《教育數(shù)據(jù)安全管理規(guī)范》征求意見稿

3T/GDCFXX-2023教育數(shù)據(jù)安全管理規(guī)范本文件規(guī)定了教育數(shù)據(jù)的特性、安全管理要求與實現(xiàn)。本文件適用于所有類型的教育數(shù)據(jù)安全管理工作。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.1-2000信息技術詞匯第1部分：基本術語3術語和定義下列術語和定義適用于本文件。3.1數(shù)據(jù)data信息的可再解釋的形式化表示，以適用于通信、解釋或處理。注：可以通過人工或自動手段處理數(shù)據(jù)。[來源：GB/T5271.1-2000，01.01.02]3.2教育數(shù)據(jù)educationaldata指描述、記錄和反映教育教學過程及相關元素的各種數(shù)字化信息。4教育數(shù)據(jù)特性教育數(shù)據(jù)特點主要包括：a）數(shù)據(jù)來源多源性。教育數(shù)據(jù)來源包括教務管理系統(tǒng)、學工管理系統(tǒng)、在線教學平臺、課程資源平臺、智慧課室等。b）數(shù)據(jù)類型多樣性。教育數(shù)據(jù)包括文本、圖像、音頻和視頻等多種類型的信息。c）數(shù)據(jù)時效性。教育數(shù)據(jù)宜及時更新，以便提供個性化支持和干預。d）需求多樣性。教育數(shù)據(jù)需求包括學生評估、課程改進、教學資源配置以及政策制定等。e）需求動態(tài)性。教育領域的需求因政策等因素變化。4T/GDCFXX-2023f）質量要求高。教育數(shù)據(jù)應具備準確性、完整性和一致性。g）隱私和安全性。教育數(shù)據(jù)涉及隱私的信息包括如學生姓名、家庭地址、出生日期、手機號碼、家庭成員情況等。5安全管理要求5.1安全管理結構要求教育數(shù)據(jù)安全管理結構一般應參見圖1。圖1教育行業(yè)數(shù)據(jù)安全管理結構5.2安全風險管理要求教育數(shù)據(jù)安全的風險管理內容應主要包括：a）防范數(shù)據(jù)泄露和隱私侵犯。b）防范網絡攻擊。c）防止學生和教育從業(yè)者身份被盜用。d）防止惡意軟件和病毒感染導致數(shù)據(jù)丟失或受損。e）防止弱密碼和不安全的憑證管理導致未經授權的訪問。f）防止社交工程欺騙教育機構的員工或學生，以獲取訪問權限或敏感信息。g）防范不當數(shù)據(jù)處理。h）防范政策和法規(guī)合規(guī)風險。i）防止數(shù)據(jù)篡改。防止出現(xiàn)由惡意的未授權用戶以電腦病毒、木馬等方式導致的數(shù)據(jù)內容被修訂及由授權用戶有意或無意的修訂了數(shù)據(jù)的情況發(fā)生。j）防止數(shù)據(jù)被污染，防止數(shù)據(jù)中存在不相關的、冗余的、無用的、虛假的、偽造的等其他數(shù)據(jù)。k）防止數(shù)據(jù)被銷毀，防止由系統(tǒng)崩潰、未授權用戶操作或其他未知狀況而導致的數(shù)據(jù)被刪除或銷l）防止數(shù)據(jù)不可用。防范數(shù)據(jù)短期或長期的不可用，如數(shù)據(jù)丟失、數(shù)據(jù)被加密鎖定而無法訪問或由于遭受攻擊而導致的數(shù)據(jù)不可用的情況發(fā)生。m）防范數(shù)據(jù)違規(guī)訪問。防范用戶查看、訪問非授權范圍內數(shù)據(jù)及數(shù)據(jù)被授權用戶執(zhí)行了偏離原正常范圍的使用。5T/GDCFXX-20235.3安全維度管理要求5.3.1數(shù)據(jù)安全維度概述數(shù)據(jù)安全維度管理內容應主要包括保密性、完整性、可用性、合規(guī)性、可追溯性五個方面。5.3.2保密性教育數(shù)據(jù)管理方應通過加密、訪問控制等手段來保證未授權的實體無法獲取到數(shù)據(jù)的內容，主要作用于數(shù)據(jù)生命周期中的數(shù)據(jù)存儲階段、數(shù)據(jù)傳輸階段和數(shù)據(jù)共享階段。5.3.3完整性教育數(shù)據(jù)管理方應通過數(shù)據(jù)簽名、消息摘要等方式保護教育行業(yè)業(yè)務的數(shù)據(jù)的準確性和完整性，主要作用于數(shù)據(jù)產生、數(shù)據(jù)存儲和數(shù)據(jù)傳輸階段。5.3.4可用性教育數(shù)據(jù)管理方應保證對于存儲的數(shù)據(jù)或數(shù)據(jù)流提供正常的服務的手段，如針對拒絕服務攻擊的防御機制等，主要作用于數(shù)據(jù)存儲、數(shù)據(jù)使用和數(shù)據(jù)共享階段。5.3.5合規(guī)性教育數(shù)據(jù)管理方應通過合規(guī)監(jiān)測機制保證未授權實體無法對數(shù)據(jù)進行操作及授權的實體能夠執(zhí)行相應的操作(如讀、寫、刪)。合規(guī)性維度適用于所有的數(shù)據(jù)生命周期階段。5.3.6可追溯性教育數(shù)據(jù)管理方應確認實體身份的真實性，對涉及的數(shù)據(jù)主體實施身份認證，確保其身份真實有效，提供完整的數(shù)據(jù)軌跡和證據(jù)鏈，滿足監(jiān)管和審計的需要，適用于數(shù)據(jù)生命周期的所有階段。5.4數(shù)據(jù)生命周期管理要求教育數(shù)據(jù)生命周期一般應參見圖2。圖2組織數(shù)據(jù)生命周期的六個階段教育行業(yè)業(yè)務數(shù)據(jù)的生命周期管理內容應主要包括：a）數(shù)據(jù)產生數(shù)據(jù)產生階段應產生新的數(shù)據(jù)或現(xiàn)有的數(shù)據(jù)內容發(fā)生顯著改變或更新，其中數(shù)據(jù)主要產生于各類業(yè)務流程中及教育行業(yè)業(yè)務中從相關用戶、合作方等第三方收集。b）數(shù)據(jù)存儲數(shù)據(jù)存儲階段非動態(tài)數(shù)據(jù)應以數(shù)字格式進行物理存儲，如靜態(tài)存儲在數(shù)據(jù)庫、網盤、電腦硬盤中的數(shù)據(jù)。c）數(shù)據(jù)傳輸數(shù)據(jù)傳輸階段數(shù)據(jù)應在組織機構內部從一個實體通過網絡流動到另一個實體，如涉及校園內部網6T/GDCFXX-2023絡、互聯(lián)網網絡，實現(xiàn)教育行業(yè)業(yè)務相關的系統(tǒng)之間的數(shù)據(jù)流動以及教師、學生終端和系統(tǒng)之間的數(shù)據(jù)流動。d）數(shù)據(jù)使用數(shù)據(jù)使用階段組織機構內部應針對動態(tài)數(shù)據(jù)進行查詢、分析、處理等活動。e）數(shù)據(jù)共享數(shù)據(jù)共享階段數(shù)據(jù)應經由組織機構向外部第三方輸出，如數(shù)據(jù)通過業(yè)務向用戶展示、提供、組織機構與第三方機構合作過程中向第三方機構提供數(shù)據(jù)等，主要分為無條件共享、有條件共享、不予共享等三種類型。f）數(shù)據(jù)銷毀數(shù)據(jù)銷毀階段組織機構利應用物理或技術手段使數(shù)據(jù)永久或臨時性的不可用。6安全管理實現(xiàn)6.1結構能力實現(xiàn)教育數(shù)據(jù)安全管理結構能力應包括識別數(shù)據(jù)風險、保證安全維度、遵循數(shù)據(jù)生命周期原則。6.2安全風險規(guī)避a）數(shù)據(jù)泄露和隱私侵犯：實施數(shù)據(jù)分類和訪問控制，加密敏感數(shù)據(jù)，實現(xiàn)數(shù)據(jù)脫敏和匿名化。b）網絡攻擊：建立邊界防火墻，入侵檢測系統(tǒng)，漏洞掃描，加固系統(tǒng)配置。c）身份盜用：進行多因素認證，實體認證，訪問日志審計。d）惡意軟件和病毒：部署殺毒軟件，修補漏洞，明確安全開發(fā)流程。e）弱密碼和不安全憑證：開展密碼復雜度策略，多因素認證，令牌管理。f）社交工程欺騙：開展員工培訓，提高警惕，過濾郵件和鏈接。g）不當數(shù)據(jù)處理：進行訪問控制和日志審計監(jiān)控流程。h）政策和法規(guī)合規(guī)風險：進行合規(guī)性審查，隱私影響評估，員工培訓。i）數(shù)據(jù)篡改：落實數(shù)字簽名，數(shù)據(jù)備份和恢復，版本控制。j）數(shù)據(jù)污染：清理數(shù)據(jù)，刪除重復數(shù)據(jù)并檢查格式。k）數(shù)據(jù)銷毀：開展多級備份，落實災備計劃。l）數(shù)據(jù)不可用：進行冗余存儲，容災備份，高可用系統(tǒng)設計。m）違規(guī)訪問：遵循最小權限原則，分析日志并檢測異常。6.3安全維度實現(xiàn)6.3.1保密性落實在數(shù)據(jù)存儲階段，數(shù)據(jù)應通過加密存儲的方式來防止對未授權人員或實體的訪問；在數(shù)據(jù)傳輸階段，數(shù)據(jù)應通過加密傳輸?shù)姆绞絹眍A防在實體間的傳輸線路上的未授權的數(shù)據(jù)截??；在數(shù)據(jù)共享階段，數(shù)據(jù)對外提供的方式應控制數(shù)據(jù)對外提供的權限。6.3.2完整性落實在數(shù)據(jù)產生階段，應通過數(shù)據(jù)質量、元數(shù)據(jù)的管理對數(shù)據(jù)的完整性保護；在數(shù)據(jù)存儲階段，應通過硬盤加密等方式實現(xiàn)對數(shù)據(jù)的完整性保護；在數(shù)據(jù)傳輸階段，應通過數(shù)據(jù)簽名、加密等方式實現(xiàn)對數(shù)據(jù)的完整性保護。6.3.3可用性落實7T/GDCFXX-2023在數(shù)據(jù)存儲階段，應通過對數(shù)據(jù)存儲的容器的安全配置保證數(shù)據(jù)存儲環(huán)境的持續(xù)可用；在數(shù)據(jù)使用階段，應通過對數(shù)據(jù)使用的系統(tǒng)/平臺等環(huán)境的安全保護機制保證數(shù)據(jù)使用過程中數(shù)據(jù)的可用性；在數(shù)據(jù)共享階段，應通過對對外提供共享的系統(tǒng)/平臺的安全保護機制保證數(shù)據(jù)共享過程中數(shù)據(jù)的可用性。6.3.4合規(guī)性落實在數(shù)據(jù)產生階段，應保證僅授權的實體可以寫入或提供數(shù)據(jù)；在數(shù)據(jù)存儲階段，應保證僅授權的實體能夠對數(shù)據(jù)存儲容器執(zhí)行相應的操作并訪問相關的數(shù)據(jù)；在數(shù)據(jù)傳輸階段，應保證僅授權的實體可以發(fā)送和接受數(shù)據(jù)；在數(shù)據(jù)使用階段，應保證僅授權的實體可以對數(shù)據(jù)執(zhí)行相應的操作；在數(shù)據(jù)共享階段，應保證僅授權的實體能夠開展相應的數(shù)據(jù)共享工作；在數(shù)據(jù)銷毀階段，應保證僅授權的實體可以執(zhí)行對數(shù)據(jù)的銷毀操作。6.3.5可追溯性落實在數(shù)據(jù)產生階段，應綁定數(shù)據(jù)產生主體的數(shù)字身份標識，記錄數(shù)據(jù)產生時間、地點、方式等元數(shù)據(jù)；在數(shù)據(jù)傳輸和共享階段，應設置訪問控制機制，記錄訪問者信息、訪問時間、訪問行為等日志，對關鍵數(shù)據(jù)實施數(shù)字指紋、數(shù)字簽名等技術，確保數(shù)據(jù)完整性。對存儲系統(tǒng)實施細粒度的訪問控制，對讀寫操作進行認證和授權，保存完整的操作日志；在數(shù)據(jù)存儲和使用階段，應記錄數(shù)據(jù)流向、操作步驟，保證運算過程可追溯；在數(shù)據(jù)銷毀階段，應記錄報廢決策流程、報廢時間，對銷毀數(shù)據(jù)進行抹除或加密保存。6.4數(shù)據(jù)生命周期管理實現(xiàn)6.4.1數(shù)據(jù)產生階段數(shù)據(jù)產生階段的實現(xiàn)方法主要包括：a）對數(shù)據(jù)源的合法合規(guī)管理、真實性驗證和提供數(shù)據(jù)源的身份驗證，保證對產生的數(shù)據(jù)執(zhí)行有效的保護。b）基于數(shù)據(jù)對業(yè)務的價值和外部合規(guī)的需求，判定其安全敏感度，建立數(shù)據(jù)的分類分級保護機制，保證對數(shù)據(jù)的保護達到了適當?shù)谋Ｗo水平?！獢?shù)據(jù)分類管理是指根據(jù)教育行業(yè)數(shù)據(jù)具有的共同屬性或特征，將其按一定的原則和方法進行區(qū)分和歸類，便于教育行業(yè)組織機構對數(shù)據(jù)進行管理和使用。分類參考維度包括部門維度、人員維度、資產維度、業(yè)務維度、應用維度等?！獢?shù)據(jù)分級管理是根據(jù)教育行業(yè)數(shù)據(jù)的重要程度，以及一旦遭到篡改、破壞、泄露、非授權獲取、非法利用后，對國家安全、經濟運行、社會穩(wěn)定、公共健康和安全、組織機構自身造成的危害程度，對教育行業(yè)數(shù)據(jù)進行定級管理。分級參考維度包括核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。6.4.2數(shù)據(jù)采集階段a）數(shù)據(jù)安全管理團隊應制定數(shù)據(jù)資產采集準入防護制度，明確數(shù)據(jù)采集和使用的目的、范圍，遵循最小必要原則，只采集滿足業(yè)務所需的最小數(shù)據(jù)范圍；b）數(shù)據(jù)安全管理團隊負責統(tǒng)籌管理數(shù)據(jù)采集申請、匯集及處理工作；c）委托第三方機構采集數(shù)據(jù)時，應評估安全風險并與第三方機構簽訂安全保密協(xié)議，要求其明確數(shù)據(jù)采集來源、范圍、策略等，不得超出授權范圍，不得違規(guī)存儲、加工、使用所采集的數(shù)據(jù)。6.4.3數(shù)據(jù)存儲階段數(shù)據(jù)安全管理團隊應制定數(shù)據(jù)安全存儲制度，明確存儲的數(shù)據(jù)應根據(jù)數(shù)據(jù)分類分級結果，綜合考慮加密、備份等手段保障數(shù)據(jù)安全；數(shù)據(jù)存儲階段的實現(xiàn)方法主要包括：a）防止對存儲在物理環(huán)境或云環(huán)境中的數(shù)據(jù)的未授權泄漏、修改、刪除和銷毀；b）保證基于數(shù)據(jù)對業(yè)務的價值、外部合規(guī)的需求、安全敏感程度對數(shù)據(jù)執(zhí)行了有效的安全存儲；c）在相關商業(yè)背景和可用性需求下保證對數(shù)據(jù)的安全保護。8T/GDCFXX-2023d）省級教育云平臺范圍內電子數(shù)據(jù)為永久保存，6年以內的采取在線方式存儲，6年以上的采取離線方式壓縮存儲，特殊情況可適當調整；6.4.4數(shù)據(jù)使用階段數(shù)據(jù)使用階段的實現(xiàn)方法主要包括：a）管理實體標識，用于對數(shù)據(jù)訪問進行授權；b）基于業(yè)務和安全需求給予數(shù)據(jù)訪問方最小的訪問權限；c）保證正確和有效的使用密鑰以確保數(shù)據(jù)的機密性、真實性和完整性；d）采取預防或探測的手段，避免未授權的訪問，保證數(shù)據(jù)安全。e）采取數(shù)據(jù)內容識別的手段，分析數(shù)據(jù)的訪問活動，保證數(shù)據(jù)在規(guī)定的范圍內使用。6.4.5數(shù)據(jù)傳輸數(shù)據(jù)傳輸階段的實現(xiàn)方法主要包括：a）建立針對傳輸?shù)臄?shù)據(jù)以及傳輸數(shù)據(jù)的網絡通道的安全機制，實現(xiàn)對傳輸過程中的數(shù)據(jù)的保密性和完整性保護；b）保護數(shù)據(jù)傳輸?shù)牡讓泳W絡通道的可用性。c）實現(xiàn)對傳輸流動的數(shù)據(jù)內容識別，動態(tài)化分級分類管理。d）監(jiān)測數(shù)據(jù)傳輸活動，鑒別并保護重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要個人信息等敏感數(shù)據(jù)傳輸。e）實現(xiàn)數(shù)據(jù)活動的監(jiān)測，分析數(shù)據(jù)、人員、設備、應用活動關系，識別數(shù)據(jù)傳輸活動風險。6.4.6數(shù)據(jù)共享數(shù)據(jù)共享階段的實現(xiàn)方法主要包括：a）對數(shù)據(jù)共享的數(shù)據(jù)內容、共享方式的風險評估；包括數(shù)據(jù)用途、使用方式、是否符合法律法規(guī)及監(jiān)管規(guī)定、個人信息保護影響、風險及應對措施等。b）對共享數(shù)據(jù)的持續(xù)監(jiān)控和風險分析。c）識別與分析共享數(shù)據(jù)，實現(xiàn)敏感數(shù)據(jù)對外共享監(jiān)測與審計，預警和控制敏感數(shù)據(jù)的對外共享范6.4.7數(shù)據(jù)銷毀數(shù)據(jù)銷毀階段的實現(xiàn)方法主要包括：a）基于相關法律、合同的合規(guī)要求和安全需求，保證數(shù)據(jù)銷毀及時；b）建立有效的數(shù)據(jù)銷毀的規(guī)范和流程，保證數(shù)據(jù)徹底銷毀。c）數(shù)據(jù)銷毀由數(shù)據(jù)安全管理團隊提出申請，經分管領導審批同意后，由數(shù)據(jù)安全管理團隊開展數(shù)據(jù)銷毀工作；d）明確需要銷毀的數(shù)據(jù)須填寫數(shù)據(jù)銷毀申請，內容包括申請人、