數(shù)據(jù)中臺(tái)之?dāng)?shù)據(jù)安全篇

數(shù)據(jù)中臺(tái)之?dāng)?shù)據(jù)安全篇數(shù)據(jù)中臺(tái)一一數(shù)據(jù)安全篇高校早期的數(shù)據(jù)安全管控處于“粗放式管理”階段，即站在學(xué)校本身對(duì)于事物信息化建設(shè)可以快速上線、廠商項(xiàng)目可快速驗(yàn)收的立場(chǎng)上，忽略了數(shù)據(jù)對(duì)接和供給過(guò)程中對(duì)于數(shù)據(jù)安全的保障。普遍的情況是部分廠商和校內(nèi)少數(shù)管理人員在項(xiàng)目建設(shè)周期內(nèi)或驗(yàn)收后仍然具有完整的校內(nèi)數(shù)據(jù)訪問(wèn)權(quán)限，再加上傳統(tǒng)數(shù)據(jù)平臺(tái)并未將安全或隱私保障體系作為核心功能點(diǎn)之一，很容易造成未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、使用、披露、破壞、修改、銷毀等安全問(wèn)題的出現(xiàn)。隨著《網(wǎng)絡(luò)安全法》的正式施行，關(guān)于數(shù)據(jù)安全與保護(hù)方面已經(jīng)形成了完善的法律制度。如何在保障數(shù)據(jù)使用便捷性的基礎(chǔ)上，滿足法律的合規(guī)性要求，并真正能夠保障高校各類群體對(duì)于數(shù)據(jù)安全的需求，成為了數(shù)據(jù)建設(shè)和信息化建設(shè)層面需要著重考慮的一部分。在希嘉的數(shù)據(jù)中臺(tái)體系中，貼合高校實(shí)際的數(shù)據(jù)管理業(yè)務(wù)，通過(guò)制度與產(chǎn)品功能的結(jié)合，為高校的數(shù)據(jù)管理工作提供了完善的數(shù)據(jù)安全管控體系：建立數(shù)據(jù)的分級(jí)管控體系--資源分級(jí)與權(quán)限分級(jí)數(shù)據(jù)中臺(tái)-數(shù)據(jù)資產(chǎn)篇曾總結(jié)出，高校數(shù)據(jù)治理或資產(chǎn)化管理階段實(shí)際上最終階段的關(guān)鍵產(chǎn)物是結(jié)構(gòu)清晰、含義明確的校內(nèi)數(shù)據(jù)資產(chǎn)目錄：校內(nèi)數(shù)據(jù)資產(chǎn)目錄在迎合了教育部頂層設(shè)計(jì)的標(biāo)準(zhǔn)上，根據(jù)高校業(yè)務(wù)的實(shí)際需求進(jìn)行靈活的擴(kuò)充與迭代，最終實(shí)現(xiàn)數(shù)據(jù)的“分類”。讓智慧校園生態(tài)圈內(nèi)的每一份子都能夠快速獲知、了解現(xiàn)有的數(shù)據(jù)資產(chǎn)內(nèi)容。但希嘉認(rèn)為，按照最廣泛和通用的需求對(duì)數(shù)據(jù)進(jìn)行主題集分類是第一階段的事情，邁過(guò)這一步應(yīng)當(dāng)做的工作還有以下內(nèi)容：1、建立數(shù)據(jù)分級(jí)和數(shù)據(jù)共享負(fù)責(zé)人制度高校需要結(jié)合自身學(xué)校的實(shí)際數(shù)據(jù)管理業(yè)務(wù)特性，建立起數(shù)據(jù)分級(jí)制度，明確數(shù)據(jù)權(quán)威負(fù)責(zé)部門(mén)、對(duì)應(yīng)的個(gè)體負(fù)責(zé)人等。明確數(shù)據(jù)的范圍邊界和使用方式，清理數(shù)據(jù)管理及共享開(kāi)放的義務(wù)和權(quán)利。在依法加強(qiáng)安全保障和隱私保護(hù)的前提下，穩(wěn)步推動(dòng)公開(kāi)數(shù)據(jù)資源共享開(kāi)放。2、借助平臺(tái)有效落實(shí)上述制度規(guī)范不同于傳統(tǒng)的數(shù)據(jù)平臺(tái)的單管理人員角色設(shè)計(jì)，希嘉數(shù)據(jù)中臺(tái)提供了貼合高校數(shù)據(jù)管理業(yè)務(wù)特性的多角色與多級(jí)權(quán)限管理機(jī)制，可滿足數(shù)據(jù)業(yè)務(wù)中的多類人員的可參與性，從而實(shí)現(xiàn)校級(jí)層面的數(shù)據(jù)中臺(tái)化體系。如下圖所示，以財(cái)務(wù)數(shù)據(jù)為例。在權(quán)限中可配置多級(jí)管理人員的角色，同時(shí)可設(shè)定其負(fù)責(zé)的數(shù)據(jù)集，并可細(xì)致到單獨(dú)的數(shù)據(jù)資產(chǎn)范圍。例如項(xiàng)目基本信息、項(xiàng)目余額信息等。在平臺(tái)中實(shí)現(xiàn)了細(xì)化的資產(chǎn)拆分和權(quán)限拆分，更好地滿足和落實(shí)規(guī)范性要求。

提供字段級(jí)的數(shù)據(jù)加密及脫敏策略，在發(fā)布時(shí)一鍵將高敏感或與個(gè)人隱私高度相關(guān)的數(shù)據(jù)實(shí)現(xiàn)加密發(fā)布，例如學(xué)生個(gè)人聯(lián)系方式、教師工2、數(shù)據(jù)申請(qǐng)階段基于token的身份驗(yàn)證機(jī)制和權(quán)限控制機(jī)制，保障調(diào)用方身份的唯一性和有效性；3、數(shù)據(jù)審核階段提供基于條件限制的內(nèi)容過(guò)濾功能，例如新開(kāi)發(fā)的成績(jī)查詢APP需要獲取學(xué)生管理數(shù)據(jù)集中的本?？瞥煽?jī)信息時(shí)，在提交了數(shù)據(jù)API申請(qǐng)請(qǐng)求后，管理人員可對(duì)每個(gè)字段添加對(duì)應(yīng)的限制條件，例如對(duì)學(xué)期字段添加僅當(dāng)前學(xué)期的限制，從而避免數(shù)據(jù)的過(guò)度暴露；4、數(shù)據(jù)調(diào)用階段提供數(shù)據(jù)訪問(wèn)黑/白名單設(shè)計(jì)，例如設(shè)可訪問(wèn)數(shù)據(jù)的IP段，若不在此IP段中將無(wú)法接觸到校內(nèi)的數(shù)據(jù)資產(chǎn)；同時(shí)基于可視化操作靈活控制接口的停用和啟用等操作，實(shí)現(xiàn)調(diào)用過(guò)程的自主可控；5、數(shù)據(jù)運(yùn)維階段靈敏預(yù)警：建立健全的高效靈敏預(yù)警體系，通過(guò)對(duì)系統(tǒng)各模塊完善監(jiān)測(cè)機(jī)制，得到量化的數(shù)據(jù)，分析發(fā)現(xiàn)并預(yù)測(cè)潛在危機(jī)，及時(shí)上報(bào)，預(yù)警風(fēng)險(xiǎn)；審計(jì)體系：具備完整的數(shù)據(jù)調(diào)用審計(jì)以及操作記錄留存功能，并提供可視化界面進(jìn)行記錄的回溯查詢和可視化分析統(tǒng)計(jì)，幫助高校更為清晰的獲知數(shù)據(jù)的運(yùn)轉(zhuǎn)情況。總結(jié)而言，推動(dòng)數(shù)據(jù)資產(chǎn)更為便捷的共享開(kāi)放是智慧校園階段不可逆的建設(shè)方向，但便捷的對(duì)立面就是安