前言：本站為你精心整理了PDRR 的高校數(shù)據(jù)安全治理研究范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：高等學(xué)校是產(chǎn)生巨大高價(jià)值信息流的地方，也是數(shù)據(jù)安全問題的高發(fā)地帶，切實(shí)保障高校數(shù)據(jù)安全成為當(dāng)前亟待解決的問題。本文首先分析數(shù)據(jù)安全的內(nèi)涵，根據(jù)高校數(shù)據(jù)安全存在的問題及產(chǎn)生原因，基于pdrr模型，提出一種數(shù)據(jù)安全治理的新思路，以期為高校的數(shù)據(jù)安全治理提供良好的借鑒。

關(guān)鍵詞：PDRR；高校；數(shù)據(jù)安全；治理

1引言

隨著《數(shù)據(jù)安全法》在2021年9月1日正式實(shí)施，國家和行業(yè)監(jiān)管層面對數(shù)據(jù)安全的保護(hù)要求愈發(fā)嚴(yán)格[1]。2021年3月，教育部發(fā)布了《關(guān)于加強(qiáng)新時(shí)代教育管理信息化工作的通知》，教育數(shù)據(jù)價(jià)值與日俱增，而數(shù)據(jù)安全威脅與挑戰(zhàn)也日趨嚴(yán)重。國內(nèi)高等學(xué)校經(jīng)歷了40余年的信息化建設(shè)，開始了向數(shù)字化的轉(zhuǎn)變。然而在高校的傳統(tǒng)認(rèn)識(shí)中，數(shù)據(jù)安全僅僅是信息安全領(lǐng)域的一個(gè)分支，無需對數(shù)據(jù)安全給予單獨(dú)重視，加之在信息系統(tǒng)建設(shè)初期，數(shù)據(jù)安全的頂層設(shè)計(jì)和標(biāo)準(zhǔn)規(guī)范較少，導(dǎo)致當(dāng)前高校的數(shù)據(jù)安全投入和數(shù)據(jù)安全能力普遍較低。

2數(shù)據(jù)安全的內(nèi)涵

隨著信息化建設(shè)的發(fā)展，高校面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)愈加復(fù)雜和多樣?！稊?shù)據(jù)安全法》將數(shù)據(jù)安全定義為“通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力”[2]。本文將數(shù)據(jù)安全定義為：為數(shù)據(jù)處理系統(tǒng)構(gòu)建完善的技術(shù)和管理措施，保護(hù)數(shù)據(jù)不因偶然或惡意的原因，遭到破壞、更改和泄露，長期處于持續(xù)安全的狀態(tài)，保證數(shù)據(jù)業(yè)務(wù)的連續(xù)性。

3高校數(shù)據(jù)安全問題及產(chǎn)生原因

3.1數(shù)據(jù)安全意識(shí)薄弱且數(shù)據(jù)資產(chǎn)管理混亂

一直以來，高校的數(shù)據(jù)安全意識(shí)較為薄弱，傳統(tǒng)觀念認(rèn)為高校與金融、銀行和證券等行業(yè)不同，數(shù)據(jù)價(jià)值并不高。然而近年來高校數(shù)據(jù)資產(chǎn)數(shù)量急劇增加，價(jià)值也越來越高。這些數(shù)據(jù)多散落在學(xué)校的各類信息系統(tǒng)中，未曾進(jìn)行專業(yè)的識(shí)別、評估和管理，數(shù)據(jù)資產(chǎn)管理混亂。此外，高校尚未形成統(tǒng)一的數(shù)據(jù)分級分類標(biāo)準(zhǔn)，數(shù)據(jù)安全人才、技術(shù)和方法也缺乏應(yīng)有的支撐。少數(shù)開始進(jìn)行數(shù)據(jù)分級分類建設(shè)的高校，在工作中也多采用傳統(tǒng)手工方式，存在周期長、效率低和主觀性強(qiáng)等諸多問題。

3.2數(shù)據(jù)存儲(chǔ)安全

高校信息化建設(shè)經(jīng)歷迅猛發(fā)展后，絕大部分高校都具備招生信息系統(tǒng)、學(xué)生學(xué)籍管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)、數(shù)字化圖書館、數(shù)字化檔案館、在線考試系統(tǒng)和其他一些輔助服務(wù)器等。這些系統(tǒng)中的數(shù)據(jù)分散且海量，數(shù)據(jù)的存儲(chǔ)、防丟失、防損毀和防止非法盜用等問題，都是對高校現(xiàn)有數(shù)據(jù)存儲(chǔ)設(shè)備和數(shù)據(jù)管理方式的巨大考驗(yàn)。高校數(shù)據(jù)庫系統(tǒng)用戶眾多，因此也面臨著安全威脅和風(fēng)險(xiǎn)，具體表現(xiàn)為：（1）系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)與中心數(shù)據(jù)庫數(shù)據(jù)的同步問題；（2）冗余數(shù)據(jù)多，數(shù)據(jù)的分級分類管理；（3）數(shù)據(jù)庫賬戶和權(quán)限的管理漏洞，數(shù)據(jù)庫日志審計(jì)管理缺陷；（4）高校教育數(shù)據(jù)在云端平臺(tái)的漏洞頻發(fā)，如數(shù)據(jù)缺少保密存儲(chǔ)和傳輸、DBA超級權(quán)限濫用等。

3.3網(wǎng)絡(luò)安全問題

高校信息系統(tǒng)都以網(wǎng)絡(luò)為基礎(chǔ)開展數(shù)字資源服務(wù)，就面臨著新型病毒、木馬、分布式拒絕服務(wù)攻擊、高級可持續(xù)攻擊等安全問題。這些攻擊具有隱蔽性高、攻擊性強(qiáng)、組織性強(qiáng)以及一次攻擊非法獲利巨大的特點(diǎn)，傳統(tǒng)的安全工具很難在短時(shí)間內(nèi)檢測和恢復(fù)，形成了高校數(shù)據(jù)安全的巨大外部威脅。此外，校園信息化系統(tǒng)自身也存在較多漏洞。例如，2017年5月爆發(fā)的“永恒之藍(lán)”勒索病毒，即利用高校防火墻端口入侵校園網(wǎng)，造成應(yīng)用系統(tǒng)和終端數(shù)據(jù)的損失。更有甚者，某些大學(xué)生利用工具即可抓取校園網(wǎng)系統(tǒng)漏洞。。

3.4數(shù)據(jù)隱私安全

移動(dòng)互聯(lián)時(shí)代的高校信息系統(tǒng)，無處不在的積極收集教師、管理人員和學(xué)生的個(gè)人信息，并可能對這些信息進(jìn)行分析、挖掘、整合和利用，但這些隱私數(shù)據(jù)沒有明確的所有權(quán)和使用權(quán)界定。例如，數(shù)字圖書館中除了包含師生個(gè)人身份信息、私人電話、E-mail等，還收集師生的借閱偏好、網(wǎng)絡(luò)行為和查重查新等內(nèi)容，這些個(gè)人隱私數(shù)據(jù)如果沒有被妥善處理，將存在著被任意獲取、泄露和擴(kuò)散的隱患。

4基于PDRR模型的高校數(shù)據(jù)治理體系

數(shù)據(jù)安全是一個(gè)復(fù)雜的系統(tǒng)問題，并非單一技術(shù)或者管理措施即可解決，需綜合考慮技術(shù)和管理，通過整體的信息安全保障體系設(shè)計(jì)與實(shí)施。下文將首先介紹PDRR模型，然后基于該模型，提出一種新型高校數(shù)據(jù)安全治理體系。

4.1PDRR模型

PDRR模型是一種改進(jìn)的信息安全保障模型，在20世紀(jì)80年代由美國國防部提出。PDRR分別是防護(hù)（Protect）、檢測（Detect）、恢復(fù)（Recovery）和響應(yīng)（Response）的縮寫，該模型強(qiáng)調(diào)信息安全的事前到事中再到事后的全過程保護(hù)，其示意如圖1所示。

4.2基于PDRR模型的高校數(shù)據(jù)治理

基于PDRR模型的高校數(shù)據(jù)治理體系是從保護(hù)、檢測、響應(yīng)和恢復(fù)四個(gè)方面，通過提高數(shù)據(jù)存儲(chǔ)和備份能力，建立健全數(shù)據(jù)分級分類防護(hù)和數(shù)據(jù)庫審計(jì)策略，提高網(wǎng)絡(luò)安全防護(hù)能力，嚴(yán)格數(shù)據(jù)訪問控制，明確用戶隱私數(shù)據(jù)保護(hù)，實(shí)施對數(shù)據(jù)安全的全方位管理。4.2.1保護(hù)數(shù)據(jù)安全保護(hù)是指通過提高數(shù)據(jù)存儲(chǔ)能力、加密能力和數(shù)據(jù)隱私保護(hù)，保障高校數(shù)據(jù)的機(jī)密性、完整性和可用性。首先，建立健全數(shù)據(jù)分級防護(hù)策略。根據(jù)法律法規(guī)要求，以及數(shù)據(jù)的保密性、完整性等安全屬性，高校將數(shù)據(jù)進(jìn)行安全級別劃分，使數(shù)據(jù)能夠得到適當(dāng)?shù)陌踩雷o(hù)，實(shí)現(xiàn)安全成本投入最優(yōu)化。建立數(shù)據(jù)分級策略需要考慮可操作性、數(shù)據(jù)管理與操作的各個(gè)角色設(shè)置等問題。對于不同級別的數(shù)據(jù)，還要明確其在數(shù)據(jù)訪問控制、存儲(chǔ)、傳輸、備份和審計(jì)等方面的要求。其次，當(dāng)高校的數(shù)據(jù)存儲(chǔ)能力不能滿足需求時(shí)，根據(jù)各類數(shù)字資源的功能性和機(jī)密性需求，可以將數(shù)據(jù)規(guī)模較大、服務(wù)范圍較廣和涉及隱私敏感數(shù)據(jù)較少的數(shù)字資源存儲(chǔ)在云端，利用云存儲(chǔ)實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)、管理和分析利用[3]。云計(jì)算、大數(shù)據(jù)和虛擬化的快速應(yīng)用，對數(shù)據(jù)基礎(chǔ)設(shè)施提出更高要求，特別是數(shù)據(jù)的安全性和可靠性，高校根據(jù)自身?xiàng)l件建設(shè)一個(gè)安全、智能和高效的數(shù)據(jù)中心是可靠的解決辦法。再次，數(shù)據(jù)存儲(chǔ)需要考慮數(shù)據(jù)交換的隱私保護(hù)、靜態(tài)和動(dòng)態(tài)數(shù)據(jù)的加密機(jī)制，可以通過數(shù)據(jù)加密與一致性校驗(yàn)技術(shù)予以解決[4]。以散列方式加密存儲(chǔ)口令類不需要解密的數(shù)據(jù)是較成熟的解決方案。例如清華大學(xué)采用了PKI相關(guān)技術(shù)實(shí)現(xiàn)了對招生數(shù)據(jù)的數(shù)字簽名和定時(shí)驗(yàn)簽，有效地提升了招生數(shù)據(jù)的完整性。最后，高校需要堅(jiān)持基于數(shù)據(jù)生命周期的隱私保護(hù)方案和原則。高校師生個(gè)人信息保護(hù)工作，需要貫穿數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理與應(yīng)用、數(shù)據(jù)傳輸和數(shù)據(jù)刪除的全過程。隱私保護(hù)技術(shù)可以包括：基于角色的訪問控制、權(quán)限管理、加密保護(hù)、數(shù)據(jù)脫敏和安全刪除。4.2.2檢測數(shù)據(jù)漏洞檢測是指采用手動(dòng)或自動(dòng)化工具，檢查系統(tǒng)中數(shù)據(jù)可能存在的黑客攻擊、惡意竊取及病毒入侵等脆弱性。高?？梢詮膰?yán)格數(shù)據(jù)訪問控制和審計(jì)制度兩方面入手，提升數(shù)據(jù)漏洞的檢測能力。首先，高校可以構(gòu)建一個(gè)數(shù)據(jù)安全智能檢測平臺(tái)，分析網(wǎng)絡(luò)異常情況，發(fā)現(xiàn)潛在攻擊，有效預(yù)測威脅。該平臺(tái)實(shí)時(shí)檢測異常，報(bào)告異常檢測結(jié)果，發(fā)現(xiàn)攻擊行為，實(shí)時(shí)響應(yīng)，同時(shí)將分析結(jié)果反饋給平臺(tái)的預(yù)測模塊，形成一個(gè)智能的“檢測-分析-響應(yīng)-預(yù)測”的閉環(huán)數(shù)據(jù)檢測模式。其次，嚴(yán)格數(shù)據(jù)訪問控制，包括使用防火墻實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制、通過主機(jī)安全加固強(qiáng)化主機(jī)訪問控制、通過數(shù)據(jù)庫加固限制數(shù)據(jù)庫訪問控制，通過Web應(yīng)用的安全設(shè)計(jì)與開發(fā)，防止黑客通過Web應(yīng)用漏洞獲取敏感數(shù)據(jù)等。再次，高校需要在網(wǎng)絡(luò)中部署專業(yè)的數(shù)據(jù)庫安全審計(jì)系統(tǒng)，定期監(jiān)控?cái)?shù)據(jù)庫訪問行為，及時(shí)發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件，實(shí)時(shí)記錄并報(bào)警，完成安全事件定位分析，做好事后追查取證保護(hù)。4.2.3響應(yīng)數(shù)據(jù)安全事件響應(yīng)是指通過建立應(yīng)急處置策略和機(jī)制，開展實(shí)時(shí)入侵監(jiān)測與預(yù)警，對高校的數(shù)據(jù)安全危機(jī)事件、行為和過程做出及時(shí)響應(yīng)并處理。首先，高校應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置策略和應(yīng)急機(jī)制，建設(shè)專項(xiàng)應(yīng)急組織，發(fā)生數(shù)據(jù)安全事件及時(shí)啟動(dòng)應(yīng)急響應(yīng)機(jī)制，采取措施防止危害擴(kuò)大，消除安全隱患。應(yīng)急處置機(jī)制應(yīng)該以預(yù)防為主，并將應(yīng)急管理的應(yīng)急之舉轉(zhuǎn)換為常規(guī)管理活動(dòng)。高?？梢岳镁€上和線下途徑普及數(shù)據(jù)安全應(yīng)急知識(shí)，加強(qiáng)應(yīng)急預(yù)案的公示，開展數(shù)據(jù)安全應(yīng)急講座、數(shù)據(jù)庫安全防范技能培訓(xùn)，定期開展數(shù)據(jù)安全應(yīng)急演練，抓深落實(shí)數(shù)據(jù)安全學(xué)習(xí)。再次，高校利用檢測平臺(tái)的數(shù)據(jù)安全入侵監(jiān)測與預(yù)警系統(tǒng)，定期開展數(shù)據(jù)安全狀態(tài)評估。在突發(fā)事件萌發(fā)或發(fā)生后，及時(shí)獲得信息，為應(yīng)急響應(yīng)爭取時(shí)間。在應(yīng)急監(jiān)測與預(yù)警中，既要實(shí)現(xiàn)全員監(jiān)測，充分發(fā)揮高校師生的作用；又要通過信息技術(shù)提升突發(fā)事件或風(fēng)險(xiǎn)上報(bào)機(jī)制。例如建立可視化應(yīng)急監(jiān)控平臺(tái)，實(shí)時(shí)監(jiān)測突發(fā)數(shù)據(jù)安全事件，還可以開發(fā)APP或小程序，實(shí)現(xiàn)數(shù)據(jù)安全突發(fā)事件的風(fēng)險(xiǎn)一鍵上報(bào)功能。4.2.4恢復(fù)數(shù)據(jù)業(yè)務(wù)恢復(fù)指一旦高校數(shù)據(jù)安全遭到破壞，可通過本地和云端平臺(tái)，實(shí)施數(shù)據(jù)備份，定期管理備份數(shù)據(jù)，盡快恢復(fù)并提供正常數(shù)據(jù)服務(wù)業(yè)務(wù)。針對高校的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，例如數(shù)字圖書館、財(cái)務(wù)系統(tǒng)、學(xué)籍管理系統(tǒng)、檔案管理系統(tǒng)和科研關(guān)系系統(tǒng)等，需要根據(jù)安全等級要求，實(shí)施相應(yīng)等級的備份技術(shù)，如冷備份、熱備份和異地備份等。此外，還需要定期開展備份檢查工作，從而在各類災(zāi)難發(fā)生時(shí)，能夠讓學(xué)校的關(guān)鍵信息系統(tǒng)盡快恢復(fù)業(yè)務(wù)。隨著云計(jì)算、大數(shù)據(jù)和虛擬化逐漸滲透到教育信息化領(lǐng)域，高等教育向云端的擴(kuò)展，打破了傳統(tǒng)教學(xué)模式對時(shí)間和地點(diǎn)的限制和要求[5]。在這種技術(shù)環(huán)境下，對高校的信息系統(tǒng)災(zāi)難備份的數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)和恢復(fù)時(shí)間目標(biāo)，提出了更高要求：首先，高校需要規(guī)劃好系統(tǒng)的等級保護(hù)和分級保護(hù)；其次，要考慮數(shù)據(jù)損壞、丟失能以最小顆粒度恢復(fù)；再次，能夠?qū)崿F(xiàn)應(yīng)用系統(tǒng)容災(zāi)，故障快速接管恢復(fù)。

5結(jié)語

當(dāng)作為生產(chǎn)要素的數(shù)據(jù)成為高校最重要的信息資產(chǎn)時(shí)，數(shù)據(jù)在整個(gè)生命周期內(nèi)必須得到必要的防護(hù)。高校必須堅(jiān)持安全與發(fā)展并重的方針，為數(shù)據(jù)安全提供全方位保障體系。高校數(shù)據(jù)安全管理需要從校長到師生，貫穿整體，形成全員對治理目標(biāo)的統(tǒng)一認(rèn)識(shí)，積極推進(jìn)信息安全等級保護(hù)測評工作，及時(shí)評估新技術(shù)給學(xué)校數(shù)據(jù)安全帶來的威脅，及時(shí)查找發(fā)現(xiàn)并安全漏洞和隱患。

參考文獻(xiàn)：

[1]郭亮，張吉智，陳心怡，等.數(shù)據(jù)安全復(fù)合治理模式研究[J].信息安全研究，2021，7（12）：1110-1120.

[2]王春暉.我國《數(shù)據(jù)安全法》十大亮點(diǎn)解析[J].中國電信業(yè)，2021（09）：42-46.

[3]韓云惠，周帆.電子檔案數(shù)據(jù)安全治理理論體系建構(gòu)——以新修訂《檔案法》和《數(shù)據(jù)安全法》的實(shí)施為背景[J].浙江檔案，2021（11）：44-47.

[4]何波，謝祎.我國數(shù)據(jù)治理的最新進(jìn)展與發(fā)展趨勢[J].中國電信業(yè)，2021（10）：63-67.

[5]胡國華.數(shù)據(jù)安全治理實(shí)踐探索[J].信息安全研究，2021，7（10）：915-921.

作者:胡蓮 吳姝儀 單位:上海立信會(huì)計(jì)金融學(xué)院