2021-11-26 教育网络信息安全
教育信息化高速发展的同时也伴随着教育数据量的激增,以某省级教育行政部门为例,其基础教育数据库中的基础教育数据存储量已达1.7TB。逐年累积的数据为实现教育数字化转型提供了重要的基础资源,但也给各地各校的网络安全工作带来了新的挑战。教育系统网络安全工作的聚焦点,已从教育信息化1.0时代的“系统”转变为教育信息化2.0时代的“数据”。数据作为重要的战略资源,防范数据安全风险、构建数据安全保护体系、完善数据安全治理机制的重要性日益凸显。
笔者认为,结合实际对数据进行有序规范的管理,是促进数据资源优化配置和有效利用,保证数据一致性、完整性、可用性和安全性的重要前提和基础。
一、理清数据管理组织架构,明确分工职责
有效的数据管理组织架构包括数据管理部门、数据生成部门和数据使用部门。数据管理部门是统筹协调数据整体工作的部门,数据生成部门是各类数据的单一来源部门,数据使用部门是申请使用数据的部门。各部门应明确分工、细化职责,在数据全生命周期内各司其职、各尽其责、协调合作,共同保障数据安全。
数据管理部门依据具体职责分为行政管理和技术支撑两个子部门。行政管理部门负责对数据资源进行统一规划,牵头制定和发布数据管理制度,并督促实施,以及确定各类数据对应的单一数据生成部门。技术支撑部门负责制定具体的数据管理技术规范,对数据进行整合与集成,建设和管理基础数据库,向数据使用部门提供数据交换与共享服务。
数据生成部门负责本部门职能范围内的数据采集工作,在设计、建设和运行具体数据采集业务系统时,应遵循数据管理部门制定的统一数据标准和数据规范。在数据采集过程中应及时整理、维护、备份和归档数据,并将生产库中的数据同步汇交至数据管理部门。
数据使用部门需依规申请获取数据,并对获取的数据负责,确保数据的安全,还须严格按照申请用途在业务职责范围内使用数据。在使用数据过程中,部门应遵循“三不得”原则,不得在申请用途范围之外使用,不得二次传递给其他单位,不得违规对外发布。
二、严格数据采集变更程序,保证数据质量
数据质量管理是指采取一定的管理措施以保证数据的真实性、完整性、有效性和实时性,遵循“谁采集谁负责”的原则。各类数据的采集工作由数据管理部门确定的数据生成部门在其职能范围内进行,是数据的唯一源头部门。为在源头上保证数据的质量,数据生成部门应根据相关业务需求,详细制定本部门数据采集、变更等管理细则,规范数据的采集、变更等程序。
为保证数据的一致性,避免数据重复采集,数据生成部门在确定和新增数据采集指标时,都需要与数据管理部门共同协商确定。在数据采集过程中,因业务需要导致原数据结构或内容发生变更时,数据生成部门须向数据管理部门提出变更申请,审核通过后再进行相应的变更操作。
数据使用部门在获取所需数据后,应负责所获数据的质量管理。只能在业务职责范围内对数据进行分析和引用,不能自行对数据进行增加、删除和修改等改变数据结构和内容的二次操作。
三、规范数据申请使用流程,严控数据流转
数据只有在使用过程中才能体现其价值,数据使用部门因业务需要使用非本部门生成的数据时,应遵循“先申请后执行”的管理流程。为保障数据安全,数据使用部门应充分分析自己的业务需求,以“最小数据集”的原则,向数据管理部门提出明确的数据使用申请。数据使用申请中应包括所需数据内容、使用目的、使用范围、使用期限、数据获取频率和使用方式等。
数据管理部门的两个子部门分别从统筹管理和技术支撑两个角度,协同合作共同评估审核数据使用部门提出的使用申请。数据生成部门则从业务安全的角度,对数据使用申请进行单独审核。三个部门均审核通过后,由数据管理部门的技术支撑部门将所申请的数据按约定的使用方式,安全可靠地交换给数据使用部门。
四、明确数据全生命周期管控,保障数据安全
数据安全管理遵循数据全生命周期管理原则,数据管理部门、数据生成部门和数据使用部门均应在各自职责范围内,严格落实数据安全相关法律法规要求,完善数据安全技术保障体系,加强数据安全管理,共同保障数据在采集、存储、处理、传输、共享、归档以及销毁各阶段的保密性、完整性和有效性。
数据生命周期是一个连续关联的过程,在每个具体阶段中都要预先考虑到其他阶段的安全性。如数据使用方式有比对验证模式、查询引用模式和批量复制模式。为减少数据批量的传输和保存,降低安全风险,在数据使用申请阶段就要考虑选用何种数据使用方式。一般情况下,数据使用以对比验证模式和查询引用模式为主,严格控制批量复制模式的使用。
在数据生命周期的各个阶段,均会涉及各类人员对数据的操作,需对数据管理、使用人员的操作实施严格管理。对各类人员的数据操作账号、数据操作认证、数据操作授权、数据操作审计进行统一管理,可以有效防范内部人员的操作安全风险。
2021年正式实施的《数据安全法》和《个人信息保护法》,是我们国家在兼顾发展与安全的基础上,向世界展示的数据安全保护“中国方案”。随着两个法案的贯彻实施,长期以来人们对数据“重收集、轻保护”的现象将得到改变,全民数据和个人信息的安全保护理念会有效树立。规范数据全生命周期管理,把确保数据安全放在首要位置,数据才能发挥其有效价值,更好地为教育事业发展提供有力支撑!
