案例简介：北京邮电大学基于学生工作一体化管理系统，制定学生资助数据分类分级标准，打造“7×3”网格化安全治理模式，构建多层级信息安全防护体系，主要举措包括组建数据安全团队，形成工作合力;完善数据安全文件，提供制度保障;强化系统建设，狠抓隐私保护。自“7×3”网格化治理模式运行以来，数据网格化管理和技术策略深入融合，数据安全人才团队高效、创新;资助数据安全能力提升，在健全资助系统网络安全管理制度、保障网络与信息安全等方面取得重大成果。

案例关键词：资助数据;分级分类;网格化;多层级;数据安全

学生资助工作依托于学生数据，也产生、管理学生数据，这些数据中包含了受助学生几乎所有的隐私信息，关系学生的心理健康和财产安全，《中华人民共和国数据安全法》《中华人民共和国网络安全法》《信息安全技术—网络安全等级保护要求2.0》等法律法规及政策文件对数据安全提出明确要求，在资助工作日益数字化的今天，保障学生资助数据安全成为资助实践过程中的重要课题。

为进一步加强和规范学校学生资助数据管理，保障数据安全，更好支撑学校资助育人工程，北京邮电大学基于学生工作一体化管理系统，制定学生资助数据分类分级标准，打造“7×3”的网格化数据治理模式，建立多层级资助数据安全保障机制，促进资助精准化，更好地服务家庭经济困难学生。

一、学生资助数据安全风险

学生资助是贯彻落实国家资助政策，坚持“资助”与“育人”相结合的原则，统一管理和服务全校家庭经济困难学生，促进学生成长成才的工作。经过多年的发展和完善，学校已建成“奖、助、贷、勤、补、偿、免”于一体的资助体系，得益于全国学生资助管理信息系统和学校学生工作一体化管理系统建设，学生资助数字化程度不断提升，在便利了资助工作的同时也给学生的信息安全带来了挑战，常见的操作就存在不少安全风险：

(一)数据存储：系统中个人敏感信息未进行去标识化处理，造成敏感信息易查看，易导出。

(二)数据共享：由于资助工作多方参与，人员结构复杂，对于数据安全的认识程度和防护能力不一致，增加了信息泄露的风险。

(三)数据使用：忽略角色权限设置，登录人员混杂，系统密码简单，明示于桌面。

由此可见，一个受助学生的信息，从存储到使用的各个环节，都存在隐私泄露的风险。保护学生信息安全，不仅仅是某一层面的工作，而必须层层把关，多效防护，不给犯罪分子以可乘之机。

二、构建多层级信息安全防护体系

(一)组建数据安全团队，形成工作合力

组建一支由资助中心和信息化专业人员构成的资助网络安全保障团队，对资助数据安全进行统一规划和管理，制定《北京邮电大学数据管理规定》等管理办法，持续开展团队思想建设和能力培养，并在实际工作中不断创新工作方法，以实践检验理论，以理论推动实践。

(二)完善数据安全文件，提供制度保障

根据《北京邮电大学数据管理规定》，学校数据管理过程的参与主体分为数据管理方、数据运行方、数据生产方和数据使用方。在资助工作中，数据管理方是学校资助中心，数据运行方是学校信息化技术中心，数据生产方是各学院和学生本人，数据使用方是学校职能部门和师生。从数据的管理方到使用方，责任边界清晰，数据处理活动全程可控制、可追溯。

图1 数据管理过程参与主体

(三)强化系统建设，狠抓隐私保护

学校从数据源、分类分级、安全策略及业务应用等四个层面建立数据安全保障框架：在分类分级的基础上，制定数据安全策略，对敏感数据进行加密和脱敏处理，在应用层设置不同的数据共享权限，对数据流转操作过程进行追踪和记录，形成完整、高效的防护体系。

图2 学生资助数据安全保障框架

1.数据网格化，多层级严防严守

数据分类分级工作是数据安全防护体系的重要基础，是一种数据管理的过程，是将多样的数据划分进预先定义的类别中，并根据类别等级，实施安全策略的工作。

学校在实践中探索出“7×3”的网格化治理模式，通过盘点、梳理学生资助数据资产，将资助数据分为个人自然属性信息、个人关系信息、个人身份鉴权信息、个人账户信息、家庭信贷信息、个人审核认定信息和基本校园行为信息7大类;依据对个人名誉、身心健康的影响程度，将这7类信息划分为敏感、较敏感和低敏感3个保护等级，分级实施安全管控。这7个大类、3个等级共同构成资助数据的安全防护网格。

2.守好访问墙，规范授权管理

对数据分类分级后，根据不同的保密等级，制定了严格的数据访问控制策略：遵循“权限明确、职责分离、最小特权”的原则，明确岗位角色和权限的匹配规则，建立所管辖系统的账号权限申请审批流程，指定专人作为管理员，按照权限最小化原则、依据人员岗位角色进行账号授权，账号与人员保持一一对应。

表1 学生资助信息数据分类分级及管控原则

表2 访问控制策略

基于个人信息最小必要原则，学校在学工系统中增加信息采集设置板块，管理员可以为学校中不同的角色授权设置可查看字段，极大地降低了信息泄露的风险。

图3 学生信息授权管理

3.把好密码关，提供安全登录入口

学校面向国产密码服务体系，构建校级可信校园密码服务平台，助力统一身份认证、电子合同签署、电子招投标、数据加密脱敏、电子签章等一系列应用场景，完善密码应用础支撑体系总体规划，构筑数字认证可信性。在学生工作一体化管理系统中，采用了统一身份认证，给学生提供了安全的登录入口，确保登录系统的每一位学生身份真实、行为可靠，并保障信息安全。

4.筑牢监督墙，夯实监督审查机制

资助数据全流程皆有审核，形成监督闭环。数据使用方结合职责和具体业务需求，对获取的共享数据进行监督审查，发现数据质量问题，及时向网络安全和信息化办公室提交，切实保障数据使用合法合规。

三、加强数据安全技术防护，将资助数据安全落实到底

新时期，北京邮电大学资助数据安全工作加快发展，自“7×3”网格化治理模式运行以来，数据网格化管理和技术策略深入融合，在健全资助系统网络安全管理制度、保障网络与信息安全等方面取得重大成果。

(一)数据安全人才团队高效、创新

加强队伍建设，自网络与信息安全管理组织成立以来，制定数据安全发展规划，出台数据安全规范，实现了资助业务和信息安全建设的有机融合。重视人才培养，定期考核、培训，成长为一支“安全意识强，业务能力强”的数据保障团队。

图4 校级安全能力平台的数据脱敏

(二)资助数据安全能力提升

学校高度重视资助数据安全保障问题，经过多方调研与座谈，开创性提出了资助数据分类分级的标准，形成“7×3”网格化安全治理模式，标准科学，操作简单，实现资助数据分类分级标准从“0”到“1”的新突破。多措并举，多管齐下，安全防护手段涵盖了数据全生命周期，全面提升系统防御能力，降低数据泄露风险。自运行以来，保障学生工作一体化管理系统超过18661120条的数据存储及日均运行24554条数据量的安全，阻止了月均35次的暴力破解攻击，预防了数据的泄露。同时，在教育部和网信办等部门多次安全检查中均未发现重大安全问题，数据安全能力经得起考验。

学生资助数据安全问题是资助工作中的重中之重，是一项长期而艰巨的任务，资助数据安全保障只有“进行式”，没有“完成式”。未来，北京邮电大学还要继续扎实推进资助数据安全保障工作，将资助数据安全工作做深做实，在保障学生信息安全上迈出坚实步伐，助力资助育人高质量发展。