2020年,，全國人大常委會(huì)先后發(fā)布了《數(shù)據(jù)安全法（草案）》和《個(gè)人信息保護(hù)法（草案）》，這兩項(xiàng)法案的出臺(tái)表明國家層面有了明確的數(shù)據(jù)安全要求,。

根據(jù)法律專家的意見,，《數(shù)據(jù)安全法》的國家法律定位是在《國家安全法》之下、《網(wǎng)絡(luò)安全法》之上,，數(shù)據(jù)安全一旦出現(xiàn)問題追責(zé)是無限責(zé)任,，因此高校要高度重視數(shù)據(jù)安全工作。

以上所有問題的解決，當(dāng)務(wù)之急是要引起學(xué)校各個(gè)層面對(duì)數(shù)據(jù)安全的重視,。

我們希望能充分利用此次《數(shù)據(jù)安全法（草案）》,、《個(gè)人信息保護(hù)法（草案）》出臺(tái)的機(jī)遇，在學(xué)校進(jìn)行大力宣傳并積極與領(lǐng)導(dǎo)層面溝通交流，根據(jù)國家,、省市、行業(yè)的數(shù)據(jù)安全相關(guān)文件精神,，結(jié)合學(xué)校自身情況制定適合本校的數(shù)據(jù)安全管理制度,，并向?qū)W校積極爭(zhēng)取資源，將數(shù)據(jù)安全作為下一步信息化工作重點(diǎn)予以高度關(guān)注,。

在行業(yè)層面,，構(gòu)建覆蓋數(shù)據(jù)全生命周期的安全管理體系時(shí)，建立統(tǒng)一的數(shù)據(jù)分級(jí)分類體系是關(guān)鍵,，而這也是教育行業(yè)數(shù)據(jù)安全保護(hù)面臨一大問題,。

雖然教育部2018年出臺(tái)的《教育部機(jī)關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》中，已對(duì)一些數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)進(jìn)行了相關(guān)規(guī)定,，但我們更希望在此基礎(chǔ)上,，教育管理部門能夠盡快規(guī)范教育數(shù)據(jù)安全分級(jí)分類程序，提升高校數(shù)據(jù)安全分級(jí)分類的可實(shí)施性和可操作性,，為各高校數(shù)據(jù)安全管理工作提供指導(dǎo),，形成從上到下的管理體系，從而有效地避免學(xué)校制定的管理制度與上級(jí)規(guī)范不一致的情況出現(xiàn),。

目前在管理制度層面,，深圳大學(xué)信息中心出臺(tái)了相關(guān)的數(shù)據(jù)安全保護(hù)制度，即《深圳大學(xué)數(shù)據(jù)共享管理辦法》和《數(shù)據(jù)庫運(yùn)維服務(wù)管理規(guī)范》,。

前者對(duì)包括學(xué)生成績,、老師工資等隱私數(shù)據(jù)和個(gè)人敏感數(shù)據(jù)的來源記錄、使用流程,、監(jiān)督管理辦法等進(jìn)行規(guī)定,，后者對(duì)學(xué)校建立的統(tǒng)一數(shù)據(jù)庫在運(yùn)行維護(hù)過程中要遵守的規(guī)則和保密要求等進(jìn)行規(guī)定。

深圳大學(xué)

在進(jìn)行數(shù)據(jù)安全防護(hù)建設(shè)過程中，我們發(fā)現(xiàn)數(shù)據(jù)分級(jí)分類和容災(zāi)備份快速恢復(fù)是數(shù)據(jù)安全工作的兩項(xiàng)關(guān)鍵環(huán)節(jié),，其中分級(jí)分類是防護(hù)體系的重要基礎(chǔ)，而容災(zāi)備份則是體系連續(xù)運(yùn)行的強(qiáng)健保障,。

數(shù)據(jù)分級(jí)分類是建立數(shù)據(jù)全生命周期安全防護(hù)體系的重要基礎(chǔ),，也是數(shù)據(jù)安全治理的核心任務(wù)之一,。

數(shù)據(jù)分級(jí)保護(hù)與分類保護(hù)兩者相輔相成，數(shù)據(jù)分類把具有共同屬性的數(shù)據(jù)歸并在一起,，數(shù)據(jù)分級(jí)根據(jù)數(shù)據(jù)所具有的后果性標(biāo)準(zhǔn)構(gòu)建技術(shù)保護(hù)體系，最后通過數(shù)據(jù)類別將其納入對(duì)應(yīng)的數(shù)據(jù)分級(jí)體系,。

在分級(jí)分類的基礎(chǔ)上，針對(duì)性地制定數(shù)據(jù)防護(hù)要求,，設(shè)置不同的訪問權(quán)限、對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸,、敏感數(shù)據(jù)進(jìn)行脫敏處理、重要操作進(jìn)行審計(jì)記錄和分析等,，才能形成有效的數(shù)據(jù)安全防護(hù)體系。

深圳大學(xué)信息中心

前期,，深圳大學(xué)信息中心參考《教育部機(jī)關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》、《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》,、《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例（征求意見稿）》等文件,，已開始在部門內(nèi)部制定《數(shù)據(jù)安全標(biāo)準(zhǔn)（草案）》,，依據(jù)數(shù)據(jù)屬性進(jìn)行數(shù)據(jù)分類方面的工作,，并根據(jù)數(shù)據(jù)安全影響程度確定數(shù)據(jù)安全級(jí)別，將數(shù)據(jù)從高到低分為最高級(jí)別數(shù)據(jù),、重要敏感數(shù)據(jù)、內(nèi)部辦公常用數(shù)據(jù),、可公開數(shù)據(jù)等不同安全級(jí)別，在此基礎(chǔ)上計(jì)劃出臺(tái)《數(shù)據(jù)安全管理辦法》,，進(jìn)一步提高數(shù)據(jù)安全防護(hù)能力,。

我們的經(jīng)驗(yàn)是,，高校進(jìn)行數(shù)據(jù)分級(jí)分類時(shí)，除了根據(jù)數(shù)據(jù)來源,、用途、內(nèi)容,、價(jià)值、范圍等,，還需結(jié)合學(xué)校實(shí)際情況與合規(guī)需求，遵循科學(xué)性,、穩(wěn)定性、實(shí)用性和擴(kuò)展性原則,，建立高校自身的數(shù)據(jù)分類分級(jí)方法，先根據(jù)數(shù)據(jù)屬性按重要程度進(jìn)行分類,，在此基礎(chǔ)上根據(jù)數(shù)據(jù)安全的影響程度進(jìn)行分級(jí),。

在這方面，其實(shí)可以參考金融行業(yè)等數(shù)據(jù)安全方面的先行者,，它們已經(jīng)探索出了一整套的分級(jí)分類辦法。另外,，部分網(wǎng)絡(luò)安全公司已經(jīng)儲(chǔ)備了數(shù)據(jù)分級(jí)分類技術(shù)，包括相關(guān)平臺(tái)工具,，甚至有的已經(jīng)有落地的案例了，盡管整體上可能還不太成熟,，但與這些企業(yè)合作顯然可以更快地找到適合的解決方案。

數(shù)據(jù)安全問題中最嚴(yán)重的是數(shù)據(jù)的丟失和篡改，容災(zāi)備份是解決該問題最有效的方案,，能夠在災(zāi)難來臨時(shí)，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的快速恢復(fù),，保證信息系統(tǒng)的正常運(yùn)行及數(shù)據(jù)的一致性，幫助學(xué)校實(shí)現(xiàn)業(yè)務(wù)連續(xù)性,。

容災(zāi)備份就其對(duì)象來說，包括操作系統(tǒng),、應(yīng)用和數(shù)據(jù)，方式有本地,、異地以及云端等。系統(tǒng),、應(yīng)用容災(zāi)是在數(shù)據(jù)容災(zāi)的基礎(chǔ)上，建立一套完整的與本地生產(chǎn)系統(tǒng)相當(dāng)?shù)膫浞菹到y(tǒng)及應(yīng)用,，不僅需要一份可用的數(shù)據(jù)復(fù)制，還需要網(wǎng)絡(luò),、主機(jī),、應(yīng)用等資源之間的良好協(xié)調(diào),，采用的技術(shù)主要有負(fù)載均衡、集群技術(shù),、熱備份等。

深圳大學(xué)現(xiàn)有粵海,、滄海、麗湖三大數(shù)據(jù)中心,，各建有獨(dú)立的云平臺(tái)，在此基礎(chǔ)上通過統(tǒng)一云管平臺(tái)對(duì)三校區(qū)云平臺(tái)進(jìn)行統(tǒng)一管理,，各數(shù)據(jù)中心通過FCSAN或IPSAN構(gòu)建存儲(chǔ)資源池。

其中粵海和滄海校區(qū)實(shí)現(xiàn)存儲(chǔ)層雙活,，可以保證云平臺(tái)上的業(yè)務(wù)系統(tǒng)的存儲(chǔ)始終在線,，通過配置SAN快照功能,，當(dāng)出現(xiàn)誤刪除等操作引起數(shù)據(jù)邏輯錯(cuò)誤時(shí),，數(shù)據(jù)可回滾到上一個(gè)快照時(shí)間點(diǎn),。同時(shí)在粵海校區(qū)數(shù)據(jù)中心部署了一套分布式多節(jié)點(diǎn)NAS（Network Attached Storage)存儲(chǔ)系統(tǒng),，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的在線備份,。NAS具有成本低、效率高,，具有良好的可擴(kuò)展性,，并有效保護(hù)資源數(shù)據(jù)的安全,。

基于混合云模式共建數(shù)據(jù)中心

此外,，我們還計(jì)劃與運(yùn)營商基于混合云模式共建數(shù)據(jù)中心（如上圖所示），就是租用運(yùn)營商的部分機(jī)房,，通過光纖直聯(lián)的方式把學(xué)校的數(shù)據(jù)中心與運(yùn)營商數(shù)據(jù)中心互聯(lián)。

這么做的好處,，一是解決了場(chǎng)地的限制，數(shù)據(jù)中心的場(chǎng)地一般需要在建樓時(shí)就已規(guī)劃好,，后續(xù)有增量需求時(shí)會(huì)有困難。但如果租用運(yùn)營商機(jī)房,，則不受局限,。

二是省去了部分運(yùn)維成本,，尤其是人力成本,。國內(nèi)高校網(wǎng)信部門的人員數(shù)量普遍比較緊缺，人力成本的節(jié)約尤為重要,。

在享受以上便利的同時(shí)，從長遠(yuǎn)來看自建備份數(shù)據(jù)中心和聯(lián)合共建總體成本差別并不大,，因此可以選擇嘗試聯(lián)合共建模式,。

網(wǎng)絡(luò)安全工作有個(gè)特點(diǎn),，就是它處于隱蔽戰(zhàn)場(chǎng),，不出問題時(shí)在信息化工作中是看不見、摸不著的。近年來我們一直將網(wǎng)絡(luò)安全可視化作為日常網(wǎng)絡(luò)安全工作的管理要求,。

前些年是以網(wǎng)站安全與等保合規(guī)為核心，近些年轉(zhuǎn)向以云平臺(tái)安全與終端安全為核心,，“十四五”期間將轉(zhuǎn)向以數(shù)據(jù)安全為核心，通過對(duì)數(shù)據(jù)分類分級(jí),，從數(shù)據(jù)采集、傳輸,、存儲(chǔ)、處理,、交換,、銷毀的全生命周期角度開展數(shù)據(jù)安全治理,，在符合網(wǎng)絡(luò)安全管理要求與網(wǎng)絡(luò)安全合規(guī)建設(shè)前提下，構(gòu)建動(dòng)態(tài)自適應(yīng)網(wǎng)絡(luò)安全防護(hù)體系,。

一個(gè)具體的例子是,，校內(nèi)某部門出于管理需要，在學(xué)生宿舍門禁系統(tǒng)上使用了人臉識(shí)別技術(shù),，建立了一個(gè)人臉識(shí)別數(shù)據(jù)庫,，但我們的安全團(tuán)隊(duì)很快就發(fā)現(xiàn)有漏洞，暫時(shí)停用了該系統(tǒng),。

因此我們?cè)凇笆奈濉逼陂g，計(jì)劃建立一個(gè)統(tǒng)一規(guī)劃,、統(tǒng)一建設(shè)的、全校性的人臉識(shí)別數(shù)據(jù)庫,，將接口提供給校內(nèi)有需要的部門,，由信息中心來保障數(shù)據(jù)安全,。

這就要求我們開展數(shù)據(jù)安全頂層設(shè)計(jì)，將數(shù)據(jù)安全內(nèi)化于網(wǎng)絡(luò)及信息系統(tǒng)建設(shè)中,，實(shí)現(xiàn)同步規(guī)劃、同步建設(shè),、同步運(yùn)行,，從組織建設(shè),、制度流程、技術(shù)工具,、人員能力四個(gè)維度，全面提升數(shù)據(jù)安全能力,，最終構(gòu)建可持續(xù)運(yùn)營的數(shù)據(jù)安全防護(hù)體系。

*本文所提數(shù)據(jù)均指非涉密數(shù)據(jù)，涉密數(shù)據(jù)管理按涉密有關(guān)規(guī)定進(jìn)行