高校數(shù)據(jù)中心數(shù)據(jù)安全風險分析及對策研究

王曉震 金培莉 陳瑛 宮旭 李海龍

[摘 要] ?對全國高校信息化發(fā)展狀況調研，以網絡安全保障、信息系統(tǒng)與數(shù)據(jù)治理的調研數(shù)據(jù)為基礎，分析高校數(shù)據(jù)中心數(shù)據(jù)安全管理現(xiàn)狀。從數(shù)據(jù)分類分級、數(shù)據(jù)安全管理制度、數(shù)據(jù)安全防護技術、數(shù)據(jù)活動主體等方面分析數(shù)據(jù)安全風險。對照安全風險隱患，逐一闡述安全風險應對策略，提出防護建議，輔助高校建立有效的數(shù)據(jù)安全防護體系，營造健康的數(shù)據(jù)安全環(huán)境。

[關鍵詞] 數(shù)據(jù)安全;高校數(shù)據(jù)中心;數(shù)據(jù)安全風險分析;數(shù)據(jù)安全管理

[中圖分類號] TP 393.08 ?[文獻標志碼] A ?[文章編號] 1005-0310（2021）03-0053-07

Abstract： ?Based on the survey data of network security and information system and data governance， this paper analyzes the current situation of data security management in university data centers. And from the data classification， data security management system， data security protection technology and data activity subject， this paper focuses on the data security risk analysis. Finally， according to the hidden danger of safety risk， this paper expounds the countermeasures of safety risk one by one， and puts forward protection suggestions， so as to assist colleges and universities to establish an effective data security protection system and create a healthy data security environment.

Keywords： Data security;University data center;Data security risk analysis;Data security management

0 引言

隨著教育信息化的推進，高校數(shù)據(jù)中心建設已經成為學校信息化建設的重點，它集成了教學、科研、管理等方面的系統(tǒng)數(shù)據(jù)，承擔數(shù)據(jù)匯集、數(shù)據(jù)管理、數(shù)據(jù)服務等任務，是對校園信息系統(tǒng)中的數(shù)據(jù)進行集中存儲、共享和交換的核心樞紐。高校通過數(shù)據(jù)中心建設，較好地解決了以往數(shù)字校園建設中的“信息孤島”問題，通過全面數(shù)據(jù)開發(fā)與利用，向高校師生提供了更多的數(shù)據(jù)服務，充分發(fā)揮了數(shù)據(jù)價值。

當前，高校數(shù)據(jù)中心的數(shù)據(jù)不斷積累，數(shù)據(jù)處理的角色更多元，系統(tǒng)、業(yè)務邊界更模糊，業(yè)務趨于協(xié)同。高校數(shù)據(jù)中心在帶來優(yōu)勢的同時也面臨新的風險，比如，數(shù)據(jù)權屬主體不斷變化，由數(shù)據(jù)生產單位共享到數(shù)據(jù)管理單位，再傳輸?shù)綌?shù)據(jù)使用單位;數(shù)據(jù)管理責任變得不清晰，數(shù)據(jù)的處理活動難以追溯和控制，普遍意義的信息安全防護工作很難專門應對數(shù)據(jù)安全風險。這就需要高校提高風險管控能力，促進高校數(shù)據(jù)中心業(yè)務的可持續(xù)發(fā)展。

1 高校數(shù)據(jù)中心的數(shù)據(jù)安全現(xiàn)狀

國外對數(shù)據(jù)安全及相關內容的關注較早。出于對公民合法權益的保護、企業(yè)的監(jiān)管以及國家安全的考慮，國外不少國家對數(shù)據(jù)安全進行立法保護。例如，德國的黑森州在1970 年頒布世界上第一部《數(shù)據(jù)保護法》，瑞典在1973年從保護個人數(shù)據(jù)的角度頒布《瑞典數(shù)據(jù)保護法》，歐盟分別于1995 年、2016 年頒布《數(shù)據(jù)保護指令》和《通用數(shù)據(jù)保護條例》，俄羅斯于2006 年頒布《個人數(shù)據(jù)保護法》等[1]。

在我國，從國家到各級教育管理部門、再到高校各個層面，數(shù)據(jù)安全問題越來越受到重視。2016年11月6日，我國頒布《中華人民共和國網絡安全法》，明確指出處理個人數(shù)據(jù)的合法、正當和必要這三大原則。2021年6月10日，我國頒布《中華人民共和國數(shù)據(jù)安全法》，旨在保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人信息安全，維護國家數(shù)據(jù)主權。教育部和省市相關管理部門分別出臺了《教育部關于加強新時代教育管理信息化工作的通知》（教科信函〔2021〕13號）、《教育部等七部門關于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》（教科信函〔2021〕20號）、《北京市政府投資信息化項目評審管理辦法》（京大數(shù)據(jù)辦發(fā)〔2021〕2號）、《北京市公共數(shù)據(jù)管理辦法》《天津市數(shù)據(jù)安全管理辦法（暫行）》等文件，明確要求提升數(shù)據(jù)安全防護和管理水平。① 本文數(shù)據(jù)由教育部科技發(fā)展中心與中國高等教育學會教育信息化分會共同成立的高校信息化發(fā)展監(jiān)測研究工作組授權使用。

2020年，由教育部科技發(fā)展中心與中國高等教育學會教育信息化分會共同成立的高校信息化發(fā)展監(jiān)測研究工作組對全國高校信息化發(fā)展狀況組織開展調研，共有1 183個單位填報了數(shù)據(jù)，包括一流大學建設高校38所、一流學科建設高校78所、其他普通高校545所、高職（專科）院校510所、其他教育機構及單位12個。調研的內容涉及信息化建設體制機制、基礎設施、信息系統(tǒng)與數(shù)據(jù)治理、信息化支撐教學、信息化支撐科研、網絡安全保障、新技術應用等7個方面。本文提取了信息系統(tǒng)與數(shù)據(jù)治理及網絡安全保障兩部分的調研數(shù)據(jù)①進行研究，分析高校數(shù)據(jù)中心數(shù)據(jù)安全管理現(xiàn)狀。

1.1 針對網絡安全和數(shù)據(jù)安全制度建設方面的現(xiàn)狀分析

針對網絡安全管理措施的調研結果顯示，有95%的高校已經制定了網絡安全管理辦法，44%的高校制定了個人信息安全保護辦法（如圖1所示）。

針對管理信息系統(tǒng)的調研結果顯示，管理信息系統(tǒng)作為數(shù)字化校園建設的主要發(fā)力點，已在高校校務管理的核心領域實現(xiàn)了全面覆蓋，為教學、科研、學生事務、人事、辦公自動化、財務和設備資產等關鍵業(yè)務提供有力支撐，并成為高校數(shù)據(jù)中心數(shù)據(jù)的主要來源（如圖2所示）。

針對網絡安全和信息化發(fā)展規(guī)劃的年度執(zhí)行情況的調研結果顯示，超過70%的高校制定了學校網絡安全和信息化發(fā)展規(guī)劃并能基本按規(guī)范執(zhí)行，但也有近30%的高校對網絡安全和信息化發(fā)展規(guī)劃的執(zhí)行度低于75%，更有9%的高校沒有制定網絡安全和信息化發(fā)展規(guī)劃（如圖3所示）。一流大學建設高校在發(fā)展規(guī)劃執(zhí)行程度上遠高于其他三類高校，超過一半的一流大學建設高校能夠做到完全按發(fā)展規(guī)劃執(zhí)行，但也有3%的一流大學建設高校執(zhí)行程度低于50%，還有3%的一流大學建設高校未發(fā)布規(guī)劃或發(fā)布未執(zhí)行。一流學科建設高校在制定和執(zhí)行發(fā)展規(guī)劃上略優(yōu)于其他普通高校和高職（專科）院校，但仍有3%的一流學科建設高校未制定發(fā)展規(guī)劃。其他普通高校和高職（專科）院校在網絡安全和信息化發(fā)展規(guī)劃的執(zhí)行方面情況近似，能夠完全或基本按學校發(fā)展規(guī)劃執(zhí)行的占比均在70%左右。

1.2 針對數(shù)據(jù)安全技術方面的現(xiàn)狀分析

在安全技術方面，當前高校主要采用傳統(tǒng)的網絡信息系統(tǒng)防護手段，比如安全體系建設以傳統(tǒng)的分層安全防護為主，采用物理層、網絡層、應用層安全防護應對面向數(shù)據(jù)的安全威脅;在數(shù)據(jù)中心軟件及系統(tǒng)的運維方面，采用傳統(tǒng)的安全運維方式;在系統(tǒng)容災方面，防護手段比較欠缺（如圖4所示）。

在系統(tǒng)容災方面，具體來看，一流大學建設高校和一流學科建設高校在同城異地災備方面使用率最高，表明這兩類高校對災備的安全性要求更高，能夠保障在同一樓宇或同一園區(qū)整體遭遇災害時系統(tǒng)的可用性;其他普通高校和高職（專科）院校的災備措施主要采取同樓災備;有約1/3的高校未采取任何災備措施（如圖5所示）。

另外，通過交流或者訪談的方式，我們發(fā)現(xiàn)高校還存在師生對敏感數(shù)據(jù)保護的安全意識不足、數(shù)據(jù)使用隨意性強的問題。有的高校因為沒有開展全面的數(shù)據(jù)治理，數(shù)據(jù)家底不清，難以做到數(shù)據(jù)采集最小化;有的高校內部數(shù)據(jù)流轉沒有授權審批和跟蹤記錄，數(shù)據(jù)使用不夠規(guī)范;有的高校缺乏針對數(shù)據(jù)安全防護的技術手段;有的高校缺乏數(shù)據(jù)管理的經驗，難以做好保障數(shù)據(jù)安全和發(fā)揮數(shù)據(jù)效能之間的平衡。

綜上所述，高校數(shù)據(jù)中心數(shù)據(jù)安全現(xiàn)狀可以概括為：高校普遍重視網絡信息安全，對于數(shù)據(jù)安全有一定認識，有制度層面的保障和約束，但制度的落實程度還有待加強;數(shù)據(jù)中心的數(shù)據(jù)安全技術防護措施還不夠全面;師生的數(shù)據(jù)安全意識有待加強。

2 高校數(shù)據(jù)中心數(shù)據(jù)安全風險分析

2.1 缺少數(shù)據(jù)資源分類分級標準

數(shù)據(jù)的分類分級是數(shù)據(jù)安全管理的基礎工作。在《中華人民共和國數(shù)據(jù)安全法》出臺之前，我國已經有一些法律文件對數(shù)據(jù)的分類分級進行了初步規(guī)定，這其中最為重要的是工信部在2020年初頒布的《工業(yè)數(shù)據(jù)分類分級指南（試行）》[2]。地方政府和其他行業(yè)管理部門也出臺過相應法規(guī)，如貴州省《政府數(shù)據(jù) 數(shù)據(jù)分類分級指南》、金融行業(yè)的《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》和《證券期貨業(yè)數(shù)據(jù)分類分級指引》等。教育部在2018 年出臺的《教育部機關及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》中，已對一些數(shù)據(jù)安全標準進行了相關規(guī)定，高校希望在此基礎上，相關部門能夠盡快建立教育數(shù)據(jù)安全分類分級指導標準[3]。目前，高校數(shù)據(jù)資源管理存在敏感數(shù)據(jù)保護不足、數(shù)據(jù)使用部門超范圍傳播的情況，還存在過度保護、沒有發(fā)揮數(shù)據(jù)價值的情況。

2.2 數(shù)據(jù)安全管理制度不夠完善

從調研數(shù)據(jù)來看，高校在網絡安全管理方面已經有了明顯的進步，從中央到地方都加強了對網絡安全的統(tǒng)籌管理，相關文件陸續(xù)出臺，有明確的政策方向引導和監(jiān)管要求，形成數(shù)據(jù)安全管理的良好契機。部分高校將數(shù)據(jù)安全管理作為網絡安全管理的一部分，從宏觀層面對數(shù)據(jù)安全提出了原則性的要求，但有些制度可操作性不強;有些制度的內容比較片面，對于數(shù)據(jù)的安全保護和共享開放工作指導有限;也有相當數(shù)量的高校沒有明確數(shù)據(jù)管理部門，亦沒有數(shù)據(jù)管理辦法。

國家標準《信息安全技術 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988—2019）將數(shù)據(jù)生存周期分為以下6個階段：數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀[4]。數(shù)據(jù)安全管理制度應該是一系列管理規(guī)章或操作規(guī)范的集合，除了總體上規(guī)定數(shù)據(jù)安全管理部門、責任主體和各方責權外，還應從數(shù)據(jù)生存周期的各個階段進行安全規(guī)定。

2.3 數(shù)據(jù)安全層面技術防護不足

從技術防護方面看，數(shù)據(jù)安全風險來自物理安全、操作系統(tǒng)安全、網絡安全、應用軟件安全及數(shù)據(jù)存儲安全等諸多方面[4]。傳統(tǒng)的物理安全、操作系統(tǒng)安全和網絡安全防護技術能夠基本滿足當前高校數(shù)據(jù)中心的技術防護要求，但調查顯示，有超過30%的高校還沒有配備基礎的災備系統(tǒng)。在應用軟件方面，由于軟件設計的缺陷，可能存在系統(tǒng)漏洞、邏輯錯誤等問題，易被某些組織或個人惡意利用并對系統(tǒng)進行攻擊、盜取或篡改數(shù)據(jù);在數(shù)據(jù)層面，對于數(shù)據(jù)脫敏、數(shù)據(jù)庫審計、敏感數(shù)據(jù)加密等技術的應用還不是很普遍。因此，技術防護不足成為數(shù)據(jù)安全的又一風險點。

2.4 數(shù)據(jù)活動參與主體存在安全短板

數(shù)據(jù)活動過程參與主體可分為數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)管理方和數(shù)據(jù)監(jiān)管方[5]。高校參與數(shù)據(jù)活動的主體覆蓋部門多、人群廣，對于數(shù)據(jù)安全的防護能力不一致，對于數(shù)據(jù)安全的認識程度也不一致，成為數(shù)據(jù)安全的隱患。

數(shù)據(jù)提供方主要是校內各業(yè)務部門（如教務處、學生處、財務處等），各業(yè)務部門將各自信息系統(tǒng)產生的數(shù)據(jù)，通過統(tǒng)一數(shù)據(jù)接口提供給數(shù)據(jù)中心。業(yè)務系統(tǒng)安全防護水平參差不齊，有的部門有專門的系統(tǒng)管理人員，有的部門只有兼職或代管的管理人員，存在安全短板，使數(shù)據(jù)共享平臺整體的安全防護水平降低。

數(shù)據(jù)管理方主要是學校網絡安全和信息化領導小組、校信息化辦公室或信息網絡中心等高校信息化建設和管理部門，通過數(shù)據(jù)共享平臺實現(xiàn)全校數(shù)據(jù)共享、交換和數(shù)據(jù)資源的應用。由于數(shù)據(jù)的集中存儲和管理，大量的結構化和非結構化的數(shù)據(jù)匯集到數(shù)據(jù)共享平臺，如果對數(shù)據(jù)流轉過程不能有效監(jiān)控和記錄，那么在發(fā)生數(shù)據(jù)安全事故時，就難以追溯到相關參與者，也無法定位安全責任。

數(shù)據(jù)使用方主要是高校的管理者、業(yè)務部門和師生。針對數(shù)據(jù)的獲取和使用，某些具有合法身份和權限的用戶可能存在違規(guī)操作的風險。一般高校的業(yè)務系統(tǒng)都由外包公司協(xié)助進行系統(tǒng)建設，而如果對各種敏感和重要數(shù)據(jù)管理不規(guī)范，將大大增加發(fā)生安全事件的概率，成為數(shù)據(jù)安全的最大隱患[6]。另外，高校師生眾多，安全意識比較薄弱，默認密碼、弱密碼現(xiàn)象屢見不鮮，缺乏定期進行數(shù)據(jù)備份、修復系統(tǒng)安全補丁等維護習慣。

數(shù)據(jù)監(jiān)管方主要是學校的網絡安全管理部門。調查顯示，全國超過71%的高校已經配備專職網絡安全管理的工作人員，而通過訪談了解到，這些網絡安全人員主要來自網絡或信息系統(tǒng)管理崗位，很少有專門的數(shù)據(jù)安全人員，也缺乏審計手段。因此對于數(shù)據(jù)安全的監(jiān)管，缺少統(tǒng)一的審計和監(jiān)督，在過程記錄、人員監(jiān)督、工具監(jiān)控、技術審計等方面存在監(jiān)督難的問題。

3 高校數(shù)據(jù)中心數(shù)據(jù)安全風險應對策略

3.1 建立教育數(shù)據(jù)資源分類分級管理規(guī)范

數(shù)據(jù)分類分級工作是數(shù)據(jù)安全防護體系的重要基礎。在分類分級的基礎上，制定數(shù)據(jù)防護要求，設置不同的數(shù)據(jù)共享權限，對重要數(shù)據(jù)和敏感數(shù)據(jù)進行加密存儲、傳輸和脫敏處理，對數(shù)據(jù)流轉操作進行追蹤和記錄等，才能形成有效的數(shù)據(jù)安全防護。

國際上對于數(shù)據(jù)分類分級一般統(tǒng)稱為Data Classification，并根據(jù)需要對分類的級別（Classification Levels）和種類（Classification Categories）進行描述。我國將數(shù)據(jù)分類與分級進行了區(qū)分，分類是根據(jù)種類的不同按照屬性、特征而進行的劃分;分級則側重于按照劃定的某種標準，對同一類別的數(shù)據(jù)按照高低、大小進行級別的劃分;一般都是遵循先分類再分級的順序。

根據(jù)《教育部等七部門關于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》（教科信函〔2021〕20號）要求，教育部將制定數(shù)據(jù)分類分級工作指南，明確數(shù)據(jù)分類分級的方法和建議。高校應在此基礎上落實數(shù)據(jù)分類分級制度，可以先進行學校數(shù)據(jù)資產的梳理，特別是數(shù)據(jù)中心數(shù)據(jù)的資產梳理，摸清數(shù)據(jù)家底，為數(shù)據(jù)分類分級打好基礎。

3.2 完善和落實數(shù)據(jù)安全管理制度

在數(shù)據(jù)采集和傳輸階段，應遵循數(shù)據(jù)分類分級管理、數(shù)據(jù)質量管理等方面的制度和操作規(guī)范。在采集師生和校務管理數(shù)據(jù)的過程中，應明確采集數(shù)據(jù)的目的和用途，確保滿足數(shù)據(jù)源的真實性、有效性和最少夠用等原則要求，明確數(shù)據(jù)采集渠道，規(guī)范數(shù)據(jù)存儲格式、數(shù)據(jù)采集流程和采集方式，從而保證數(shù)據(jù)采集的合規(guī)性、正當性和一致性[4]。采集數(shù)據(jù)的業(yè)務部門需要保障數(shù)據(jù)采集過程的安全性，確保數(shù)據(jù)源可信，包括來源主體和數(shù)據(jù)本身可信。

在數(shù)據(jù)存儲和銷毀階段，對于常規(guī)數(shù)據(jù)要建立數(shù)據(jù)備份管理制度，對于敏感數(shù)據(jù)則需要再建立數(shù)據(jù)脫敏、數(shù)據(jù)加密及數(shù)據(jù)銷毀等管理制度。

在數(shù)據(jù)交換階段，要制定數(shù)據(jù)共享交換管理制度，建立數(shù)據(jù)資源目錄以及數(shù)據(jù)資源公示機制;制定數(shù)據(jù)申請使用流程規(guī)范及數(shù)據(jù)流轉審批制度，同時明確數(shù)據(jù)活動的主體責任。

在數(shù)據(jù)使用和處理階段，要建立數(shù)據(jù)安全審計制度。對數(shù)據(jù)的訪問和活動情況應進行全方位的監(jiān)控和記錄，實現(xiàn)對數(shù)據(jù)訪問的違規(guī)操作行為可追溯，便于事后追查。

3.3 加強數(shù)據(jù)安全技術防護

在數(shù)據(jù)采集和傳輸時，采用防火墻和VPN等設備進行邊界保護、訪問控制和入侵防范;采用數(shù)據(jù)源認證、數(shù)據(jù)加標簽、數(shù)據(jù)加密等技術進行傳輸保護，防止數(shù)據(jù)被截獲[6-7]。

在數(shù)據(jù)存儲方面，需要保障數(shù)據(jù)匯集后的存儲安全，如防雷、防火、防水、防潮、防靜電、防盜、溫濕度控制、電力供應和電磁防護等。對于數(shù)據(jù)訪問，則需要采用數(shù)據(jù)加密、訪問控制、備份與恢復等技術。備份策略可根據(jù)實際需求每日或每周備份，備份模式可以根據(jù)數(shù)據(jù)量情況進行全備份或增量備份，確保在發(fā)生系統(tǒng)數(shù)據(jù)丟失或系統(tǒng)異常等情況時，能夠恢復已經備份的數(shù)據(jù)，從而盡可能降低數(shù)據(jù)丟失帶來的損失[8-9]。

在數(shù)據(jù)交換方面，需要確保交換過程可控，將指定數(shù)據(jù)提供給指定的數(shù)據(jù)使用方，其他人員或系統(tǒng)無法獲取。數(shù)據(jù)交換時一般采用數(shù)據(jù)視圖、數(shù)據(jù)前置機、API數(shù)據(jù)接口等方式，分用戶授權，授權粒度精確到表、數(shù)據(jù)字段或數(shù)據(jù)條目。同時，對數(shù)據(jù)交換行為進行審計，防止違規(guī)交換。在數(shù)據(jù)使用時，應對敏感數(shù)據(jù)進行脫敏處理;采用數(shù)據(jù)授權與訪問控制措施，保證不同的使用方只獲取其權限范圍內的共享信息，保障數(shù)據(jù)合規(guī)使用 [7，10]。

3.4 加強數(shù)據(jù)活動參與主體責任落實和宣傳教育

高校應加強數(shù)據(jù)安全工作的組織領導，對各類數(shù)據(jù)活動的參與主體，建立“主要負責人負總責、分管負責人具體抓”的領導責任制。同時，要明確各方應履行的職責，按照“誰主管誰負責、誰使用誰負責”的原則落實數(shù)據(jù)安全責任，對于聯(lián)合第三方進行數(shù)據(jù)處理的，應簽訂數(shù)據(jù)保密協(xié)議。數(shù)據(jù)提供方不能進行過度的數(shù)據(jù)采集，數(shù)據(jù)采集時應遵循最小化原則，同時應對師生盡到告知義務，讓師生“知情同意”。數(shù)據(jù)使用方不能隨意公開師生個人信息數(shù)據(jù)，不能過度挖掘、曲解分析數(shù)據(jù)之間的關聯(lián)關系。

對于師生，應加強宣傳引導和教育，可通過國家安全日、國家網絡安全宣傳周等活動，采用海報、微視頻、專家講座、微信推文等方式宣傳數(shù)據(jù)安全法等相關知識，介紹如何防范個人信息泄露等內容[11]，以期提高個人信息保護意識，并將其提高到法治高度。

4 結束語

如何以數(shù)據(jù)安全促進高校數(shù)據(jù)開放，促進數(shù)據(jù)互聯(lián)互通，提升師生使用數(shù)據(jù)的便利性，增加師生獲得感，是擺在高校數(shù)據(jù)中心建設者面前的難題。通過對全國高校信息化發(fā)展狀況的調研數(shù)據(jù)分析得知，高校數(shù)據(jù)中心的數(shù)據(jù)安全管理制度需要完善、細化及切實落地執(zhí)行，數(shù)據(jù)安全管理責任需要進一步明確和壓實，技術防范工作有待加強。高校在發(fā)揮數(shù)據(jù)效能的同時，要確保數(shù)據(jù)安全，加強數(shù)據(jù)安全的監(jiān)督和管理，建立有效的數(shù)據(jù)安全防護體系，營造健康的數(shù)據(jù)安全環(huán)境。

[參考文獻]

[1] 張金平.跨境數(shù)據(jù)轉移的國際規(guī)制及中國法律的應對：兼評我國《網絡安全法》上的跨境數(shù)據(jù)轉移限制規(guī)則[J].政治與法律，2016（12）：136-154.

[2] 何珺.工信部發(fā)布《工業(yè)數(shù)據(jù)分類分級指南（試行）》[J].今日制造與升級，2020（3）：18-19.

[3] 江魁.深圳大學：數(shù)據(jù)安全保護從數(shù)據(jù)分級做起[J].中國教育網絡，2021（Z1）：73-75.

[4] 全國信息安全標準化技術委員會.信息安全技術 數(shù)據(jù)安全能力成熟度模型：GB/T 37988—2019 [S].北京：中國標準出版社，2019.

[5] 楊秋華，董貴山，楊永剛，等.政務云環(huán)境下數(shù)據(jù)共享安全保障框架研究[J].通信技術，2018，51（6）：1404-1411.

[6] 張聰.智慧校園環(huán)境下的數(shù)據(jù)安全研究與實踐[J].網絡安全技術與應用，2021（1）：103-105.

[7] 羅海寧.簡析政務信息共享數(shù)據(jù)安全體系要點[J].保密科學技術，2020（4）：6-14.

[8] 全國信息安全標準化技術委員會.信息安全技術 大數(shù)據(jù)服務安全能力要求：GB/T 35274—2017 [S].北京：中國標準出版社，2017.

[9] 王建民，金濤，葉潤國.《大數(shù)據(jù)安全標準化白皮書（2017）》解讀[J].信息技術與標準化，2017（8）：38-41.

[10] 張雪瑩，楊帥鋒，王沖華，等.工業(yè)互聯(lián)網數(shù)據(jù)安全分類分級防護框架研究[J].信息技術與網絡安全，2021，40（1）：2-9.

[11] 陳瑛，王曉震，于春生，等.高校網絡安全管理和技術支撐體系構建研究[J].北京聯(lián)合大學學報，2021，35（2）：53-57.

（責任編輯 白麗媛）