近年来,国内高校发生了多起数据泄露事件,对学校日常运行和声誉形象产生影响。随着数字化转型的不断发展,高校面临如何在使用数据和保障隐私之间进行平衡的挑战。
那么,当前国内高校数据安全和隐私保护现状如何?面临哪些困难和挑战?各高校如何定义隐私边界?听听主任们怎么说。
话题一:高校数据安全保护现状及挑战
总分为10分,各高校网信部门领导对国内高校数据安全保护的总体评价在6~8分之间,平均为7分。数据安全保护的难点和挑战何在?
陆以勤:高校数据防护难点在于平衡便利性和安全性
由于高校信息化技术力量相对其他行业强,并且网络安全意识相对较强,因此,教育行业数据安全保护工作相对较好,没有发生恶性数据泄漏事件。
但高校数据安全的隐患还是存在的。疫情防控期间,我担任会长的广东省计算机信息网络安全协会受网络安全管理部门的委托,通过协会的“广东省网络安全应急响应平台”对省内71家疫情服务平台进行风险监测。
共发现安全隐患112个,其中高危隐患34个;对50家远程教育平台进行风险监测,共发现安全隐患83个,其中高危隐患19个。所幸的是,教育管理部门、网络安全管理部门和部分高校很快意识到数据安全的隐患,及时指导教育行业加强数据安全的防范。
高校数据安全防护的难点和挑战在于对便利性和安全性的平衡上。网络安全需要采取技术和管理上的防护和限制措施,一定程度上会影响使用的便利性和运行的效率。
业务快速发展时,人们常常会感受到网络安全防范带来的不便,这个时候容易产生侥幸心理,从而产生数据安全问题。同时,信息化部门本身任务较重,经常满负荷运转,不容易顾及全校网络空间的每一个角落。
葛连升:核心问题是安全意识和素养的不足
高校在数据安全防护方面,目前仍处于起步阶段。这几年,随着网络安全法、等级保护制度的推进,高校网络安全包括数据安全能力有了一定提升,对信息保护,特别是对网站的安全管理方面,做了不少工作。
但当前国内高校数据安全防护最核心的问题是网络安全意识和素养的不足。虽然国家层面上对此十分重视,但从大众的意识来看,始终还是认为网络安全和信息化是信息技术部门的事情,是一个技术问题。实际上,安全问题事关每个人,这一认识不到位,高校网络安全包括数据安全工作的推进就比较困难。
此外,安全问题还是一个体系问题,应该说,当前高校安全体系建设是不完备的。安全体系不仅包括技术体系,还有组织体系、制度体系、应急处置体系、教育培训体系、考核奖惩体系等等。将安全问题从法律条文具体落实到各个单位,建设完备的安全体系,还需要相当长的时间。
难点和挑战主要体现在四个方面,第一,从数据本身的角度看,现在一切都在数据化,可以说数据无处不在,给数据的安全管理带来了非常大的挑战;第二,从高校的特点看,首先高校管理的链条比较长,其次高校的管理比较松散,所以造成数据也比较分散,数据集中目前实施得不是很好;第三,高校师生自身数据安全的素养和意识不够强;第四,虽然目前《数据安全法(草案)》已经公布,但从高校来看,制度、技术等方面都不够完善,这些都对数据安全形成了一些挑战。
刘昕:高校数据安全缺乏专业人才
近几年,教育部对部属高校的安全体系监管越来越严格,考核指标越来越明晰,促使部属高校不断提升数据安全保护体系,取得了积极效果。但是高校师生安全意识和信息化素养参差不齐,信息化建设安全方面的技术队伍水平也有差异,而且大部分高校信息化系统对厂商依赖程度高,存在安全隐患。
“道高一尺,魔高一丈”,我们任重道远。总体而言,面临的困难和挑战主要包括:
1.老旧系统安全性差。早期建设的系统由于系统漏洞较多、采用明文传输、中间件漏洞等因素,造成服务器权限被获取,数据库被攻击等安全事件,危害非常之大。但为了保证业务不间断,又不能一刀切。
2.安全性和便利性之间的矛盾。为了保证数据安全,往往会增加安全设备进行防护,在安全设备上配置策略,阻断有危害的访问请求。但这样一般会增加用户访问和运维管理成本。
3.缺少安全专业人才。
话题二:隐私保护的界定与存在的安全隐患
关于隐私数据的定义,大家往往会想到师生员工的身份识别信息,健康状况、财务信息等敏感信息。但是,学校的重要公文、科研成果等核心信息是否属于隐私数据?只有对隐私的内涵进行较为清晰的界定,才能更好地排除安全隐患。
王新:系统设计缺陷是隐私泄露最常见的原因
结合高校的情况,隐私信息主要有以下三种:一是能够用来对用户进行身份识别的基本信息,包含姓名、身份证、照片、指纹、人脸特征等;二是用户敏感信息,包含健康状况、财务信息、定位信息、信息化应用访问情况,如一卡通消费记录、网站访问详情等;三是学校的核心信息如重要公文、重要科研成果等。
在国内外高校隐私信息泄露事件中,比较常见的是由于系统设计缺陷导致的越权问题。这暴露出了高校隐私保护在如下几方面存在隐患:一是高校的相关组织机构不健全,隐私信息管理制度不完善;二是高校信息系统建设和数据安全防护水平与日新月异的网络攻击手段存在差距,在系统安全设计、数据授权、数据脱敏、数据审计等方面亟需加强;三是高校管理人员及用户隐私保护意识不强。
陆以勤:后台出问题的概率比前台更大
为了理解隐私信息,我们可以把涉及高校数据的角色分为:数据的所有者、运行者、管理者和使用者。
例如,某高校学生工作处通过学校数据交换平台从教务系统读取学生成绩进行学年学生综合测评,作为数据形式的学生的成绩,其所有者是获得该成绩的学生,而运行者是教务处,管理者是网信部门,使用者是学工处。
我们应该拥有这样的共识:数据使用者必须在数据所有者允许的范围内使用数据,超出了这个范围就是对用户隐私的侵犯。
在这个过程中,如果发生侵犯用户隐私事件,例如向第三方泄露成绩,数据使用者承担其法律责任,运行者承担数据隐私保护的运行责任,管理者承担数据隐私保护的管理责任。
高校发生隐私信息被窃取或泄露事件,实际上是数据的读取权限被非法获取了,这涉及前台和后台两个方面,前台是设计者或者开发者的问题,后台是管理者的问题。目前,高校发生隐私信息被窃取或泄露事件,两方面的原因都存在,相对而言,后台出问题的频率可能更大些。
当前高校隐私保护主要面临的隐患有:1.弱密码;2.管理颗粒度过粗;3.数据读取缺乏有效监督和审计;4.开发者和运行者界面不清,开发者权限过大和数据库管理员缺乏约束;5.数据备份不及时;6.数据带敏分析等。
葛连升:解决隐私数据问题要注重顶层设计
可以说,在信息化领域,隐私保护在过去是人们不太关注的一个方面,是比较新鲜的概念。随着社会的进步,隐私数据保护越来越被关注和重视。
在高校,对学校师生员工的个人数据信息处理时,就涉及到隐私保护,这时要对数据操作进行审计,包括对数据的脱敏等等。实际上,隐私保护涉及数据管理的全过程,包括从数据采集、传输、存储、使用、操作到销毁的各个环节。
此外,隐私信息在不同的场景下,要求是不一样的。首先要明确隐私保护的具体内容,在不同的场景中,哪些是敏感信息?需要结合具体的实际情况,制定详细的规范。总之,要把数据安全保护工作进行细化。
高校隐私数据被窃取或泄露事件之所以频繁发生,最根本的原因是顶层设计出了问题,没有形成合力。一定要清楚数据安全及隐私保护工作,实际上会涉及学校的每一个部门,每一个人员。
侯孟书:隐私信息可分为面向机构和面向个人
高校隐私信息的内涵可分为面向机构的学校敏感信息和面向个人的师生敏感信息。学校敏感信息包括重大决策信息、财务信息、招生信息、资产信息等。师生敏感信息包括身份信息(身份证号码、学号、职工号等)、生物识别信息(指纹、人脸等)、健康生理信息(疾病情况)及上网信息、一卡通信息、位置信息等。
高校隐私信息被窃取或泄露事件的发生,主要原因包括:
1.高校普遍对数据安全防护投入不足,缺乏有效的数据安全防护手段,使敏感信息直接暴露在互联网之下;
2.高校软硬件系统存在安全漏洞,没有及时升级系统和应用补丁、存在弱口令、缺省配置等,给黑客可乘之机;
3.存在管理人员的误操作或者管理漏洞,将隐私信息误传公共网络;
4.高校业务过程中涉及大量的信息公开与公示需求,例如贫困学生资助公示、奖学金公示、面试名单公示、教师个人页面展示等,导致身份信息泄露。
相应的,高校隐私保护主要的隐患有以下几点:1.缺乏关于隐私保护可操作性的相关制度,如:《数据安全管理办法》、《数据共享管理办法》等;2.没有建立有效的数据分级分类和细粒度的访问控制;3.没有对高校数据进行脱敏处理;4.管理人员缺乏数据安全和隐私保护意识。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。