數據安全問題追責

大連理工大學以文件的形式明確規定對不按照規定隨意采集、濫用、非授權使用、擴大范圍使用、未經許可擴散和泄露數據且對學校和個人造成損失的行為進行嚴肅追責，按照學校和相關規定予以處理。

數據為王時代，機遇與挑戰并存，數據安全形勢日益嚴峻，高校數據安全工作未來將面臨更大的挑戰。高校掌握大量的數據的同時也集中了風險，數據安全、數據使用、決策支持、隱私保護等等問題，已經觸及了法律和倫理地帶，需要高校信息化工作者帶著對數據安全的敬畏認真思考，加強數據安全管理，使數據在合法合規使用的前提下發揮更大的作用。

（作者單位為大連理工大學）