摘自:西嘉科技
高校早期的数据安全管控处于“粗放式管理”阶段,即站在学校本身对于事物信息化建设可以快速上线、厂商项目可快速验收的立场上,忽略了数据对接和供给过程中对于数据安全的保障。普遍的情况是部分厂商和校内少数管理人员在项目建设周期内或验收后仍然具有完整的校内数据访问权限,再加上传统数据平台并未将安全或隐私保障体系作为核心功能点之一,很容易造成未经授权的数据访问、使用、披露、破坏、修改、销毁等安全问题的出现。
随着《网络安全法》的正式施行,关于数据安全与保护方面已经形成了完善的法律制度。如何在保障数据使用便捷性的基础上,满足法律的合规性要求,并真正能够保障高校各类群体对于数据安全的需求,成为了数据建设和信息化建设层面需要着重考虑的一部分。
在希嘉的数据中台体系中,贴合高校实际的数据管理业务,通过制度与产品功能的结合,为高校的数据管理工作提供了完善的数据安全管控体系:
数据中台-数据资产篇曾总结出,高校数据治理或资产化管理阶段实际上最终阶段的关键产物是结构清晰、含义明确的校内数据资产目录:
校内数据资产目录在迎合了教育部顶层设计的标准上,根据高校业务的实际需求进行灵活的扩充与迭代,最终实现数据的“分类”。让智慧校园生态圈内的每一份子都能够快速获知、了解现有的数据资产内容。但希嘉认为,按照最广泛和通用的需求对数据进行主题集分类是第一阶段的事情,迈过这一步应当做的工作还有以下内容:
建立数据分级和数据共享负责人制度
高校需要结合自身学校的实际数据管理业务特性,建立起数据分级制度,明确数据权威负责部门、对应的个体负责人等。明确数据的范围边界和使用方式,清理数据管理及共享开放的义务和权利。在依法加强安全保障和隐私保护的前提下,稳步推动公开数据资源共享开放。
借助平台有效落实上述制度规范
不同于传统的数据平台的单管理人员角色设计,希嘉数据中台提供了贴合高校数据管理业务特性的多角色与多级权限管理机制,可满足数据业务中的多类人员的可参与性,从而实现校级层面的数据中台化体系。
如下图所示,以财务数据为例。在权限中可配置多级管理人员的角色,同时可设定其负责的数据集,并可细致到单独的数据资产范围。例如项目基本信息、项目余额信息等。在平台中实现了细化的资产拆分和权限拆分,更好地满足和落实规范性要求。
在实际的数据开放和使用阶段,也应加强对于数据安全和隐私的手段,在便捷的基础上兼顾安全,希嘉数据中台围绕数据使用的全生命周期流程,为高校构建完善的数据使用管控体系:
数据发布阶段
提供字段级的数据加密及脱敏策略,在发布时一键将高敏感或与个人隐私高度相关的数据实现加密发布,例如学生个人联系方式、教师工资等;
数据申请阶段
基于token的身份验证机制和权限控制机制,保障调用方身份的唯一性和有效性;
数据审核阶段
提供基于条件限制的内容过滤功能,例如新开发的成绩查询APP需要获取学生管理数据集中的本专科成绩信息时,在提交了数据API申请请求后,管理人员可对每个字段添加对应的限制条件,例如对学期字段添加仅当前学期的限制,从而避免数据的过度暴露;
数据调用阶段
提供数据访问黑/白名单设计,例如设可访问数据的IP段,若不在此IP段中将无法接触到校内的数据资产;
同时基于可视化操作灵活控制接口的停用和启用等操作,实现调用过程的自主可控;
数据运维阶段
灵敏预警:建立健全的高效灵敏预警体系,通过对系统各模块完善监测机制,得到量化的数据,分析发现并预测潜在危机,及时上报,预警风险;
审计体系:具备完整的数据调用审计以及操作记录留存功能,并提供可视化界面进行记录的回溯查询和可视化分析统计,帮助高校更为清晰的获知数据的运转情况。
