教育行业数据安全背景与现状

近年来，数据安全事件频发，在教育行业中亦是如此。2020年4月，河南郑州、陕西西安、重庆、湖北武汉、山东青岛、安徽滁州等多所高校的数千名学生发现，自己的个人信息被企业冒用以达到偷税目的；2021年7月，盐城警方侦破一起公民信息贩卖案件，涉及7万条学生和家长个人信息；2022年6月22日，西北工业大学发布公开声明称，该校遭受境外网络攻击。越来越多的现象表明，教育行业数据安全治理已经迫在眉睫。

2021年4月，教育部等7部门发布《关于加强教育系统数据安全工作的通知》（教科信函[2021]20号），教育行业数据安全治理开启新的篇章。

教育行业数据安全治理痛点

目前，教育行业数据安全面临的主要问题及痛点主要包括以下四个方面：

• 数据安全专门组织待建立

缺乏明确的数据安全牵头管理部门，同时没有单独的数据安全责任人，管理层级、职责也不明确。

• 数据安全保护意识待提升

目前教育行业各级机构、人员的数据安全意识参差不齐，甚至部分学校中的教育管理人员对数据安全的认识层面相对较低，对数据安全不够理解、不够全面，不利于学校和人员开展对数据全生命周期的安全管理与防护工作；

• 数据安全防护体系未落地

在实际工作中，很难构建一套完备的数据安全防护体系，需要深度结合各单位的组织管理、人员能力、管理机制、制度规范、业务信息系统、数据流转及应用场景等不断融合调整、提升数据安全防护能力；

• 数据综合技术管控与自动化运营未实现

线上线下信息保护机制不均衡，备份、应急、恢复机制仍有改进余地。数据资产梳理、脱敏、溯源仍然停留在手工阶段，没有进行工具化、视图化管理，对违规违法行为缺乏对数据的追踪、溯源。

针对教育行业数据安全现状与安全需求，如何加强数据安全建设，百蕴启辰提出了以数据为核心的解决方案。

解决方案

数据分类与分级​

数据分类​

• 学生：基本信息、成绩、奖惩、健康、心理测评数据。​
• 教职工：身份、履历、薪资、教学科研成果数据。​
• 教育教学：课程、教学计划、教材、试卷、在线平台数据。​
• 管理：行政、后勤、招生就业、财务数据。​

数据分级​

• 一般：公开、影响小，如校园通知。​
• 敏感：泄露有损害，如成绩排名。​
• 核心：涉及隐私、关键，如身份证号、学籍档案。​

数据安全管理组织与职责​

成立小组：由机构负责人任组长，成员含信息技术、法务、业务部门主管。​

职责分工​：

• 管理小组：制定修订制度，统筹工作，评估风险，监督执行，处理重大事件。​
• 信息技术：负责技术安全，如防护、备份、维护，监测预警威胁。​
• 业务部门：日常管理本部门数据，确保准确合规，配合工作，报告隐患。​
• 法务：提供法规咨询，审核合法性，参与法律应对。​

数据安全技术手段​

• 数据库访问的单点登陆​
• 数据交换时：数据库审计
• 数据交易时：数据交换平台
• 数据库

数据存储与传输安全​

存储安全​

• 介质管理：统一登记管理存储介质，明确信息，定期检查维护。​
• 加密存储：敏感、核心数据加密，妥善保管密钥，定期更换，报废介质清除数据。

传输安全​

• 网络加密：用安全协议加密传输，重要数据用数字证书认证校验。
• 网络防泄密：针对核心关键敏感信息做到基于数据库、终端、出口立体的防泄密技术手段。保证核心科研数据、个人信息等重要数据外泄。​
• 路径管理：规划路径，避免不安全渠道，监控审计异常传输。​

数据使用安全​

• 申请与审批：需用数据时填申请表，说明用途等，经部门负责人审核，交管理小组审批。​
• 使用规范：按审批内容使用，不超范围，不用于无关用途，妥善处理临时数据。​
• 共享安全：机构间或与第三方共享签协议，评估对方安全能力，敏感、核心数据经审批并脱敏。
• 使用审计：针对使用数据的事前、事中、事后全程审计，以备出现安全事件时能进行回溯、举证、排查问题。​

数据安全应急处置​

• 响应机制：建立机制，制定预案，明确流程与职责，定期演练修订。​
• 事件报告：发现事件立即向部门负责人报告，部门负责人速报管理小组，说明时间、地点等。​
• 处置措施：管理小组启动预案，切断传输、隔离系统、恢复数据、调查原因，及时报告监管机构。​
• 事后评估：处置后全面评估，总结教训，改进制度与预案。​

监督与审计​

• 内部监督：管理小组定期检查制度执行，涵盖人员权限、存储传输、使用安全等，发现问题要求整改。​
• 外部审计：定期邀第三方审计机构审计，审计报告交管理小组与管理层，依结果调整措施。

方案价值