文/巫莉莉

隨著5G、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能的快速發(fā)展，數(shù)據(jù)變得越來越重要，隨之而來數(shù)據(jù)安全面臨的挑戰(zhàn)也變得越來越多，網(wǎng)絡(luò)信息安全已經(jīng)從終端安全、網(wǎng)絡(luò)安全進(jìn)入到了數(shù)據(jù)安全階段，傳統(tǒng)以網(wǎng)絡(luò)和系統(tǒng)為防護(hù)目標(biāo)的安全體系已經(jīng)不能滿足數(shù)據(jù)安全的需求。

教育部部長懷進(jìn)鵬多次提出，要加快推進(jìn)教育數(shù)字化，不斷推動教育變革和創(chuàng)新。數(shù)據(jù)是數(shù)字化、智能化的基礎(chǔ)，在國家法律法規(guī)的明確要求下，數(shù)據(jù)如何能在合規(guī)、安全使用的前提下加速推進(jìn)教育數(shù)字化已逐漸成為一個眾人關(guān)注的熱點(diǎn)話題。

數(shù)據(jù)分類分級是基礎(chǔ)和核心

數(shù)據(jù)的分類分級是數(shù)據(jù)合規(guī)、安全使用和精細(xì)化管控的基礎(chǔ)，是數(shù)據(jù)安全的核心部分。高校對數(shù)據(jù)進(jìn)行分類分級主要是為了對數(shù)據(jù)進(jìn)行身份標(biāo)識，依據(jù)這個標(biāo)識保障數(shù)據(jù)在學(xué)校范圍內(nèi)活動的安全，同時提升數(shù)據(jù)管理能力。具體從以下兩個方面著手：

保障數(shù)據(jù)活動安全

滿足數(shù)據(jù)安全監(jiān)管所需的合規(guī)性要求，指導(dǎo)數(shù)據(jù)安全策略的制定。

了解不同數(shù)據(jù)的重要程度，有效評估數(shù)據(jù)的價值以及數(shù)據(jù)安全影響。

提升數(shù)據(jù)訪問控制的安全性，降低業(yè)務(wù)風(fēng)險(xiǎn)。

數(shù)據(jù)分類分級管理，促進(jìn)數(shù)據(jù)安全共享和交換。

制定相應(yīng)的保護(hù)措施，優(yōu)化數(shù)據(jù)安全審計(jì)的管控。

提升數(shù)據(jù)管理能力

掌握全局?jǐn)?shù)據(jù)資源，形成數(shù)據(jù)資源目錄。

實(shí)現(xiàn)精細(xì)化分級管理，有效保護(hù)數(shù)據(jù)的合規(guī)使用，最大化共享和利用數(shù)據(jù)。

指導(dǎo)數(shù)據(jù)的采集、存儲、共享、使用、歸檔和銷毀等全生命周期的管理工作。

基于數(shù)據(jù)資源目錄搭建數(shù)據(jù)認(rèn)責(zé)體系，構(gòu)建數(shù)據(jù)管理地圖。

優(yōu)化資源配置，降低數(shù)據(jù)管理成本。

數(shù)據(jù)安全防護(hù)體系建設(shè)與實(shí)施

DAMA-DMBOK2.0 提出的數(shù)據(jù)管理框架（DAMA 車輪圖）包含11 個數(shù)據(jù)管理職能領(lǐng)域，其中以數(shù)據(jù)治理為中心，還包含數(shù)據(jù)安全、元數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量管理等領(lǐng)域。該框架說明，數(shù)據(jù)治理與數(shù)據(jù)安全共同貫穿于數(shù)據(jù)的全生命周期。所以，在數(shù)據(jù)治理的實(shí)施過程中同步做好數(shù)據(jù)安全，往往會有事半功倍的效果。

建立組織和制定保障

華南農(nóng)業(yè)大學(xué)從2018 年開始進(jìn)行數(shù)據(jù)治理，成立了數(shù)據(jù)治理及應(yīng)用建設(shè)工作領(lǐng)導(dǎo)小組，下設(shè)統(tǒng)籌規(guī)劃、數(shù)據(jù)治理及應(yīng)用、業(yè)務(wù)系統(tǒng)建設(shè)、集成及數(shù)據(jù)清洗、運(yùn)行保障4 個工作組，全力保障數(shù)據(jù)治理的順利實(shí)施。通過建立共享數(shù)據(jù)中心，構(gòu)建數(shù)據(jù)安全體系，為全校師生提供數(shù)據(jù)服務(wù)，為學(xué)校管理工作提供科學(xué)的輔助決策支撐。2018 年底，學(xué)校頒布了《華南農(nóng)業(yè)大學(xué)數(shù)據(jù)管理辦法》《華南農(nóng)業(yè)大學(xué)數(shù)據(jù)資源分類分級辦法》等一系列數(shù)據(jù)管理辦法，搭建學(xué)校的數(shù)據(jù)管理制度體系，明確數(shù)據(jù)管理和分類分級的原則、策略、變更流程和要求等，以及數(shù)據(jù)生產(chǎn)者、管理者和使用者三方的權(quán)責(zé)，讓數(shù)據(jù)在制度規(guī)范的約束下合理使用。

數(shù)據(jù)確權(quán)，輸出數(shù)據(jù)資源清單

對學(xué)校現(xiàn)有數(shù)據(jù)進(jìn)行梳理，包括線下數(shù)據(jù)，摸清學(xué)校的數(shù)據(jù)資產(chǎn)情況，將各業(yè)務(wù)部門的數(shù)據(jù)資源進(jìn)行匯聚，并與業(yè)務(wù)部門以調(diào)研會和線上反饋的形式進(jìn)行數(shù)據(jù)確權(quán)，構(gòu)建“一套家底”，確保一數(shù)一源，形成統(tǒng)一的數(shù)據(jù)資源清單。數(shù)據(jù)資源清單通過數(shù)據(jù)中臺實(shí)現(xiàn)線上管理，隨著業(yè)務(wù)的調(diào)整動態(tài)更新，目前涉及29 個業(yè)務(wù)系統(tǒng)，1000 多張數(shù)據(jù)清單，2 萬多個數(shù)據(jù)項(xiàng)。按照“誰提供、誰維護(hù)”的原則，數(shù)據(jù)提供單位按實(shí)際情況及時更新數(shù)據(jù)資源清單，確保數(shù)據(jù)資源的質(zhì)量和時效。

建立規(guī)范，制定分類分級辦法

在數(shù)據(jù)分類分級實(shí)施前，根據(jù)科學(xué)性、實(shí)用性、可擴(kuò)展性的原則，明確數(shù)據(jù)分類分級的方法，構(gòu)建分類體系結(jié)構(gòu)和合適的分級規(guī)則。華南農(nóng)業(yè)大學(xué)緊密結(jié)合業(yè)務(wù)特征，考慮到業(yè)務(wù)的發(fā)展性按主題域進(jìn)行數(shù)據(jù)分類，對每一大類主題，按照關(guān)聯(lián)主題信息劃分中類；對于每一中類，按照分類屬性劃分小類。遵循“共享為常態(tài)，不共享為例外”原則，明確數(shù)據(jù)定級的顆粒度為字段，根據(jù)數(shù)據(jù)的敏感程度分為三級：非敏感數(shù)據(jù)劃分為普遍共享類，涉及單位隱私數(shù)據(jù)劃分為有條件共享類，涉及學(xué)校秘密數(shù)據(jù)劃分為不予共享類（見表1）。

表1 數(shù)據(jù)資源分級

制定策略，實(shí)施數(shù)據(jù)分類分級

根據(jù)數(shù)據(jù)分類體系架構(gòu)，采用人工與技術(shù)相結(jié)合的手段，用線分類法，根據(jù)數(shù)據(jù)的來源、內(nèi)容和用途，從業(yè)務(wù)視角將數(shù)據(jù)進(jìn)行劃分，分為人力資源、學(xué)生管理、科研管理、教學(xué)資源與管理、資產(chǎn)管理、財(cái)務(wù)管理、行政管理和公共服務(wù)八大主題類，劃分47 個中類，819 個小類。在分類的基礎(chǔ)上，采用數(shù)據(jù)中心制定初稿，業(yè)務(wù)部門核實(shí)確認(rèn)的共同協(xié)作機(jī)制，實(shí)現(xiàn)對數(shù)據(jù)資源的分級，形成《華南農(nóng)業(yè)大學(xué)數(shù)據(jù)資源目錄》，依據(jù)分類分級情況對數(shù)據(jù)進(jìn)行標(biāo)識，明確數(shù)據(jù)的來源部門、來源系統(tǒng)、安全等級等，有效指導(dǎo)數(shù)據(jù)源頭部門履行“誰生產(chǎn)、誰負(fù)責(zé)”的數(shù)據(jù)管理責(zé)任。

分級審核，保障數(shù)據(jù)共享安全

利用技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)資源線上化、流程化的全鏈動態(tài)管理，降低數(shù)據(jù)使用難度和管理成本，從數(shù)據(jù)查詢、申請、審批到調(diào)用，為各種數(shù)據(jù)應(yīng)用場景提供安全、先進(jìn)、便捷的一站式數(shù)據(jù)申請服務(wù)。根據(jù)數(shù)據(jù)分級的情況，設(shè)計(jì)數(shù)據(jù)訪問權(quán)限，對不同等級的數(shù)據(jù)實(shí)現(xiàn)差異化的安全保護(hù)措施。在數(shù)據(jù)開放共享時，進(jìn)行數(shù)據(jù)申請的分級審核，明確各審核節(jié)點(diǎn)的責(zé)任人，在審核過程中實(shí)現(xiàn)字段級別的審核；支持單流程多部門審核，根據(jù)數(shù)據(jù)使用需求進(jìn)行共享?xiàng)l件限制、數(shù)據(jù)加密或脫敏；整個申請、審核過程均有詳細(xì)記錄。圖1 為數(shù)據(jù)資源安全分級審批流程。

圖1 數(shù)據(jù)資源安全分級審批流程

多措并舉，保障數(shù)據(jù)安全

在國家頒布的相關(guān)安全法律法規(guī)的指導(dǎo)下，高校應(yīng)從多個方面做好保障，持續(xù)提升數(shù)據(jù)分類分級的能力。

第一，注重頂層設(shè)計(jì)。數(shù)據(jù)安全是一個體系化的建設(shè)，不是單靠某一個安全產(chǎn)品就可以解決的問題。高校需要從戰(zhàn)略規(guī)劃、實(shí)施方案等方面做好頂層設(shè)計(jì)，對整個校園的數(shù)據(jù)安全有一個全局的、體系化的規(guī)劃，制定一個可落地的、分階段實(shí)施的路線圖，才能更好地實(shí)現(xiàn)對數(shù)據(jù)全面、細(xì)粒度的安全管控。

第二，加強(qiáng)統(tǒng)籌協(xié)調(diào)。加強(qiáng)數(shù)據(jù)安全組織領(lǐng)導(dǎo)，做好數(shù)據(jù)安全的整體規(guī)劃，落實(shí)一把手工程，從上至下統(tǒng)籌協(xié)調(diào)，結(jié)合學(xué)校實(shí)際需求分步實(shí)施，形成多部門協(xié)同合作的監(jiān)管機(jī)制，實(shí)現(xiàn)各個主體利益共生共贏、協(xié)同發(fā)展的局面。

第三，完善制度體系。制定和健全更加成熟的、推動技術(shù)向善發(fā)展的管理制度體系。從管理制度、執(zhí)行標(biāo)準(zhǔn)、實(shí)施細(xì)則和流程等方面完善數(shù)據(jù)安全制度體系的建設(shè)，并逐步配套績效考核措施和評價機(jī)制，監(jiān)督和推動數(shù)據(jù)安全防護(hù)措施的落地。

第四，配套技術(shù)管理。數(shù)據(jù)安全需要靠人和技術(shù)共同實(shí)現(xiàn)，選擇適合學(xué)校自身發(fā)展需求的專業(yè)的、成熟的安全設(shè)備和技術(shù)，利用“智能識別+人工審核”的方式，更加高效和精準(zhǔn)地實(shí)現(xiàn)數(shù)據(jù)分類分級標(biāo)簽體系管理，形成數(shù)據(jù)安全管理工作的閉環(huán)。

第五，提升運(yùn)營能力。數(shù)據(jù)安全是一個常態(tài)化、持續(xù)化的工作，建設(shè)一套集中化、規(guī)范化、流程化的數(shù)據(jù)安全運(yùn)營機(jī)制，配置專職的數(shù)據(jù)安全管理人員，持續(xù)改進(jìn)、落實(shí)數(shù)據(jù)安全制度和流程，提升數(shù)據(jù)安全長效運(yùn)營的能力，更好地應(yīng)對數(shù)據(jù)安全的挑戰(zhàn)。

第六，強(qiáng)化安全意識。從國家上位法入手，開展形式多樣的數(shù)據(jù)安全宣傳教育，可以通過國家網(wǎng)絡(luò)安全宣傳周等系列活動，重點(diǎn)打造數(shù)據(jù)安全的主題活動，包括培訓(xùn)、競賽、演練等，讓師生、部門和學(xué)校深切感受到數(shù)據(jù)安全的重要性，提升數(shù)據(jù)安全防護(hù)意識。

構(gòu)建可持續(xù)發(fā)展新格局

當(dāng)前，高校數(shù)據(jù)分類分級正處在一個發(fā)展階段，數(shù)據(jù)安全廠商擁有數(shù)據(jù)分類分級的產(chǎn)品和服務(wù)，但是在教育行業(yè)的實(shí)踐經(jīng)驗(yàn)并不多，所以人工的工作量可能會更多。在多措并舉的保障下，以數(shù)據(jù)分類分級為基礎(chǔ)，與數(shù)據(jù)安全各個環(huán)節(jié)形成聯(lián)動策略，按照“重點(diǎn)優(yōu)先、急用先上”的原則，實(shí)現(xiàn)數(shù)據(jù)安全常態(tài)化監(jiān)測、預(yù)警和應(yīng)急響應(yīng)機(jī)制，搭建數(shù)據(jù)全生命周期的安全防護(hù)體系，增強(qiáng)高校數(shù)據(jù)治理的能力，構(gòu)建數(shù)據(jù)安全協(xié)同治理的可持續(xù)發(fā)展新格局。