|
近年來,國內高校發生了多起數據泄露事件,對學校日常運行和聲譽形象產生影響。隨著數字化轉型的不斷發展,高校面臨如何在使用數據和保障隱私之間進行平衡的挑戰。 那么,當前國內高校數據安全和隱私保護現狀如何?面臨哪些困難和挑戰?各高校如何定義隱私邊界?聽聽主任們怎么說。 高校數據安全 保護現狀及挑戰 小編發起了一個調查,總分為10分,各高校網信部門領導對國內高校數據安全保護的總體評價在6~8分之間,平均為7分。那么數據安全保護的難點和挑戰何在? 陸以勤:高校數據防護 難點在于平衡便利性和安全性 陸以勤 ■ 華南理工大學 ■ 副首席信息官 由于高校信息化技術力量相對其他行業強,并且網絡安全意識相對較強,因此,教育行業數據安全保護工作相對較好,沒有發生惡性數據泄漏事件。 但高校數據安全的隱患還是存在的。疫情防控期間,我擔任會長的廣東省計算機信息網絡安全協會受網絡安全管理部門的委托,通過協會的“廣東省網絡安全應急響應平臺”對省內71家疫情服務平臺進行風險監測。 共發現安全隱患112個,其中高危隱患34個;對50家遠程教育平臺進行風險監測,共發現安全隱患83個,其中高危隱患19個。所幸的是,教育管理部門、網絡安全管理部門和部分高校很快意識到數據安全的隱患,及時指導教育行業加強數據安全的防范。 高校數據安全防護的難點和挑戰在于對便利性和安全性的平衡上。網絡安全需要采取技術和管理上的防護和限制措施,一定程度上會影響使用的便利性和運行的效率。 業務快速發展時,人們常常會感受到網絡安全防范帶來的不便,這個時候容易產生僥幸心理,從而產生數據安全問題。同時,信息化部門本身任務較重,經常滿負荷運轉,不容易顧及全校網絡空間的每一個角落。 葛連升:核心問題是 安全意識和素養的不足 葛連升 ■ 山東大學 ■ 信息化工作辦公室常務副主任 高校在數據安全防護方面,目前仍處于起步階段。這幾年,隨著網絡安全法、等級保護制度的推進,高校網絡安全包括數據安全能力有了一定提升,對信息保護,特別是對網站的安全管理方面,做了不少工作。 但當前國內高校數據安全防護最核心的問題是網絡安全意識和素養的不足。雖然國家層面上對此十分重視,但從大眾的意識來看,始終還是認為網絡安全和信息化是信息技術部門的事情,是一個技術問題。實際上,安全問題事關每個人,這一認識不到位,高校網絡安全包括數據安全工作的推進就比較困難。 此外,安全問題還是一個體系問題,應該說,當前高校安全體系建設是不完備的。安全體系不僅包括技術體系,還有組織體系、制度體系、應急處置體系、教育培訓體系、考核獎懲體系等等。將安全問題從法律條文具體落實到各個單位,建設完備的安全體系,還需要相當長的時間。 難點和挑戰主要體現在四個方面,第一,從數據本身的角度看,現在一切都在數據化,可以說數據無處不在,給數據的安全管理帶來了非常大的挑戰;第二,從高校的特點看,首先高校管理的鏈條比較長,其次高校的管理比較松散,所以造成數據也比較分散,數據集中目前實施得不是很好;第三,高校師生自身數據安全的素養和意識不夠強;第四,雖然目前《數據安全法(草案)》已經公布,但從高校來看,制度、技術等方面都不夠完善,這些都對數據安全形成了一些挑戰。 劉昕:高校數據安全 缺乏專業人才 劉昕 ■ 武漢大學 ■ 信息中心主任 近幾年,教育部對部屬高校的安全體系監管越來越嚴格,考核指標越來越明晰,促使部屬高校不斷提升數據安全保護體系,取得了積極效果。但是高校師生安全意識和信息化素養參差不齊,信息化建設安全方面的技術隊伍水平也有差異,而且大部分高校信息化系統對廠商依賴程度高,存在安全隱患。 “道高一尺,魔高一丈”,我們任重道遠。總體而言,面臨的困難和挑戰主要包括: 1.老舊系統安全性差。早期建設的系統由于系統漏洞較多、采用明文傳輸、中間件漏洞等因素,造成服務器權限被獲取,數據庫被攻擊等安全事件,危害非常之大。但為了保證業務不間斷,又不能一刀切。 2.安全性和便利性之間的矛盾。為了保證數據安全,往往會增加安全設備進行防護,在安全設備上配置策略,阻斷有危害的訪問請求。但這樣一般會增加用戶訪問和運維管理成本。 3.缺少安全專業人才。 隱私保護的界定 與存在的安全隱患 關于隱私數據的定義,大家往往會想到師生員工的身份識別信息,健康狀況、財務信息等敏感信息。但是,學校的重要公文、科研成果等核心信息是否屬于隱私數據?只有對隱私的內涵進行較為清晰的界定,才能更好地排除安全隱患。 王新:系統設計缺陷是 隱私泄露最常見的原因 王新 ■ 復旦大學 ■ 信息化辦公室主任 結合高校的情況,隱私信息主要有以下三種:一是能夠用來對用戶進行身份識別的基本信息,包含姓名、身份證、照片、指紋、人臉特征等;二是用戶敏感信息,包含健康狀況、財務信息、定位信息、信息化應用訪問情況,如一卡通消費記錄、網站訪問詳情等;三是學校的核心信息如重要公文、重要科研成果等。 在國內外高校隱私信息泄露事件中,比較常見的是由于系統設計缺陷導致的越權問題。這暴露出了高校隱私保護在如下幾方面存在隱患:一是高校的相關組織機構不健全,隱私信息管理制度不完善;二是高校信息系統建設和數據安全防護水平與日新月異的網絡攻擊手段存在差距,在系統安全設計、數據授權、數據脫敏、數據審計等方面亟需加強;三是高校管理人員及用戶隱私保護意識不強。 陸以勤:后臺出問題的 概率比前臺更大 陸以勤 ■ 華南理工大學 ■ 副首席信息官 為了理解隱私信息,我們可以把涉及高校數據的角色分為:數據的所有者、運行者、管理者和使用者。 例如,某高校學生工作處通過學校數據交換平臺從教務系統讀取學生成績進行學年學生綜合測評,作為數據形式的學生的成績,其所有者是獲得該成績的學生,而運行者是教務處,管理者是網信部門,使用者是學工處。 我們應該擁有這樣的共識:數據使用者必須在數據所有者允許的范圍內使用數據,超出了這個范圍就是對用戶隱私的侵犯。 在這個過程中,如果發生侵犯用戶隱私事件,例如向第三方泄露成績,數據使用者承擔其法律責任,運行者承擔數據隱私保護的運行責任,管理者承擔數據隱私保護的管理責任。 高校發生隱私信息被竊取或泄露事件,實際上是數據的讀取權限被非法獲取了,這涉及前臺和后臺兩個方面,前臺是設計者或者開發者的問題,后臺是管理者的問題。目前,高校發生隱私信息被竊取或泄露事件,兩方面的原因都存在,相對而言,后臺出問題的頻率可能更大些。 當前高校隱私保護主要面臨的隱患有:1.弱密碼;2.管理顆粒度過粗;3.數據讀取缺乏有效監督和審計;4.開發者和運行者界面不清,開發者權限過大和數據庫管理員缺乏約束;5.數據備份不及時;6.數據帶敏分析等。 葛連升:解決隱私數據 問題要注重頂層設計 葛連升 ■ 山東大學 ■ 信息化工作辦公室常務副主任 可以說,在信息化領域,隱私保護在過去是人們不太關注的一個方面,是比較新鮮的概念。隨著社會的進步,隱私數據保護越來越被關注和重視。 在高校,對學校師生員工的個人數據信息處理時,就涉及到隱私保護,這時要對數據操作進行審計,包括對數據的脫敏等等。實際上,隱私保護涉及數據管理的全過程,包括從數據采集、傳輸、存儲、使用、操作到銷毀的各個環節。 此外,隱私信息在不同的場景下,要求是不一樣的。首先要明確隱私保護的具體內容,在不同的場景中,哪些是敏感信息?需要結合具體的實際情況,制定詳細的規范。總之,要把數據安全保護工作進行細化。 高校隱私數據被竊取或泄露事件之所以頻繁發生,最根本的原因是頂層設計出了問題,沒有形成合力。一定要清楚數據安全及隱私保護工作,實際上會涉及學校的每一個部門,每一個人員。 侯孟書:隱私信息可分為 面向機構和面向個人 侯孟書 ■ 電子科技大學 ■ 信息中心主任 高校隱私信息的內涵可分為面向機構的學校敏感信息和面向個人的師生敏感信息。學校敏感信息包括重大決策信息、財務信息、招生信息、資產信息等。師生敏感信息包括身份信息(身份證號碼、學號、職工號等)、生物識別信息(指紋、人臉等)、健康生理信息(疾病情況)及上網信息、一卡通信息、位置信息等。 高校隱私信息被竊取或泄露事件的發生,主要原因包括: 1.高校普遍對數據安全防護投入不足,缺乏有效的數據安全防護手段,使敏感信息直接暴露在互聯網之下; 2.高校軟硬件系統存在安全漏洞,沒有及時升級系統和應用補丁、存在弱口令、缺省配置等,給黑客可乘之機; 3.存在管理人員的誤操作或者管理漏洞,將隱私信息誤傳公共網絡; 4.高校業務過程中涉及大量的信息公開與公示需求,例如貧困學生資助公示、獎學金公示、面試名單公示、教師個人頁面展示等,導致身份信息泄露。 相應的,高校隱私保護主要的隱患有以下幾點:1.缺乏關于隱私保護可操作性的相關制度,如:《數據安全管理辦法》、《數據共享管理辦法》等;2.沒有建立有效的數據分級分類和細粒度的訪問控制;3.沒有對高校數據進行脫敏處理;4.管理人員缺乏數據安全和隱私保護意識。 投稿、轉載或合作,請聯系:eduinfo@cernet.com |
|
|
