推动高校数字化改革，提升智慧教育境界，对加快推进教育现代化和教育强国建设，引领未来教育发展具有重要意义。但同时，高校数据安全保护仍任重道远，美创科技构建数据安全保障体系，夯实高校数字化改革。

?

2021年初，浙江省委以“新春第一会”的形式召开数字化改革大会，标志着“数字浙江”建设进入全新阶段。作为人才汇集和站在时代前沿的高校，更应围绕数字化改革的任务和目标，在理论创新、技术创新、模式创新等多方面加强探索，为高校数字化改革领域碰撞出新思路、新做法。

?

此背景下，浙江高校数字化改革研讨会（宁波站）在宁波大学召开，美创科技首席安全技术总监张建林受邀参加此次会议，并作《构建完善的数据安全保障体系助力高校数字化改革》主题分享。

?

张建林表示：

“随着高校信息化建设走向深水区，其业务系统数据安全风险正不断加大，高校学生和教授的论文曾是勒索病毒最主要的攻击目标之一，学校财务信息及师生的个人信息数据量大、价值高，对攻击者也有着巨大的吸引力。由于信息公开，发布缺少控制措施、黑客攻击风险、网络环境风险、内部管理工具混乱等原因，高校数据泄露事件屡见不鲜。”

?

伴随《数据安全法》、《个人信息保护法》的相继颁布，以及《教育部等7部门关于加强教育系统数据安全工作的通知》，法规监管更加严格、行业规定更加明确，数据安全建设迈入全新阶段。

量体裁衣
构建“制度+体系+运营”数据安全保障体系

面对这些挑战，高校数据安全建设亟需体系化的建设思路，通过全面的规划保障教育数据全生命周期的安全。基于DSMM理念，美创科技通过对自身项目经验和研究积累分析，认为高校数据安全保障体系建设主要从?“制度+技术+运营”三个方面入手。

?

一、制度体系：输出数据安全制度相关规范

制度体系建设，主要是输出数据安全相关的管理规范。比如数据分类分级制度、开发安全管理制度、合作方人员管理制度等。制度体系是数字化改革“152”体系中的重要组成部分，也是《数据安全法》、《个人信息保护法》、以及教育部《关于加强教育系统数据安全工作的通知》的要求，更是技术体系落地的重要依据和保障，非常重要。

高校数据安全管理制度

二、技术体系：两个基础+七种能力

基础一：数据资产梳理

数据分级分类是建立数据全生命周期安全防护体系的重要基础，也是高校数据安全治理的核心任务之一。不了解有哪些数据资产、不掌握数据如何分布，就无法对数据进行有效的保护。美创科技可依托“服务+产品”的方式，智能化、自动发现高校敏感数据，并自动对数据进行分类分级，同时梳理数据的访问权限和使用情况，为安全管控做准备。

?

资产梳理有6个步骤：第一建立组织保障，做任何事都需要人，第二识别资产，第三根据国家，行业相关要求制定数据分类分级策略，第四分类，第五分级，第六落地，并把分类分级的结果应用到安全管控和数据治理的实践过程。

?

基础二：数据安全风险评估

参照《信息安全风险评估规范》、《数据安全能力成熟度模型》等相关依据，从组织建设、制度规范、技术工具和人员能力四个维度，对数据的生命周期各个阶段所采取的安全措施情况综合评估后得出的风险结果。对于评估过程中所识别的风险，美创科技将充分结合合规要求和风险现状，依照评估差距进行补足，着眼于数据全生命周期安全，针对不同的阶段提供技术加固方案。

?

数据安全七种能力之一：“攻不进”

传统依赖账户+密码的准入验证机制存在巨大的安全隐患，密码一旦泄露，所有资产都会暴露给不法分子。

依托美创数据库防火墙，对所有对数据的访问通讯包进行解析，深度检测识别数据库访问流量中的各种因素，构建多维身份安全准入，实现：防SQL注入攻击窃取数据、防账号泄露，账号共享导致数据泄漏、防高危操作，对数据的破坏，如篡改成绩等。

数据安全七种能力之二：“看不见”