如何破解高校个人数据保护难题?


3月6日,《信息安全技术个人信息安全规范》正式发布,并将于2020年10月1日实施。紧接着,7月3日,《中华人民共和国数据安全法(草案)》(以下简称《数据安全法》)在中国人大网公布,公开征求意见。

但在高校,很多学校还尚未出台专门针对个人数据安全的相关制度措施。相信《数据安全法》的出台将有效促进各高校相关工作进展。那么,目前我国高校个人数据保护现状如何?

近年来,随着高校个人和科研信息价值的不断疯涨,信息泄露风波频繁出现。

其中广为人知的有,6月初,郑州某学院近两万学生个人信息被泄露,引起轩然大波。2016年8月21日,山东临沂高三毕业生徐玉玉因被诈骗电话骗走准备上大学的费用,导致心脏骤停,不幸离世。

困难和挑战

高校拥有大量的科研成果、学术资料、教职工信息以及海量的学生信息。但在数据安全建设上有所欠缺,意识相对薄弱,相关措施难以有效保障数据的安全。

正如北京大学计算中心主任张蓓所说,黑客盗取数据和现实中的小偷一样,最大特点是贼偷方便,理论上无法完全杜绝,只能层层设防,通过隔离、隐藏等方式,给黑客们制造麻烦,让其少来惦记。但在设防过程中,各高校遇到了各种各样的困难和挑战。

这些困难包括目前大多数学校普遍欠缺的针对性制度措施,这种普遍性可能主要有两个原因,一方面数据安全本身是网络安全中的“上层建筑”,措施滞后实属正常,另一方面各高校也在等待《数据安全法》等法律法规的最终出台,然后做相应部署。

同时,各高校还不同程度地面临着部门间协调困难;数据“滥用”与“不用”之间的平衡不好把握;缺少数据安全专职专岗人员;缺少存储设备、安全设备;缺少数据库综合管理平台;缺少安全相关技术,以及师生员工信息保护意识不足等困难和挑战。

制度与技术需双管齐下

那么,该如何保障高校个人数据的安全?根据相关反馈主要可采取以下两种措施。

一是制度措施。总结多次事件,不少事发高校的信息安全管理机制存在明显的漏洞。高校应当从全面提升学校师生员工的安全防范意识入手,提高相关人员的网络安全素质,让相关人员意识到数据是便利也是风险,要最小化采集信息,要集中存储、管控;让师生员工了解信息泄露途径,减少犯错。在此基础上,要建立完善的信息安全组织体系、管理制度及责任制度。

二是技术措施。要破除信息孤岛,建立中心数据库,可采取多个平行或主、副有别的数据库,相互备份,提高抗风险能力。基于此,通过数据库防火墙,对数据库的操作进行全面防护;通过数据库审计,对所有的数据库使用进行全面记录,定期审计,排除隐患;对数据库中的敏感数据进行加密存储、密文查询、密文计算,加强保护,防止未授权访问和数据窃取等;以API模式对外提供数据共享,统一对外接口隐藏内部逻辑。

此外,还可使用数据防泄漏手段对终端和网络的数据泄露进行监控和阻断;通过静态脱敏对敏感数据进行漂白处理,切断真实数据和自然人之间的关系等,尤其是在与第三方合作时,尽量使用脱敏数据;通过漏洞扫描、风险监测,提高危机预警能力等。

本文来源:《中国教育网络》杂志(8月刊)