文/张巍
数据安全全过程管理
——以大连理工大学为例
文/张巍
《网络安全法》出台后,以法律的形式明确要求各类组织切实承担起保障数据安全的责任,因此高校必须高度重视数据安全工作,做好数据安全的全过程管理。
大连理工大学在数据安全管理方面也遇到了一些困难和问题,针对这些问题,大连理工大学通过规范数据全过程管理,在一定程度上避免了数据安全事件的发生。
我们认为,加强高校数据安全管理,首先要让师生、业务部门了解什么是信息化数据,学校有哪些信息化数据。简单地说,信息化数据是指学校各职能部门、各二级单位以及全校师生员工在履行职责过程中产生或获取的各类数据,包括但不限于各业务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托信息化系统形成的信息化数据等。数据的内容涵盖学校组织机构域、人力资源域、学生管理域、教学资源与管理域、科研管理域、财务资产域、数字档案域、个人信息域、公共服务域、系统数据域等。
数据内涵界定清晰后,师生和业务部门明确了数据是怎么产生的,学校有什么数据,可以有效避免重复采集数据、线下传递数据等安全隐患。
数据时代,高校掌握尽可能多的数据十分必要,但高校信息化部门在进行数据治理,获取数据资源过程中经常遇到的困难是业务部门以数据保密等原因不愿意把数据共享出来,把数据资源当作本部门的私有财产,只要解决本部门问题即可,不能站在学校层面考虑数据资源共享问题。同时,业务部门在自有数据管理、使用过程中对数据安全重视不够,也发生过数据泄露的安全事件。因此学校应明确数据资源的管理原则,保证能够获得数据,并且安全管理和使用数据。
1.统筹建设原则
数据是学校的公共资产,各业务部门的系统不是怎么建设都可以,必须在信息化部门统筹规划和参与下建设,以保证学校需要的数据能够由业务部门生产、维护和共享,保证业务系统安全、数据安全。同时,大连理工大学用一年的时间对各业务部门所需填写的表格进行了集中梳理,对梳理出来的1万余条数据字段进行分类汇总分析,确认哪些数据已有,哪些没有;数据的生产部门是那些,数据的使用部门是哪些;没有的数据应该由哪些业务部门负责生产,并参与到这些部门系统建设、升级的过程中,系统通过安全检测后才可以上线,统筹解决了所需数据的采集和安全管理。
2.全面共享原则
大连理工大学明确提出业务部门生产的各类数据以全面共享为根本,不共享为例外。如有哪些数据不共享,业务部门必须拿出明确的法律法规或学校规章制度依据,否则都需要普遍共享或有条件共享。这样做可以有效保障信息化部门充分获得学校已有的各类数据,建设公共数据库平台,在平台层面实现各类数据资源的共享、交换,避免线下传递数据引发安全隐患。
3.依法使用原则
在大连理工大学公共数据库建设不完善、制度不健全时期,各部门所需要的数据大多是找到相关部门导出电子文档线下传递,没有有效的监督,数据安全风险极大。在大连理工大学公共数据库建设较好初期,许多业务部门或个人的数据使用也不规范,往往给信息化部门打个电话、发个邮件就可以获取到相关数据,各方数据安全意识都不强,数据泄露风险极大。因此有必要明确数据使用原则,只有在履职或科研等特定工作需要的情况下,才可以申请使用信息化数据,且只能在申请范围内合法、合理使用,不得滥用,保证数据安全。
4.安全可控原则
业务系统可能泄露本部门的数据,而学校的公共数据平台有可能泄露学校的全部数据。因此信息化部门首先应加强公共数据平台的安全建设和管理,建立完善的数据共享安全机制,确保数据平台的安全。提供数据尽量以平台对接方式完成,提供数据内容尽量最小化,不需要的数据不提供,需要的数据敏感信息脱敏后再提供。对数据使用者而言,按照 “谁使用,谁负责”的原则,在严格履行数据使用申请、审批、签署保密协议的基础上,信息化部门还要加强数据的使用监督和安全风险提示,对存在安全隐患的使用方式停止数据提供。
高校对数据的重要性已经达成共识,但对数据安全工作重视还需加强。数据生产的业务部门对业务系统安全、数据安全重视不够,师生的个人数据安全保护意识欠缺,数据使用者对数据安全的忽视,都可能导致安全事件的发生。那么大连理工大学是如何推动数据安全工作的呢?
1.健全数据安全管理机构和队伍
大连理工大学成立的“网络安全与信息化建设管理委员会”由党委书记和校长担任主任,委员会下设“网络与信息安全工作组”,由宣传部、保卫部、网信中心的负责人共同担任组长,负责全校舆情、政治保卫、网络信息安全工作。同时,大连理工大学各二级单位主要负责人为本单位数据安全管理第一责任人,各单位业务系统管理员是本单位数据安全管理人员。学校一把手、各单位主要领导亲自抓网络安全工作,又有具体数据安全管理队伍,使得数据安全工作有领导、有队伍、有抓手,形成数据安全工作齐抓共管的局面。
2.建设学校公共数据平台
要规范学校数据的管理,避免数据线下传递和出现无序采集、扩大化采集和非法使用、超范围使用数据等安全问题,就必须建设学校的公共数据平台,实现学校所有数据的统一管理,为业务部门之间数据资源共享交换、数据使用提供支撑。大连理工大学从2009年开始建设公共数据平台,当时只建设了没有按主题域细分的公共数据库,没有建设数据标准管理平台、数据清洗交换平台、历史库和行为数据库等,导致数据共享使用效果不理想,一些业务数据还是通过线下方式进行传递。2016年开始,大连理工大学开展新一轮基础平台建设,其中最核心的内容是进行数据治理和建设公共数据平台。为保证平台建设质量,大连理工大学规定全校性的管理信息系统都必须纳入信息化数据共享工作范围内统筹建设与管理,与公共数据平台对接,使得公共数据平台数据更完整和准确,平台作用得以发挥。
3.加强业务系统安全和运维管理
高校由于业务系统安全漏洞、系统不规范运维、系统管理员和用户弱密码等原因造成的数据泄露是发生数据安全事件的最主要原因,因此加强数据安全工作,要从数据产生源头——业务系统的安全管理着手。目前大连理工大学大部分业务系统完成了等保定级,新开发系统只有完成安全检测才能上线,网信中心也定期对校内系统进行安全检测,对发现有问题的系统临时限制在校内访问,对所在部门发出书面整改通知书,整改完成后恢复使用;在系统运维方面,对于公司代维护的业务系统,公司维护前需申请校内堡垒机临时使用权限,通过堡垒机进行运维。网信中心负责各业务系统的技术负责人也通过堡垒机对系统云主机进行定期的安全运维;在系统管理方面,学校要求业务部门定期对本部门负责管理的数据进行检查,明确数据的修正、补充、更新、删除等操作流程,保存数据运维过程中所有相关的日志记录,避免因人为误操作导致的数据安全风险。学校也培训和要求各业务系统管理员加强系统登录权限、密码的管理,避免初始密码、弱密码、助学学生代管、公司代管系统的情况发生。同时,大连理工大学的统一身份认证系统进行了密码强度校验,登录时强制修改满足要求的密码,未来,大连理工大学将逐步隐藏各业务系统的登录链接,系统管理员和普通用户登录业务系统都通过安全性较高的统一身份认证系统来完成。
4.严格数据资源使用审批和监管
大连理工大学明确规定各业务部门和个人在使用校内数据时只能通过公共数据平台获得,不允许业务部门以离线文档的形式传递。在数据使用申请管理上,学校所有的信息化数据使用都需向网信中心提出书面申请,签署数据使用保密协议,审批通过后才能获得数据。对于普遍共享类数据,需求经网信中心申请得到批准后,网信中心通过公共数据平台直接提供数据;对有条件共享类数据,网信中心还会将申请转至数据产生部门审批;在数据使用上,学校要求所有数据使用者承诺在使用数据时必须保护个人隐私,数据只能用于申请授权范围以内的用途,不得将获得的数据公开,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。
5.开展数据安全问题追责
大连理工大学以文件的形式明确规定对不按照规定随意采集、滥用、非授权使用、扩大范围使用、未经许可扩散和泄露数据且对学校和个人造成损失的行为进行严肃追责,按照学校和相关规定予以处理。
数据为王时代,机遇与挑战并存,数据安全形势日益严峻,高校数据安全工作未来将面临更大的挑战。高校掌握大量的数据的同时也集中了风险,数据安全、数据使用、决策支持、隐私保护等等问题,已经触及了法律和伦理地带,需要高校信息化工作者带着对数据安全的敬畏认真思考,加强数据安全管理,使数据在合法合规使用的前提下发挥更大的作用。
(作者单位为大连理工大学)