专家学者相聚云端,为武汉高校信息化建设和网(2)
专访
“校园对网络信息安全的要求越来越高与师生体验要求越来越便捷之间的矛盾日益突出,网络安全、社会冲击、系统建设及新技术的应用是当前高校信息化面对的主要挑战。”武汉大学国家网络安全学院教授吴黎兵认为,校园网遭受的网络攻击量巨大,Oday漏洞和APT威胁使安全防护难度增大,网络安全是信息化的基础和底板。
学院推出“信息服务网格化管理”,信息中心的信息网格员深入学院贴近服务对象,主动了解服务需求,及时协调服务资源,收集老师们的问题与建议,并及时反馈各项工作的进展,从而提供更高水平的信息服务。
“从数据安全与个人信息保护角度看,武汉也特别重要,高校密集度非常高,个人信息、科研数据等数量庞大,在数据安全、数据合规方面更要注意。”何晶晶说,“武汉高校也可以加强对合规科技的应用,充分利用一些技术手段探索合规落地的新方法。”
学生刷脸进出校园。
网络安全是高校信息化的基础和底板
谈及对武汉高校的信息化建设的印象,何晶晶表示,武汉拥有众多知名高校,为社会培养并输送了大量专业化人才,整体信息化建设做得很不错。
安全不代表“合规”,需做好全生命周期数据合规管理
9月27日下午,长江日报联合武汉市网络安全协会、腾讯安全举办的“数创未来·安全护航”——武汉高校信息化建设与网络安全研讨会在线上召开,武汉23所高校信息化负责人、网络安全专家学者相聚云端,共同探讨高校如何构筑网络安全屏障。
要健全保障体系,网络安全的职能部门和技术支撑部门要密切协同,要按照大安全工作格局组织协调好学校内部各项事项;要坚持开放的思路,与上级部门,地方网信、网安部门,行业组织,专业的社会化力量保持密切联系,及时获取相关的信息,科学研判,主动应对;职能部门和技术支撑部门要联系单位实际,分清轻重缓急,采取点、线、面相结合的工作方式,减存量,控增量,保持定力,久久为功;要通过多种途径开展全员培训,增强网络安全意识,提高网络安全技术素养,不断提升高校的网络安全工作水平。
另外,在数据中心的重要数据保护方面,腾讯安全可帮助客户梳理重要数据在流转、采集、传输、存储、共享等各环节存在的安全风险和隐患,制定相应的防护措施,提供完整的数据全生命周期安全方案。中国社会科学院国际法研究所副研究员何晶晶也提到,高校需要建立起全生命周期的数据合规管理体系。
武汉学院信息中心主任肖磊:
数据传输与存储阶段,高校存储师生个人信息的期限宜为师生授权使用目的所需最短时间,超出存储期限后宜删除或匿名化;高校宜制定数据分级分类制度,梳理重要数据目录,明确敏感数据范围;存储数据的方式强调安全性和保密性,传输数据和存储数据均要求加密和去标识化处理;数字校园建设宜进行容灾备份,避免数据丢失带来的损失。
学生刷身份证通过闸机。
【来源:长江日报-长江网】
中国社会科学院国际法研究所副研究员何晶晶:
不过,高校在信息化建设过程中,仍然存在信息系统多、数据海量且敏感、安全能力薄弱、管理复杂等难题,再加上挖矿木马、勒索病毒、钓鱼邮件等网络安全威胁层出不穷,对高校的信息化建设和网络安全带来极大的挑战。
数据交换与销毁阶段,高校将数据提供给第三方时需要获取师生个人单独同意,数据共享、转让、披露给第三方时宜对第三方进行必要的尽调、约束;高校接入第三方系统时宜进行安全管理;对于数据销毁处理,高校宜建立负责数据销毁处理职能部门,根据具体情况采取本地或网络数据销毁、物理或化学销毁等措施。
高校许多信息化项目是有替代的社会化解决方案的,比如网上问卷或投票、线上教学或考试、校车定位、食堂消费、网盘邮箱等,许多方案免费或成本极低,省属高校可与这些细分领域的优势厂商合作,签订稳定的合作协议。在新一轮智慧校园建设中,准确定位,发挥优势,降低成本,练好内功,以“持久战”的心态和必胜的信心,精耕细作,重视积累,行稳致远。
从个人信息保护的角度出发,数据收集阶段,高校宜做到公示个人信息收集规则,如知情同意书和隐私政策文本,收集规则宜明确各项师生权利,规范收集个人信息的合法性、必要性、授权机制;高校宜遵循收集告知同意原则,在师生同意后才可收集师生个人信息,且实际收集的个人信息宜与收集规则一致;收集生物识别信息等敏感个人信息时宜取得师生个人单独同意且在必要范围内使用。
文章来源:《信息网络安全》 网址: http://www.xxwlaqzz.cn/zonghexinwen/2022/1009/763.html