AI场景下，高校如何构建数据安全治理体系？-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 校园信息化 > 高等教育

AI场景下，高校如何构建数据安全治理体系？

2025-06-19 中国教育网络

　　在AI大模型深度赋能教育数字化转型的背景下，高校面临多模态数据治理复杂化、隐私保护与数据共享冲突加剧、制度规范滞后等系统性安全挑战。西安电子科技大学“追影行动”提出了“标准筑基、分类定策、共享赋能、安全托底”四位一体的高校数据安全治理体系，通过构建覆盖数据全生命周期的分层安全框架、开展数据安全评估与分类分级实践，将攻防实操与制度检验融合，提升应急响应能力，为AI时代高校数据安全治理提供了可复制的“技术-制度-人文”协同路径。

高校数据安全困境

　　随着AI大模型（如DeepSeek、GPT-4等）在教育领域的大量应用，高校数据安全问题凸显。虽然我国已构建数据安全法律体系，并出台《生成式人工智能服务管理暂行办法》等制度，但大模型对海量数据的高度依赖与安全防护的滞后性，导致教育数据安全仍面临多重风险。具体表现在以下几个方面：

　　数据生态复杂：多源异构治理困境

　　高校数据涵盖学生信息、人事信息、学籍信息、成绩信息等结构化数据，教学视频、安保视频、档案文件等非结构化数据，学习行为、物联数据等时序性数据。不同类型数据的差异化特征加剧了数据治理难度：不同系统数据格式、元数据定义不统一，导致跨平台整合成本高昂；非结构化数据中隐含的面部特征、语音指纹等信息，增加了分类分级的复杂度；课堂监控、在线学习等场景产生的流数据，对存储安全与实时分析提出更高要求。

　　共享合规冲突：隐私保护与价值释放的两难

　　AI大模型训练需依赖大规模教育数据，根据我国《个人信息保护法》第十三条，处理个人信息需满足法定情形之一，如取得个人同意或履行法定义务等，学生行为轨迹、课堂音视频等敏感信息的采集边界亟待规范。教育机构在数据利用与隐私保护间陷入两难：过度采集可能触发法律风险，而数据量不足则制约模型性能和应用实用性。

　　高校数字化转型催生跨部门、跨层级数据共享需求，但《信息安全技术个人信息安全规范》（GB/T35273-2020）明确提出数据共享“最小够用原则”。一方面是业务部门和教育信息化转型对数据激增的共享需求，另一方面是数据分类分级、层层审批、脱敏加密等数据隐私保护制度和技术的加强，结构性矛盾严重制约着数据要素价值释放。

　　制度规范滞后：权责失焦与评估缺位的双重挑战

　　虽然国家有数据安全方面的法律法规，但教育行业却面临权责配置模糊、评估机制缺位与标准体系滞后的问题：大部分高校尚未建立细化的数据安全责任机制；未开展数据安全评估，导致管理者对学校数据整体的安全情况和可能的安全问题不了解；教育数据分类分级等关键行业标准建设滞后，导致高校分类分级工作参差不齐，难以形成统一的安全管控基线。

高校数据安全治理体系框架

　　针对上述问题，西安电子科技大学制定数据安全“追影行动”，以数据中台为切入点，开展了数据安全评估和数据分类分级工作。提出了“标准筑基、分类定策、共享赋能、安全托底”四位一体的高校数据安全治理体系，如图1所示。

图1 高校数据安全治理体系

　　该体系是一个覆盖数据全生命周期、融合技术与管理措施的多层级数据安全治理体系，通过各模块协同运作，实现数据从接入到应用的全方位安全保障。

　　数据接入层安全

　　作为数据入口，该层整合人事、教务、科研等业务系统的线上数据及线下、日志、物联等多源数据。安全体系通过初步校验机制（如数据源身份认证、数据格式合规性检查），确保接入数据的合法性与规范性，从源头降低风险，为后续处理奠定基础。

　　数据治理层安全

　　以数据分类分级为核心，通过定义数据类型与字段级别，在数据采集入库阶段就明确数据价值与风险等级。配套数据治理与标准体系，统一数据格式、定义与操作规范，确保数据在存储与流转前具备清晰的安全管控标签，为精细化管理提供依据。

　　数据中台安全

　　数据中台的安全分为外部安全与内部安全。外部安全手段包括定期开展漏洞扫描与渗透测试，模拟攻击场景，提前发现系统架构、应用程序的安全漏洞，及时修复以增强抗攻击能力；同时请第三方评估公司进行数据安全评估，从制度、技术、数据处理活动三方面综合审视，确保管理体系有效运行。

　　数据中台平台内部的安全包括通过分类展示与分级管控，对不同敏感级别的数据施加差异化保护。借助数据标准治理维持数据一致性与规范性，在数据对接与共享过程中，通过加密传输、权限校验等技术确保数据流通安全。引入应用程序接口（API）安全审计工具对接口进行实时监测与审计，检查接口调用的合法性、数据传输的完整性，防范API被恶意调用或数据泄露。采用数据脱敏、国密加密、数据库审计等手段，防止数据泄露与篡改。

　　上层安全

　　应用层通过统一身份认证确保用户身份合法，结合一网通办与统一流程引擎规范业务操作流程，防止越权访问与违规操作。在业务系统、数据分析、大模型应用等数据最终使用场景中，依托下层安全能力（如身份认证、数据分级管控）和网络安全公共策略确保数据仅以授权方式（如脱敏后展示）向合法用户提供服务，实现数据价值利用与安全保护的平衡。

　　制度与实践支撑

　　除了纵向的技术安全，还需建立全生命周期的制度文件，明确各方数据安全权责。同时开展数据安全演练，通过模拟真实攻击场景，检验与优化整个体系的应急响应与协同防御能力，确保安全措施持续有效。

　　综上，通过“分层管控、技术防护、制度约束、持续优化”的多维联动，构建了一个覆盖数据全生命周期、兼顾管理与技术的动态安全治理框架，实现数据在利用过程中的机密性、完整性与可用性保护。这其中，数据安全评估和数据分类分级是核心体系良性循环的关键。

实践成效

　　数据安全评估为数据管理做“体检”

　　西安电子科技大学引入了专业的数据安全评估团队，以法律法规为依据，以数据安全能力成熟度模型（DSMM）为指导，从数据管理流程、数据管理技术、数据处理活动三方面出发，对标DSMM三级标准，开展数据安全评估专项工作。历时三个月，完成数据中台70项数据安全评估，输出《数据中台管理评估报告》《数据中台技术评估报告》《数据中台数据处理活动评估报告》。

　　同时，学校完善了数据安全相关制度，出台了《西安电子科技大学数据安全管理办法》《西安电子科技大学数据中台数据安全管理办法》《西安电子科技大学数据中台应急预案》《西安电子科技大学数据中台数据泄露桌面推演方案》，厘清了全校数据安全和数据中台数据安全责任，细化了数据操作的全生命周期安全规定。数据安全责任划分如图2、图3所示。

图2 《数据安全管理办法》安全责任划分

图3 《数据中台数据安全管理办法》安全责任划分

　　在校级《数据安全管理办法》中，学校网络安全和信息化领导小组是学校数据安全管理工作的领导机构，负责数据安全工作的统筹管理以及重大事项决策。数据安全责任单位包括数据生产单位、数据使用单位、数据运营单位，三类单位各司其职，负责学校数据不同层面的安全。

　　数据分类分级为数据共享建依据

　　学校基于数据中台现有数据资源目录，参考《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法、行业标准和《教育系统核心数据和重要数据识别认定工作指南（试行）》开展数据分类分级工作。

　　按照机构、人员、业务维度，采用以线分类法为主、面分类法为辅的混合分类法将数据分类，二层子类16个，三层子类275个。综合考虑数据发生泄露、篡改、丢失或滥用后的影响对象、影响程度、影响范围，将数据划分为五级：核心数据（L5）、重要数据（L4）和一般数据（L3、L2、L1）。完成了数据中台1436张表、25409个字段的定级工作。其中，L1（低敏感）级数据16405个，L2（较敏感）级数据6233个，L3（敏感）级数据906个（截至2024年底）。

　　输出《西安电子科技大学数据分类分级指南》，制定了数据采集、数据传输、数据存储、数据使用、数据销毁全生命周期管理过程中不同级别字段的管控策略。分类分级指南细化了数据流转各个阶段的不同分级管控策略，数据处理和数据交换环节的管控策略如表1、表2所示。

表1 处理环节管控要求

表2 敏感级别数据开放管控要求（校内）

　　数据安全演练以练促学增强安全意识

　　在完成制度统筹规划和技术整改强化后，为加强数据中台管理人员和校内师生数据安全意识，夯实整体数据安全防护水平，西安电子科技大学首创“剧幕式数据安全演练”活动，通过模拟“数据泄露事件”和“数据篡改事件”从发生到应急处置的各个流程，检验《数据安全应急预案》，提高应急处置小组对应急事件的响应能力。演练在剧幕式表演中融入了数据安全攻防各个环节的实操，融入了应急响应流程，在现场设主屏与分屏，主屏实时展示攻防操作，分屏同步展示内容和网络安全知识库。

　　同时设计纸质折页，启用移动手持设备，提升师生参与感和理解度，通过情景表演直观展示不安全操作、攻防较量流程及安全处置措施。通过演练，不仅检验了学校数据安全应急预案的可行性和有效性，也为主动防御、快速处置数据安全事件积累经验，为网络安全宣传提供了新的思路。

　　通过构建高校数据安全治理体系，西安电子科技大学建设了纳管业务数据、物联数据、日志数据的厚中台体系，实现了数据从对接、治理、开放、应用的全生命周期安全管控。数据中台已实现31个部门的129个业务系统16828张表34万个数据项核心数据全量采集，发布2342个数据清单。上游业务系统日均进入ODS数据湖数据量超9亿条，下游业务系统调用数据清单接口日均超29000次，为校内327个应用/系统模块提供数据支撑，持续强化数据支撑业务供给能力，加快支撑教育数字化智能转型。

　　*基金项目：西安电子科技大学教育教学改革研究项目，教育教学数据治理体系与分级分类的研究（编号：教改字〔2023〕18号）

　　来源：《中国教育网络》2025年4月刊

　　作者：马倩雯、郭涛、吴琳、马蓁（西安电子科技大学信息网络技术中心）

　　责编：陈茜

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。