为加强数据资产的统一管理和质量管控，建立有效的数据共享、管理与保障体系，南京理工大学制定了《南京理工大学数据资产管理办法（暂行）》。通过对信息系统数据的采集、录入、运维、存储、归档、应用等过程，以及数据标准、接口标准、数据安全策略和实施数据审核的管理，达到统一数据语言、保障数据准确、防止非法篡改和伪造、建立数据备份和恢复机制、预防信息泄露、提供优质高效数据服务的目的。

　　数据库安全是整个数据安全策略的重要环节。数据库在部署上采用OracleRAC双机机制，确保数据库高可用性、高性能，保障数据不丢失。同时，设置专门的网络安全域，将数据库及重要应用系统独立成域，并配有专用安全设备，配置了相关安全策略，仅允许经授权的应用访问数据库，实现了内外网的隔离，从而避免可能存在的入侵风险，如图1所示。

　　为确保数据库的访问控制，把各类数据分开存储，分别设置账户进行管理，如元数据账户、主数据账户、代码标准账户、主数据仓库切片备份账户、代码仓库切片备份账户等，各账户之间再进行一定授权访问。因此，系统具备授权访问功能，可以针对不同对象授予不同权限，用户所看到的页面和内容根据身份和权限的不同而不同。使用权限按程序审批，相关使用人员按业务指定权限使用、操作相应的服务，每一级管理员都只能查看与本岗位相关的数据内容，严格控制数据知悉范围，并且定期或不定期地更换不同的密码口令。为确保数据安全，建设了异地数据灾备中心，并建立了数据实时和定期备份机制，每天对数据进行增量备份，每周进行一次全量备份，如图2所示。

　　考虑到高校业务数据的敏感性，尤其是针对师生用户的身份证号、学号等敏感信息，系统设计了数据脱密处理方式，通过一组定制的MD5加密规则，将原始数据加密为脱密数据，导出到开发和测试环境使用。除了数据脱敏外，系统对需要保护的数据提供三重DES加密再传送的机制，以保证网络数据传输的安全性。

　　同时，数据中心留有完备的日志记录，其中包括系统访问、数据库访问、数据集成接口日志、API访问日志等信息，详细记录了每个登录者的访问行为、模块访问行为、模块功能操作行为以及操作导致数据变化的记录。基于以上日志信息，我们正在依托学校大数据分析平台，进行日志大数据分析的尝试，以期为数据安全工作提供更多手段和途径。

　　另外，学校还运用了多种手段和措施来防范数据及网络安全：为防止密码泄露，要求加强密码保护意识，增加密码复杂度，强制各级管理员定期修改密码，避免把密码给其他人使用或泄露；应用系统运行均要求保留完备日志，必要时对日志进行审计，防止不规范访问行为；数据使用进行必要审核，增加了数据使用申请审核流程，以增强业务部门的数据安全意识；为确保数据资产不外流，不泄露，学校与相关部门和单位签订了数据保密协议等。

　　（作者单位为南京理工大学）