數據安全：高校數據鏈條中最重的一環

文/沈富可

數據安全：高校數據鏈條中最重的一環

文/沈富可

最近華為和騰訊對于微信用戶之間的數據之爭又一次將大數據的重要性展示給人們，而數據安全問題是大數據時代首先需要面對的關鍵問題。

在“徐玉玉”事件之前，我們對于教育行業的數據安全問題所引發的嚴重后果可能尚缺乏思想準備，而這起事件給了我們一個警醒：教育行業的數據安全極其重要，每一條數據都應當被安全、妥善地管理。

在討論高校數據安全保障之前，我們需要先梳理學校所擁有的各種數據，明確這些數據的權屬關系，在此基礎上進行安全級別、保障機制、評價方法等一系列行動。

高校數據可大致分為人、財、物的基礎數據、資源數據和行為數據。其中，人的基礎數據是指師生個人信息，如姓名、年齡、住址、身份證號等，權屬應該歸師生個人所有；財、物的基礎數據如房產、資金等面向管理和服務的數據權屬應該歸學校所有；資源數據是指教學資源、電子圖書、研究資源等，有些權屬歸學校而有些歸教師個人，有些可能由學校、個人共有，需要視具體情況而定；行為數據是指師生在學校信息化環境中的用戶網絡行為，為了享受某些特定的網絡服務而必須“伴隨式”收集的訪問行為的日志記錄等，這些權屬也應該屬于學校。

學校應該保障好一切跟學校財物相關的基礎數據、權屬屬于學校資源數據和相當范圍內的行為數據，也應該保障好個人授權給學校代為管理的其他個人基礎數據。

這里需要指出的是，個人授權給學校使用或管理的權限應該是有限的、面向某些特定應用場景的，不應該是無限的。目前高校的很多信息系統累積下來的數據大多是面向管理的，包括人、財、物的基礎數據以及部分資源數據，行為數據的收集是比較有限的。涉及到數據安全的工作也主要是面向人、財、物的基礎數據以及資源數據，而且是剛剛起步。起步較早的學校已經開始了數據類型的劃分、權屬關系的劃分以及保護級別的劃分工作，但大部分高校在此方面的工作仍然很薄弱。那么，下一步高校的數據安全工作如何實施？

有幾個方面的工作需要逐步開展：第一，梳理數據類型及權屬關系；第二，確立不同主體的角色及安全規范；第三，確立一套技術架構以及管理機制保障這些目標的實現。

做好數據安全工作需要一個健全的保障體系，這個體系除了一支有戰斗力的隊伍之外，還需要包括制度設計和技術設計兩個層面進行相互補充相互依存，才有可能各個角色各取所需、有章可循。

（作者系華東師范大學信息化辦公室主任）