众议:高校数据隐私保护挑战与规划

近年来,国内高校发生了多起数据泄露事件,对学校日常运行和声誉形象产生影响。随着数字化转型的不断发展,高校面临如何在使用数据和保障隐私之间进行平衡的挑战。

那么,当前国内高校数据安全和隐私保护现状如何?面临哪些困难和挑战?各高校如何定义隐私边界?听听主任们怎么说。

高校数据安全

保护现状及挑战

小编发起了一个调查,总分为10分,各高校网信部门领导对国内高校数据安全保护的总体评价在6~8分之间,平均为7分。那么数据安全保护的难点和挑战何在?

陆以勤:高校数据防护

难点在于平衡便利性和安全性

陆以勤

■ 华南理工大学

■ 副首席信息官

由于高校信息化技术力量相对其他行业强,并且网络安全意识相对较强,因此,教育行业数据安全保护工作相对较好,没有发生恶性数据泄漏事件。

但高校数据安全的隐患还是存在的。疫情防控期间,我担任会长的广东省计算机信息网络安全协会受网络安全管理部门的委托,通过协会的“广东省网络安全应急响应平台”对省内71家疫情服务平台进行风险监测。

共发现安全隐患112个,其中高危隐患34个;对50家远程教育平台进行风险监测,共发现安全隐患83个,其中高危隐患19个。所幸的是,教育管理部门、网络安全管理部门和部分高校很快意识到数据安全的隐患,及时指导教育行业加强数据安全的防范。

高校数据安全防护的难点和挑战在于对便利性和安全性的平衡上。网络安全需要采取技术和管理上的防护和限制措施,一定程度上会影响使用的便利性和运行的效率。

业务快速发展时,人们常常会感受到网络安全防范带来的不便,这个时候容易产生侥幸心理,从而产生数据安全问题。同时,信息化部门本身任务较重,经常满负荷运转,不容易顾及全校网络空间的每一个角落。

葛连升:核心问题是

安全意识和素养的不足

葛连升

■ 山东大学

■ 信息化工作办公室常务副主任

高校在数据安全防护方面,目前仍处于起步阶段。这几年,随着网络安全法、等级保护制度的推进,高校网络安全包括数据安全能力有了一定提升,对信息保护,特别是对网站的安全管理方面,做了不少工作。

当前国内高校数据安全防护最核心的问题是网络安全意识和素养的不足。虽然国家层面上对此十分重视,但从大众的意识来看,始终还是认为网络安全和信息化是信息技术部门的事情,是一个技术问题。实际上,安全问题事关每个人,这一认识不到位,高校网络安全包括数据安全工作的推进就比较困难。

此外,安全问题还是一个体系问题,应该说,当前高校安全体系建设是不完备的。安全体系不仅包括技术体系,还有组织体系、制度体系、应急处置体系、教育培训体系、考核奖惩体系等等。将安全问题从法律条文具体落实到各个单位,建设完备的安全体系,还需要相当长的时间。

难点和挑战主要体现在四个方面,第一,从数据本身的角度看,现在一切都在数据化,可以说数据无处不在,给数据的安全管理带来了非常大的挑战;第二,从高校的特点看,首先高校管理的链条比较长,其次高校的管理比较松散,所以造成数据也比较分散,数据集中目前实施得不是很好;第三,高校师生自身数据安全的素养和意识不够强;第四,虽然目前《数据安全法(草案)》已经公布,但从高校来看,制度、技术等方面都不够完善,这些都对数据安全形成了一些挑战。

刘昕:高校数据安全

缺乏专业人才

刘昕

■ 武汉大学

■ 信息中心主任

近几年,教育部对部属高校的安全体系监管越来越严格,考核指标越来越明晰,促使部属高校不断提升数据安全保护体系,取得了积极效果。但是高校师生安全意识和信息化素养参差不齐,信息化建设安全方面的技术队伍水平也有差异,而且大部分高校信息化系统对厂商依赖程度高,存在安全隐患。

“道高一尺,魔高一丈”,我们任重道远。总体而言,面临的困难和挑战主要包括:

1.老旧系统安全性差。早期建设的系统由于系统漏洞较多、采用明文传输、中间件漏洞等因素,造成服务器权限被获取,数据库被攻击等安全事件,危害非常之大。但为了保证业务不间断,又不能一刀切。

2.安全性和便利性之间的矛盾。为了保证数据安全,往往会增加安全设备进行防护,在安全设备上配置策略,阻断有危害的访问请求。但这样一般会增加用户访问和运维管理成本。

3.缺少安全专业人才。

隐私保护的界定

与存在的安全隐患

关于隐私数据的定义,大家往往会想到师生员工的身份识别信息,健康状况、财务信息等敏感信息。但是,学校的重要公文、科研成果等核心信息是否属于隐私数据?只有对隐私的内涵进行较为清晰的界定,才能更好地排除安全隐患。

王新:系统设计缺陷是

隐私泄露最常见的原因

王新

■ 复旦大学

■ 信息化办公室主任

结合高校的情况,隐私信息主要有以下三种:一是能够用来对用户进行身份识别的基本信息,包含姓名、身份证、照片、指纹、人脸特征等;二是用户敏感信息,包含健康状况、财务信息、定位信息、信息化应用访问情况,如一卡通消费记录、网站访问详情等;三是学校的核心信息如重要公文、重要科研成果等。

在国内外高校隐私信息泄露事件中,比较常见的是由于系统设计缺陷导致的越权问题。这暴露出了高校隐私保护在如下几方面存在隐患:一是高校的相关组织机构不健全,隐私信息管理制度不完善;二是高校信息系统建设和数据安全防护水平与日新月异的网络攻击手段存在差距,在系统安全设计、数据授权、数据脱敏、数据审计等方面亟需加强;三是高校管理人员及用户隐私保护意识不强。

陆以勤:后台出问题的

概率比前台更大

陆以勤

■ 华南理工大学

■ 副首席信息官

为了理解隐私信息,我们可以把涉及高校数据的角色分为:数据的所有者、运行者、管理者和使用者。

例如,某高校学生工作处通过学校数据交换平台从教务系统读取学生成绩进行学年学生综合测评,作为数据形式的学生的成绩,其所有者是获得该成绩的学生,而运行者是教务处,管理者是网信部门,使用者是学工处。

我们应该拥有这样的共识:数据使用者必须在数据所有者允许的范围内使用数据,超出了这个范围就是对用户隐私的侵犯。

在这个过程中,如果发生侵犯用户隐私事件,例如向第三方泄露成绩,数据使用者承担其法律责任,运行者承担数据隐私保护的运行责任,管理者承担数据隐私保护的管理责任。

高校发生隐私信息被窃取或泄露事件,实际上是数据的读取权限被非法获取了,这涉及前台和后台两个方面,前台是设计者或者开发者的问题,后台是管理者的问题。目前,高校发生隐私信息被窃取或泄露事件,两方面的原因都存在,相对而言,后台出问题的频率可能更大些。

当前高校隐私保护主要面临的隐患有:1.弱密码;2.管理颗粒度过粗;3.数据读取缺乏有效监督和审计;4.开发者和运行者界面不清,开发者权限过大和数据库管理员缺乏约束;5.数据备份不及时;6.数据带敏分析等。

葛连升:解决隐私数据

问题要注重顶层设计

葛连升

■ 山东大学

■ 信息化工作办公室常务副主任

可以说,在信息化领域,隐私保护在过去是人们不太关注的一个方面,是比较新鲜的概念。随着社会的进步,隐私数据保护越来越被关注和重视。

在高校,对学校师生员工的个人数据信息处理时,就涉及到隐私保护,这时要对数据操作进行审计,包括对数据的脱敏等等。实际上,隐私保护涉及数据管理的全过程,包括从数据采集、传输、存储、使用、操作到销毁的各个环节。

此外,隐私信息在不同的场景下,要求是不一样的。首先要明确隐私保护的具体内容,在不同的场景中,哪些是敏感信息?需要结合具体的实际情况,制定详细的规范。总之,要把数据安全保护工作进行细化。

高校隐私数据被窃取或泄露事件之所以频繁发生,最根本的原因是顶层设计出了问题,没有形成合力。一定要清楚数据安全及隐私保护工作,实际上会涉及学校的每一个部门,每一个人员。

侯孟书:隐私信息可分为

面向机构和面向个人

侯孟书

■ 电子科技大学

■ 信息中心主任

高校隐私信息的内涵可分为面向机构的学校敏感信息和面向个人的师生敏感信息。学校敏感信息包括重大决策信息、财务信息、招生信息、资产信息等。师生敏感信息包括身份信息(身份证号码、学号、职工号等)、生物识别信息(指纹、人脸等)、健康生理信息(疾病情况)及上网信息、一卡通信息、位置信息等。

高校隐私信息被窃取或泄露事件的发生,主要原因包括:

1.高校普遍对数据安全防护投入不足,缺乏有效的数据安全防护手段,使敏感信息直接暴露在互联网之下;

2.高校软硬件系统存在安全漏洞,没有及时升级系统和应用补丁、存在弱口令、缺省配置等,给黑客可乘之机;

3.存在管理人员的误操作或者管理漏洞,将隐私信息误传公共网络;

4.高校业务过程中涉及大量的信息公开与公示需求,例如贫困学生资助公示、奖学金公示、面试名单公示、教师个人页面展示等,导致身份信息泄露。

相应的,高校隐私保护主要的隐患有以下几点:1.缺乏关于隐私保护可操作性的相关制度,如:《数据安全管理办法》、《数据共享管理办法》等;2.没有建立有效的数据分级分类和细粒度的访问控制;3.没有对高校数据进行脱敏处理;4.管理人员缺乏数据安全和隐私保护意识。

投稿、转载或合作,请联系:eduinfo@cernet.com

(0)

相关推荐

  • 着力构建个人数据信息保护治理体系

    数字经济已经成为推动中国经济高质量增长和全面重构生产方式.生活方式和治理方式的基础性力量.在数字经济背景下,数据已经成为重要的经济资源和企业战略资产.为了获得更高的利润和维持市场支配地位,一些数字平台 ...

  • 让数据不再“裸奔”,隐私计算“四小龙”亮出通关密码

    当数据成为重要的生产要素,数据隐私保护与数据使用应该如何权衡? 今年4月,<中共中央.国务院关于构建更加完善的要素市场化配置体制机制的意见>(以下简称"<意见>&qu ...

  • 大数据面临哪些安全问题与挑战?

    2019年05月21日     沈丹[导读]由于大数据环境下终端用户非常多,且受众类型较多,对客户身份的认证环节需要耗费大量处理能力.大数据所存储的数据非常巨大,往往采用分布式的方式进行存储,而正是由 ...

  • 看了车内摄像头画面,才知道自己在车里裸奔

    智能网联电动车的发展,给车主带来的最大问题可能就是泄露隐私. 4月5日,在一场播客节目"Sway"中,苹果公司CEO蒂姆·库克表示:"我认为隐私是21世纪科技行业所面临的 ...

  • 警惕“隐私悖论”, 企业必须担起保护个人隐私信息和行为信息的责任

    First 加入"ICT销售和大客户联盟"(微信ID:ICT-League),与ICT同行! "ICT销售与大客户联盟"公众号,集千家厂商.集成商和客户于一堂, ...

  • 隐私保护意识逐渐增强,巨量引擎如何一招保证安全与效果?

    当人们的生活变得越来越数字化,数据安全与隐私保护也被提上日程.从欧盟的GDPR到国内的<民法典>,从谷歌禁用Cookie到苹果IDFA获取受限,隐私保护已成社会各方的共同诉求. 近期,巨量 ...

  • 《数据安全能力成熟度模型》实践指南11:数据分析安全

    <信息安全技术 数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM正式成为国标对外发布,并已正式实施.美创科技将以DSMM数据安全治理思路为依托,针对各过程域,基于充分 ...

  • 不需神化大数据,更不必妖魔化!

    数据猿导读 当社会对大数据公司开始慢慢地妖魔化,我想这未免对这个大数据行业有了很深的误解.社会大众可能并不知道大数据公司到底再做什么. 作者 | 田静 本文长度为2300字,建议阅读5分钟 近日,一篇 ...

  • 高校如何升级个人数据隐私保护?

    执行数据隐私保护可能会有部分师生用户不同意对于相关数据的授权,进而影响到高校对数据服务的提供,但面对此类实际存在的问题,不能逃避也无法回避,最好的方式就是面对. 宋式斌 ■ 北京大学医学部网络安全 与 ...

  • 众议:如何让高校数据治理走向成熟?

    思考"如何让高校数据治理走向成熟"时,一方面数据中台是近两年的热点话题,但在高校具体实践中,数据中台能否发挥重要作用,却是一个见仁见智的话题. 另一方面数据治理无法凭借信息化部门一 ...

  • 众议:如何推进高校数据治理?

    康慨:通过持续产出 让管理者尝到甜头 康慨 ■ 北京理工大学 ■ 信息化办公室副主任 学校在进行数据治理时,可重点关注几个问题: 一是要有完善的基础平台,如主数据库.元数据管理系统.质量监控平台.数据 ...

  • 众议:疫情将如何影响高校信息化?

    疫情防控是一次史无前例的"大考",更是一次机遇,而高校信息化部门如何抓住这个历史机遇,更好地推动高校信息化发展?令人期待. 文丨项阳 这场突如其来的新冠疫情,打破了高校常规的教学管 ...

  • 高校信息化专家众议:“一站式服务”如何建设?

    近两年,各高校纷纷大力开展"一站式服务"建设,一站式服务的背后其实是高校管理体系的变革,即管理体系"去行政化",顺应从"管理"走向" ...

  • 众议:高校开展一站式服务,最大的困难是啥?

    高校推进一站式服务建设,在规划.实施到维护等各个阶段都面临着不同的困难."一站式服务首先要解决服务理念问题,其次要创新制度建设,再次要推进技术创新,从而实现服务升级."山东大学信息 ...

  • 春晚的“小品公主”,与冯巩合作引起众议,46岁未婚入佛门

    春晚是太多人的梦想了,能在这个舞台上表演的人,多多少少都有一些过人之处,当年在春晚有一个叫"小品公主"的人,她叫金玉婷,四次登上春晚舞台,虽然火起来了,但却引起了很多人的争议,当年 ...

  • 微众银行重视消费者权益保护 提升用户使用体验

    微众银行重视消费者权益保护 提升用户使用体验 微众银行重视消费者权益保护 提升用户使用体验 微众银行作为国内首家民营银行和互联网银行,采用纯线上的运营模式,可以给用户提供7*24小时的金融服务,用户随 ...

  • 微博钱包数字金融服务升级,“勇气”主题引众议

    最近几年,国内诸多基于互联网发展的金融平台迅速发展,在最近几年,国内互联网已经展现出了极大的创新能力,金融已经成了互联网这个圈子里最为重要的一环,许多国内知名企业都去拓展了金融业务,互联网金融和传统金 ...