大數據時代高校大學生信息保護的重要性及措施研究

馬麗梅

（河北師范大學 計算機與網路空間安全學院，河北 石家莊 050024）

近年來，各省發生了多起高校學生隱私信息泄漏事件，導致學生姓名、學號、身份證號碼、出生年月甚至銀行卡賬號等被人通過校園網絡盜取。高校管理人員如何防范高校學生隱私信息被盜取、保證學生的信息安全問題是亟待解決的問題，高校學生的隱私信息安全保護刻不容緩[1]。

1 高校學生隱私信息的分類和特征

高校學生的個人隱私信息主要包括兩類：（1）常用信息隱私，包括姓名、學號、年齡、班級、家庭住址、身份證號、父母姓名、一卡通消費信息、考試成績、考勤、性格、健康、日常表現等過程類、學習類、生活類信息，也包括疾病史、過敏史等身體隱私。（2）網絡隱私，包括微信、微博、郵件、電話、QQ、空間隱私、網絡信息類。

高校學生隱私有兩個重要特征[2]：（1）涵蓋內容豐富，在信息時代，數據是財富，對于個人而言，個人信息、個人數據在一定意義上也是個人資產。高校學生的信息不同于其他類別人的信息，就高校學生這個特殊群體來說，除了和其他類別人物相同的信息以外，還包括學生的成績、獎懲情況、個人身心情況、一卡通消費記錄、校園網訪問記錄等，顯然也屬于個人物隱私信息，不宜公開發布或不做限制的瀏覽。（2）隱形特征顯著，通過跨學科、線上線下的信息積累、關聯和大數據算法及模型，學生的學習習慣、學習能力、興趣愛好、性格特點、消費能力和偏好等深層個人特征被推算出來。

2 高校學生隱私信息存在的安全風險

在錯綜復雜的互聯網時代，高校學生隱私信息的安全風險不僅是高校自身的問題，也包括學生自己和第三方對信息保護的疏忽大意，主要體現在以下3個方面：

（1）學校業務過程中的信息泄露，包括新生入學、學生入黨、學生體檢、獲獎公示等業務環節會進行紙質信息統計，而對紙質信息的隨意處理則會導致信息泄露。

（2）學校業務系統的信息泄露，包括學校的教學、學工等業務系統由于自身漏洞或遭受黑客攻擊等造成信息泄露。

（3）各種APP注冊造成的信息泄露，包括APP運營商以“免費禮品”為誘餌，讓學生注冊并填寫信息，后期可能向其他商戶變賣或分享來獲利，造成學生信息泄露。

3 基于WinRoute Firewall的防火墻過濾規則

大部分學生的信息都是被別有用心的人通過校園網盜取的，在技術上，應部署防火墻、認證系統、堡壘機，對訪問進行篩選，阻斷異常的訪問和查詢，防止重要信息被泄露、篡改或者刪除，用WinRoute Firewall創建包過濾規則：禁止使用ping命令、FTP訪問、HTTP訪問[3]。

（1）禁止使用ping命令，防止學校內網的Web服務器被外網的計算機使用“Ping”指令探測。因為Ping命令使用的的協議是ICMP，在protocol選擇“ICMP”協議，在“CMP Type”中，將復選框全部選中。在“Action”欄目中，選擇“Drop”。在“Log Packet”中，選擇“Log into Window”，創建完畢后點擊按鈕“OK”，禁止使用ping命令規則就創建完畢示。設置完畢，客戶機對學校的Web服務器使用“Ping”指令時，學校的服務器就不再響應外界的Ping指令了。雖然學校的服務器沒有響應，但是已經將事件記錄系統的到安全日志里。選擇“View”下的“Logs>Security Logs”可查看日志紀錄。

（2）用WinRoute禁用HTTP訪問。當在日志中發現IP地址10.10.2.2，或者通過 namp掃描，發現IP地址10.10.2.2有惡意訪問學校服務器202.206.100.3的嫌疑時，就可以在WinRoute中設置禁用HTTP訪問。設置規則：動作為禁止，惡意IP為10.10.2.2，服務器的IP為202.206.100.3，源端口為全部，目的端口為80，協議類型為TCP。當瀏覽服務器的網頁時，將遭到拒絕，不能打開202.206.100.3頁面。

（3）用Win Route禁用FTP訪問。FTP是文件的下載服務，黑客掃描發現學生的信息后，使用FTP下載。可以設置Win Route禁用FTP訪問，設置規則：動作為禁止，源IP為全部，目的IP為202.206.100.3，源端口為全部，目的端口為21，協議類型為TCP。設置訪問規則以后，再訪問服務器202.206.100.3的FTP服務，將遭到拒絕，訪問違反了訪問規則，會在主機的安全日志中記錄下來。

通過部署漏洞掃描、入侵檢測等系統來檢測系統漏洞，發現攻擊，阻斷信息泄露的通道。

4 學校的管理措施

積極做好安全等保工作，對學校應用系統及數據進行等保備案。制定并切實履行信息審核發布機制，“誰發布、誰負責”。從機制上要求各部門承擔起應有的責任，引起足夠重視。建立“讀網巡查”檢測機制，確保“早發現、早下架”。鑒于各部門的網絡安全意識及技術手段參差不齊，信息中心應建立“讀網巡查”機制，及時查漏補缺[4]。

校企合作共建信息化是提升高校信息化建設水平的重要途徑，針對校企合作中第三方對學生信息數據的采集及應用，第三方采集的信息必須是通過學校的數據共享平臺或數據倉庫來進行傳遞，不允許第三方企業或平臺直接從業務系統或線下采集信息，以保障學校對被采集信息的可管、可控。

不斷完善相應規章制度，在《網絡安全法》實施之后，學校制定了相應規章制度，對與學校合作的第三方企業，在購置平臺、系統軟件時簽訂網絡信息安全協議，對學校業務部門相關信息人員隊伍簽訂數據保密協議。在第三方企業、平臺信息采集及應用方面，校方通過和第三方企業、平臺簽訂信息安全及保密協議，從保密義務和安全管理上對第三方企業、平臺進行約束。在技術層面上，通過數據分級保護制度、基于訪問控制的隱私保護、匿名化處理、信息加密等手段進行嚴格控制。

5 高校學生隱私保護體系的建立

應從國家層面開始，從機制、人員和設備著手，自上而下地建立一個一體化高校信息安全體系，覆蓋全校的數據安全，而不僅是局限于學生隱私保護。

（1）制定數據/信息保護的相關法律法規，如英國于2017年、歐盟于2018年都頒布了嚴格的數據保護法案。在高校應常態化地開展信息安全教育和信息安全評估，設立相關數據保護機構并明確其職責。

（2）加強法律法規的落地實施。目前，我國已經出臺一系列涉及學生隱私保護的法律法規，包括總攬網絡信息安全的《網絡安全法》、針對高等教育的基本法《高等教育法》，但問題在于相關條款內容都是原則性要求，可操作性不強。

（3）強化教育科技公司的責任。國內教育科技公司，尤其是目前位列第一梯隊的教育數據公司，應嚴格按照有關法律法規，在充分保障、尊重學生對隱私信息的知情權和控制權的基礎上，開展相應的教育數據的采集、傳輸、存儲、利用和分享。