首頁 >
				文章中心 >
				
				正文
			
          
		
          
		
		
          
			
          
				
				
				
          
					
          
						
          PDRR 的高校數據安全治理研究
          
						
						
						
						
						
          
						
						
					
          					
					 
           
          前言:本站為你精心整理了PDRR 的高校數據安全治理研究范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
           
          PDRR 的高校數據安全治理研究
           
           摘要:高等學校是產生巨大高價值信息流的地方,也是數據安全問題的高發地帶,切實保障高校數據安全成為當前亟待解決的問題。本文首先分析數據安全的內涵,根據高校數據安全存在的問題及產生原因,基于pdrr模型,提出一種數據安全治理的新思路,以期為高校數據安全治理提供良好的借鑒。 
           
           關鍵詞:PDRR;高校;數據安全;治理 
           
           1引言 
           
           隨著《數據安全法》在2021年9月1日正式實施,國家和行業監管層面對數據安全的保護要求愈發嚴格[1]。2021年3月,教育部發布了《關于加強新時代教育管理信息化工作的通知》,教育數據價值與日俱增,而數據安全威脅與挑戰也日趨嚴重。國內高等學校經歷了40余年的信息化建設,開始了向數字化的轉變。然而在高校的傳統認識中,數據安全僅僅是信息安全領域的一個分支,無需對數據安全給予單獨重視,加之在信息系統建設初期,數據安全的頂層設計和標準規范較少,導致當前高校的數據安全投入和數據安全能力普遍較低。 
           
           2數據安全的內涵 
           
           隨著信息化建設的發展,高校面臨的數據安全風險愈加復雜和多樣。《數據安全法》將數據安全定義為“通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力”[2]。本文將數據安全定義為:為數據處理系統構建完善的技術和管理措施,保護數據不因偶然或惡意的原因,遭到破壞、更改和泄露,長期處于持續安全的狀態,保證數據業務的連續性。 
           
           3高校數據安全問題及產生原因 
           
           3.1數據安全意識薄弱且數據資產管理混亂 
           
           一直以來,高校的數據安全意識較為薄弱,傳統觀念認為高校與金融、銀行和證券等行業不同,數據價值并不高。然而近年來高校數據資產數量急劇增加,價值也越來越高。這些數據多散落在學校的各類信息系統中,未曾進行專業的識別、評估和管理,數據資產管理混亂。此外,高校尚未形成統一的數據分級分類標準,數據安全人才、技術和方法也缺乏應有的支撐。少數開始進行數據分級分類建設的高校,在工作中也多采用傳統手工方式,存在周期長、效率低和主觀性強等諸多問題。 
           
           3.2數據存儲安全 
           
           高校信息化建設經歷迅猛發展后,絕大部分高校都具備招生信息系統、學生學籍管理系統、財務管理系統、人事管理系統、科研管理系統、數字化圖書館、數字化檔案館、在線考試系統和其他一些輔助服務器等。這些系統中的數據分散且海量,數據的存儲、防丟失、防損毀和防止非法盜用等問題,都是對高校現有數據存儲設備和數據管理方式的巨大考驗。高校數據庫系統用戶眾多,因此也面臨著安全威脅和風險,具體表現為:(1)系統數據庫數據與中心數據庫數據的同步問題;(2)冗余數據多,數據的分級分類管理;(3)數據庫賬戶和權限的管理漏洞,數據庫日志審計管理缺陷;(4)高校教育數據在云端平臺的漏洞頻發,如數據缺少保密存儲和傳輸、DBA超級權限濫用等。 
           
           3.3網絡安全問題 
           
           高校信息系統都以網絡為基礎開展數字資源服務,就面臨著新型病毒、木馬、分布式拒絕服務攻擊、高級可持續攻擊等安全問題。這些攻擊具有隱蔽性高、攻擊性強、組織性強以及一次攻擊非法獲利巨大的特點,傳統的安全工具很難在短時間內檢測和恢復,形成了高校數據安全的巨大外部威脅。此外,校園信息化系統自身也存在較多漏洞。例如,2017年5月爆發的“永恒之藍”勒索病毒,即利用高校防火墻端口入侵校園網,造成應用系統和終端數據的損失。更有甚者,某些大學生利用工具即可抓取校園網系統漏洞。。 
           
           3.4數據隱私安全 
           
           移動互聯時代的高校信息系統,無處不在的積極收集教師、管理人員和學生的個人信息,并可能對這些信息進行分析、挖掘、整合和利用,但這些隱私數據沒有明確的所有權和使用權界定。例如,數字圖書館中除了包含師生個人身份信息、私人電話、E-mail等,還收集師生的借閱偏好、網絡行為和查重查新等內容,這些個人隱私數據如果沒有被妥善處理,將存在著被任意獲取、泄露和擴散的隱患。 
           
           4基于PDRR模型的高校數據治理體系 
           
           數據安全是一個復雜的系統問題,并非單一技術或者管理措施即可解決,需綜合考慮技術和管理,通過整體的信息安全保障體系設計與實施。下文將首先介紹PDRR模型,然后基于該模型,提出一種新型高校數據安全治理體系。 
           
           4.1PDRR模型 
           
           PDRR模型是一種改進的信息安全保障模型,在20世紀80年代由美國國防部提出。PDRR分別是防護(Protect)、檢測(Detect)、恢復(Recovery)和響應(Response)的縮寫,該模型強調信息安全的事前到事中再到事后的全過程保護,其示意如圖1所示。 
           
           4.2基于PDRR模型的高校數據治理 
           
           基于PDRR模型的高校數據治理體系是從保護、檢測、響應和恢復四個方面,通過提高數據存儲和備份能力,建立健全數據分級分類防護和數據庫審計策略,提高網絡安全防護能力,嚴格數據訪問控制,明確用戶隱私數據保護,實施對數據安全的全方位管理。4.2.1保護數據安全保護是指通過提高數據存儲能力、加密能力和數據隱私保護,保障高校數據的機密性、完整性和可用性。首先,建立健全數據分級防護策略。根據法律法規要求,以及數據的保密性、完整性等安全屬性,高校將數據進行安全級別劃分,使數據能夠得到適當的安全防護,實現安全成本投入最優化。建立數據分級策略需要考慮可操作性、數據管理與操作的各個角色設置等問題。對于不同級別的數據,還要明確其在數據訪問控制、存儲、傳輸、備份和審計等方面的要求。其次,當高校的數據存儲能力不能滿足需求時,根據各類數字資源的功能性和機密性需求,可以將數據規模較大、服務范圍較廣和涉及隱私敏感數據較少的數字資源存儲在云端,利用云存儲實現數據的存儲、管理和分析利用[3]。云計算、大數據和虛擬化的快速應用,對數據基礎設施提出更高要求,特別是數據的安全性和可靠性,高校根據自身條件建設一個安全、智能和高效的數據中心是可靠的解決辦法。再次,數據存儲需要考慮數據交換的隱私保護、靜態和動態數據的加密機制,可以通過數據加密與一致性校驗技術予以解決[4]。以散列方式加密存儲口令類不需要解密的數據是較成熟的解決方案。例如清華大學采用了PKI相關技術實現了對招生數據的數字簽名和定時驗簽,有效地提升了招生數據的完整性。最后,高校需要堅持基于數據生命周期的隱私保護方案和原則。高校師生個人信息保護工作,需要貫穿數據采集、數據存儲、數據處理與應用、數據傳輸和數據刪除的全過程。隱私保護技術可以包括:基于角色的訪問控制、權限管理、加密保護、數據脫敏和安全刪除。4.2.2檢測數據漏洞檢測是指采用手動或自動化工具,檢查系統中數據可能存在的黑客攻擊、惡意竊取及病毒入侵等脆弱性。高校可以從嚴格數據訪問控制和審計制度兩方面入手,提升數據漏洞的檢測能力。首先,高校可以構建一個數據安全智能檢測平臺,分析網絡異常情況,發現潛在攻擊,有效預測威脅。該平臺實時檢測異常,報告異常檢測結果,發現攻擊行為,實時響應,同時將分析結果反饋給平臺的預測模塊,形成一個智能的“檢測-分析-響應-預測”的閉環數據檢測模式。其次,嚴格數據訪問控制,包括使用防火墻實現網絡訪問控制、通過主機安全加固強化主機訪問控制、通過數據庫加固限制數據庫訪問控制,通過Web應用的安全設計與開發,防止黑客通過Web應用漏洞獲取敏感數據等。再次,高校需要在網絡中部署專業的數據庫安全審計系統,定期監控數據庫訪問行為,及時發現違反數據庫安全策略的事件,實時記錄并報警,完成安全事件定位分析,做好事后追查取證保護。4.2.3響應數據安全事件響應是指通過建立應急處置策略和機制,開展實時入侵監測與預警,對高校的數據安全危機事件、行為和過程做出及時響應并處理。首先,高校應當建立數據安全應急處置策略和應急機制,建設專項應急組織,發生數據安全事件及時啟動應急響應機制,采取措施防止危害擴大,消除安全隱患。應急處置機制應該以預防為主,并將應急管理的應急之舉轉換為常規管理活動。高校可以利用線上和線下途徑普及數據安全應急知識,加強應急預案的公示,開展數據安全應急講座、數據庫安全防范技能培訓,定期開展數據安全應急演練,抓深落實數據安全學習。再次,高校利用檢測平臺的數據安全入侵監測與預警系統,定期開展數據安全狀態評估。在突發事件萌發或發生后,及時獲得信息,為應急響應爭取時間。在應急監測與預警中,既要實現全員監測,充分發揮高校師生的作用;又要通過信息技術提升突發事件或風險上報機制。例如建立可視化應急監控平臺,實時監測突發數據安全事件,還可以開發APP或小程序,實現數據安全突發事件的風險一鍵上報功能。4.2.4恢復數據業務恢復指一旦高校數據安全遭到破壞,可通過本地和云端平臺,實施數據備份,定期管理備份數據,盡快恢復并提供正常數據服務業務。針對高校的關鍵基礎設施系統,例如數字圖書館、財務系統、學籍管理系統、檔案管理系統和科研關系系統等,需要根據安全等級要求,實施相應等級的備份技術,如冷備份、熱備份和異地備份等。此外,還需要定期開展備份檢查工作,從而在各類災難發生時,能夠讓學校的關鍵信息系統盡快恢復業務。隨著云計算、大數據和虛擬化逐漸滲透到教育信息化領域,高等教育向云端的擴展,打破了傳統教學模式對時間和地點的限制和要求[5]。在這種技術環境下,對高校的信息系統災難備份的數據恢復點目標和恢復時間目標,提出了更高要求:首先,高校需要規劃好系統的等級保護和分級保護;其次,要考慮數據損壞、丟失能以最小顆粒度恢復;再次,能夠實現應用系統容災,故障快速接管恢復。 
           
           5結語 
           
           當作為生產要素的數據成為高校最重要的信息資產時,數據在整個生命周期內必須得到必要的防護。高校必須堅持安全與發展并重的方針,為數據安全提供全方位保障體系。高校數據安全管理需要從校長到師生,貫穿整體,形成全員對治理目標的統一認識,積極推進信息安全等級保護測評工作,及時評估新技術給學校數據安全帶來的威脅,及時查找發現并安全漏洞和隱患。 
           
           參考文獻: 
           
           [1]郭亮,張吉智,陳心怡,等.數據安全復合治理模式研究[J].信息安全研究,2021,7(12):1110-1120. 
           
           [2]王春暉.我國《數據安全法》十大亮點解析[J].中國電信業,2021(09):42-46. 
           
           [3]韓云惠,周帆.電子檔案數據安全治理理論體系建構——以新修訂《檔案法》和《數據安全法》的實施為背景[J].浙江檔案,2021(11):44-47. 
           
           [4]何波,謝祎.我國數據治理的最新進展與發展趨勢[J].中國電信業,2021(10):63-67. 
           
           [5]胡國華.數據安全治理實踐探索[J].信息安全研究,2021,7(10):915-921. 
           
           作者:胡蓮 吳姝儀 單位:上海立信會計金融學院 
           
          
				
          
				
				
				
          
				
				
				
			
          
			
          
				
				
				
				
				
          
					
          文檔上傳者