文/沈富可

數(shù)據(jù)安全：高校數(shù)據(jù)鏈條中最重的一環(huán)

文/沈富可

最近華為和騰訊對于微信用戶之間的數(shù)據(jù)之爭又一次將大數(shù)據(jù)的重要性展示給人們，而數(shù)據(jù)安全問題是大數(shù)據(jù)時代首先需要面對的關鍵問題。

在“徐玉玉”事件之前，我們對于教育行業(yè)的數(shù)據(jù)安全問題所引發(fā)的嚴重后果可能尚缺乏思想準備，而這起事件給了我們一個警醒：教育行業(yè)的數(shù)據(jù)安全極其重要，每一條數(shù)據(jù)都應當被安全、妥善地管理。

在討論高校數(shù)據(jù)安全保障之前，我們需要先梳理學校所擁有的各種數(shù)據(jù)，明確這些數(shù)據(jù)的權屬關系，在此基礎上進行安全級別、保障機制、評價方法等一系列行動。

高校數(shù)據(jù)可大致分為人、財、物的基礎數(shù)據(jù)、資源數(shù)據(jù)和行為數(shù)據(jù)。其中，人的基礎數(shù)據(jù)是指師生個人信息，如姓名、年齡、住址、身份證號等，權屬應該歸師生個人所有；財、物的基礎數(shù)據(jù)如房產(chǎn)、資金等面向管理和服務的數(shù)據(jù)權屬應該歸學校所有；資源數(shù)據(jù)是指教學資源、電子圖書、研究資源等，有些權屬歸學校而有些歸教師個人，有些可能由學校、個人共有，需要視具體情況而定；行為數(shù)據(jù)是指師生在學校信息化環(huán)境中的用戶網(wǎng)絡行為，為了享受某些特定的網(wǎng)絡服務而必須“伴隨式”收集的訪問行為的日志記錄等，這些權屬也應該屬于學校。

學校應該保障好一切跟學校財物相關的基礎數(shù)據(jù)、權屬屬于學校資源數(shù)據(jù)和相當范圍內(nèi)的行為數(shù)據(jù)，也應該保障好個人授權給學校代為管理的其他個人基礎數(shù)據(jù)。

這里需要指出的是，個人授權給學校使用或管理的權限應該是有限的、面向某些特定應用場景的，不應該是無限的。目前高校的很多信息系統(tǒng)累積下來的數(shù)據(jù)大多是面向管理的，包括人、財、物的基礎數(shù)據(jù)以及部分資源數(shù)據(jù)，行為數(shù)據(jù)的收集是比較有限的。涉及到數(shù)據(jù)安全的工作也主要是面向人、財、物的基礎數(shù)據(jù)以及資源數(shù)據(jù)，而且是剛剛起步。起步較早的學校已經(jīng)開始了數(shù)據(jù)類型的劃分、權屬關系的劃分以及保護級別的劃分工作，但大部分高校在此方面的工作仍然很薄弱。那么，下一步高校的數(shù)據(jù)安全工作如何實施？

有幾個方面的工作需要逐步開展：第一，梳理數(shù)據(jù)類型及權屬關系；第二，確立不同主體的角色及安全規(guī)范；第三，確立一套技術架構以及管理機制保障這些目標的實現(xiàn)。

做好數(shù)據(jù)安全工作需要一個健全的保障體系，這個體系除了一支有戰(zhàn)斗力的隊伍之外，還需要包括制度設計和技術設計兩個層面進行相互補充相互依存，才有可能各個角色各取所需、有章可循。

（作者系華東師范大學信息化辦公室主任）