前言：本站為你精心整理了PDRR 的高校數(shù)據(jù)安全治理研究范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：高等學校是產(chǎn)生巨大高價值信息流的地方，也是數(shù)據(jù)安全問題的高發(fā)地帶，切實保障高校數(shù)據(jù)安全成為當前亟待解決的問題。本文首先分析數(shù)據(jù)安全的內(nèi)涵，根據(jù)高校數(shù)據(jù)安全存在的問題及產(chǎn)生原因，基于pdrr模型，提出一種數(shù)據(jù)安全治理的新思路，以期為高校的數(shù)據(jù)安全治理提供良好的借鑒。

關鍵詞：PDRR；高校；數(shù)據(jù)安全；治理

1引言

隨著《數(shù)據(jù)安全法》在2021年9月1日正式實施，國家和行業(yè)監(jiān)管層面對數(shù)據(jù)安全的保護要求愈發(fā)嚴格[1]。2021年3月，教育部發(fā)布了《關于加強新時代教育管理信息化工作的通知》，教育數(shù)據(jù)價值與日俱增，而數(shù)據(jù)安全威脅與挑戰(zhàn)也日趨嚴重。國內(nèi)高等學校經(jīng)歷了40余年的信息化建設，開始了向數(shù)字化的轉(zhuǎn)變。然而在高校的傳統(tǒng)認識中，數(shù)據(jù)安全僅僅是信息安全領域的一個分支，無需對數(shù)據(jù)安全給予單獨重視，加之在信息系統(tǒng)建設初期，數(shù)據(jù)安全的頂層設計和標準規(guī)范較少，導致當前高校的數(shù)據(jù)安全投入和數(shù)據(jù)安全能力普遍較低。

2數(shù)據(jù)安全的內(nèi)涵

隨著信息化建設的發(fā)展，高校面臨的數(shù)據(jù)安全風險愈加復雜和多樣?！稊?shù)據(jù)安全法》將數(shù)據(jù)安全定義為“通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力”[2]。本文將數(shù)據(jù)安全定義為：為數(shù)據(jù)處理系統(tǒng)構(gòu)建完善的技術(shù)和管理措施，保護數(shù)據(jù)不因偶然或惡意的原因，遭到破壞、更改和泄露，長期處于持續(xù)安全的狀態(tài)，保證數(shù)據(jù)業(yè)務的連續(xù)性。

3高校數(shù)據(jù)安全問題及產(chǎn)生原因

3.1數(shù)據(jù)安全意識薄弱且數(shù)據(jù)資產(chǎn)管理混亂

一直以來，高校的數(shù)據(jù)安全意識較為薄弱，傳統(tǒng)觀念認為高校與金融、銀行和證券等行業(yè)不同，數(shù)據(jù)價值并不高。然而近年來高校數(shù)據(jù)資產(chǎn)數(shù)量急劇增加，價值也越來越高。這些數(shù)據(jù)多散落在學校的各類信息系統(tǒng)中，未曾進行專業(yè)的識別、評估和管理，數(shù)據(jù)資產(chǎn)管理混亂。此外，高校尚未形成統(tǒng)一的數(shù)據(jù)分級分類標準，數(shù)據(jù)安全人才、技術(shù)和方法也缺乏應有的支撐。少數(shù)開始進行數(shù)據(jù)分級分類建設的高校，在工作中也多采用傳統(tǒng)手工方式，存在周期長、效率低和主觀性強等諸多問題。

3.2數(shù)據(jù)存儲安全

高校信息化建設經(jīng)歷迅猛發(fā)展后，絕大部分高校都具備招生信息系統(tǒng)、學生學籍管理系統(tǒng)、財務管理系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)、數(shù)字化圖書館、數(shù)字化檔案館、在線考試系統(tǒng)和其他一些輔助服務器等。這些系統(tǒng)中的數(shù)據(jù)分散且海量，數(shù)據(jù)的存儲、防丟失、防損毀和防止非法盜用等問題，都是對高?，F(xiàn)有數(shù)據(jù)存儲設備和數(shù)據(jù)管理方式的巨大考驗。高校數(shù)據(jù)庫系統(tǒng)用戶眾多，因此也面臨著安全威脅和風險，具體表現(xiàn)為：（1）系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)與中心數(shù)據(jù)庫數(shù)據(jù)的同步問題；（2）冗余數(shù)據(jù)多，數(shù)據(jù)的分級分類管理；（3）數(shù)據(jù)庫賬戶和權(quán)限的管理漏洞，數(shù)據(jù)庫日志審計管理缺陷；（4）高校教育數(shù)據(jù)在云端平臺的漏洞頻發(fā)，如數(shù)據(jù)缺少保密存儲和傳輸、DBA超級權(quán)限濫用等。

3.3網(wǎng)絡安全問題

高校信息系統(tǒng)都以網(wǎng)絡為基礎開展數(shù)字資源服務，就面臨著新型病毒、木馬、分布式拒絕服務攻擊、高級可持續(xù)攻擊等安全問題。這些攻擊具有隱蔽性高、攻擊性強、組織性強以及一次攻擊非法獲利巨大的特點，傳統(tǒng)的安全工具很難在短時間內(nèi)檢測和恢復，形成了高校數(shù)據(jù)安全的巨大外部威脅。此外，校園信息化系統(tǒng)自身也存在較多漏洞。例如，2017年5月爆發(fā)的“永恒之藍”勒索病毒，即利用高校防火墻端口入侵校園網(wǎng)，造成應用系統(tǒng)和終端數(shù)據(jù)的損失。更有甚者，某些大學生利用工具即可抓取校園網(wǎng)系統(tǒng)漏洞。。

3.4數(shù)據(jù)隱私安全

移動互聯(lián)時代的高校信息系統(tǒng)，無處不在的積極收集教師、管理人員和學生的個人信息，并可能對這些信息進行分析、挖掘、整合和利用，但這些隱私數(shù)據(jù)沒有明確的所有權(quán)和使用權(quán)界定。例如，數(shù)字圖書館中除了包含師生個人身份信息、私人電話、E-mail等，還收集師生的借閱偏好、網(wǎng)絡行為和查重查新等內(nèi)容，這些個人隱私數(shù)據(jù)如果沒有被妥善處理，將存在著被任意獲取、泄露和擴散的隱患。

4基于PDRR模型的高校數(shù)據(jù)治理體系

數(shù)據(jù)安全是一個復雜的系統(tǒng)問題，并非單一技術(shù)或者管理措施即可解決，需綜合考慮技術(shù)和管理，通過整體的信息安全保障體系設計與實施。下文將首先介紹PDRR模型，然后基于該模型，提出一種新型高校數(shù)據(jù)安全治理體系。

4.1PDRR模型

PDRR模型是一種改進的信息安全保障模型，在20世紀80年代由美國國防部提出。PDRR分別是防護（Protect）、檢測（Detect）、恢復（Recovery）和響應（Response）的縮寫，該模型強調(diào)信息安全的事前到事中再到事后的全過程保護，其示意如圖1所示。

4.2基于PDRR模型的高校數(shù)據(jù)治理

基于PDRR模型的高校數(shù)據(jù)治理體系是從保護、檢測、響應和恢復四個方面，通過提高數(shù)據(jù)存儲和備份能力，建立健全數(shù)據(jù)分級分類防護和數(shù)據(jù)庫審計策略，提高網(wǎng)絡安全防護能力，嚴格數(shù)據(jù)訪問控制，明確用戶隱私數(shù)據(jù)保護，實施對數(shù)據(jù)安全的全方位管理。4.2.1保護數(shù)據(jù)安全保護是指通過提高數(shù)據(jù)存儲能力、加密能力和數(shù)據(jù)隱私保護，保障高校數(shù)據(jù)的機密性、完整性和可用性。首先，建立健全數(shù)據(jù)分級防護策略。根據(jù)法律法規(guī)要求，以及數(shù)據(jù)的保密性、完整性等安全屬性，高校將數(shù)據(jù)進行安全級別劃分，使數(shù)據(jù)能夠得到適當?shù)陌踩雷o，實現(xiàn)安全成本投入最優(yōu)化。建立數(shù)據(jù)分級策略需要考慮可操作性、數(shù)據(jù)管理與操作的各個角色設置等問題。對于不同級別的數(shù)據(jù)，還要明確其在數(shù)據(jù)訪問控制、存儲、傳輸、備份和審計等方面的要求。其次，當高校的數(shù)據(jù)存儲能力不能滿足需求時，根據(jù)各類數(shù)字資源的功能性和機密性需求，可以將數(shù)據(jù)規(guī)模較大、服務范圍較廣和涉及隱私敏感數(shù)據(jù)較少的數(shù)字資源存儲在云端，利用云存儲實現(xiàn)數(shù)據(jù)的存儲、管理和分析利用[3]。云計算、大數(shù)據(jù)和虛擬化的快速應用，對數(shù)據(jù)基礎設施提出更高要求，特別是數(shù)據(jù)的安全性和可靠性，高校根據(jù)自身條件建設一個安全、智能和高效的數(shù)據(jù)中心是可靠的解決辦法。再次，數(shù)據(jù)存儲需要考慮數(shù)據(jù)交換的隱私保護、靜態(tài)和動態(tài)數(shù)據(jù)的加密機制，可以通過數(shù)據(jù)加密與一致性校驗技術(shù)予以解決[4]。以散列方式加密存儲口令類不需要解密的數(shù)據(jù)是較成熟的解決方案。例如清華大學采用了PKI相關技術(shù)實現(xiàn)了對招生數(shù)據(jù)的數(shù)字簽名和定時驗簽，有效地提升了招生數(shù)據(jù)的完整性。最后，高校需要堅持基于數(shù)據(jù)生命周期的隱私保護方案和原則。高校師生個人信息保護工作，需要貫穿數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)處理與應用、數(shù)據(jù)傳輸和數(shù)據(jù)刪除的全過程。隱私保護技術(shù)可以包括：基于角色的訪問控制、權(quán)限管理、加密保護、數(shù)據(jù)脫敏和安全刪除。4.2.2檢測數(shù)據(jù)漏洞檢測是指采用手動或自動化工具，檢查系統(tǒng)中數(shù)據(jù)可能存在的黑客攻擊、惡意竊取及病毒入侵等脆弱性。高?？梢詮膰栏駭?shù)據(jù)訪問控制和審計制度兩方面入手，提升數(shù)據(jù)漏洞的檢測能力。首先，高?？梢詷?gòu)建一個數(shù)據(jù)安全智能檢測平臺，分析網(wǎng)絡異常情況，發(fā)現(xiàn)潛在攻擊，有效預測威脅。該平臺實時檢測異常，報告異常檢測結(jié)果，發(fā)現(xiàn)攻擊行為，實時響應，同時將分析結(jié)果反饋給平臺的預測模塊，形成一個智能的“檢測-分析-響應-預測”的閉環(huán)數(shù)據(jù)檢測模式。其次，嚴格數(shù)據(jù)訪問控制，包括使用防火墻實現(xiàn)網(wǎng)絡訪問控制、通過主機安全加固強化主機訪問控制、通過數(shù)據(jù)庫加固限制數(shù)據(jù)庫訪問控制，通過Web應用的安全設計與開發(fā)，防止黑客通過Web應用漏洞獲取敏感數(shù)據(jù)等。再次，高校需要在網(wǎng)絡中部署專業(yè)的數(shù)據(jù)庫安全審計系統(tǒng)，定期監(jiān)控數(shù)據(jù)庫訪問行為，及時發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件，實時記錄并報警，完成安全事件定位分析，做好事后追查取證保護。4.2.3響應數(shù)據(jù)安全事件響應是指通過建立應急處置策略和機制，開展實時入侵監(jiān)測與預警，對高校的數(shù)據(jù)安全危機事件、行為和過程做出及時響應并處理。首先，高校應當建立數(shù)據(jù)安全應急處置策略和應急機制，建設專項應急組織，發(fā)生數(shù)據(jù)安全事件及時啟動應急響應機制，采取措施防止危害擴大，消除安全隱患。應急處置機制應該以預防為主，并將應急管理的應急之舉轉(zhuǎn)換為常規(guī)管理活動。高?？梢岳镁€上和線下途徑普及數(shù)據(jù)安全應急知識，加強應急預案的公示，開展數(shù)據(jù)安全應急講座、數(shù)據(jù)庫安全防范技能培訓，定期開展數(shù)據(jù)安全應急演練，抓深落實數(shù)據(jù)安全學習。再次，高校利用檢測平臺的數(shù)據(jù)安全入侵監(jiān)測與預警系統(tǒng)，定期開展數(shù)據(jù)安全狀態(tài)評估。在突發(fā)事件萌發(fā)或發(fā)生后，及時獲得信息，為應急響應爭取時間。在應急監(jiān)測與預警中，既要實現(xiàn)全員監(jiān)測，充分發(fā)揮高校師生的作用；又要通過信息技術(shù)提升突發(fā)事件或風險上報機制。例如建立可視化應急監(jiān)控平臺，實時監(jiān)測突發(fā)數(shù)據(jù)安全事件，還可以開發(fā)APP或小程序，實現(xiàn)數(shù)據(jù)安全突發(fā)事件的風險一鍵上報功能。4.2.4恢復數(shù)據(jù)業(yè)務恢復指一旦高校數(shù)據(jù)安全遭到破壞，可通過本地和云端平臺，實施數(shù)據(jù)備份，定期管理備份數(shù)據(jù)，盡快恢復并提供正常數(shù)據(jù)服務業(yè)務。針對高校的關鍵基礎設施系統(tǒng)，例如數(shù)字圖書館、財務系統(tǒng)、學籍管理系統(tǒng)、檔案管理系統(tǒng)和科研關系系統(tǒng)等，需要根據(jù)安全等級要求，實施相應等級的備份技術(shù)，如冷備份、熱備份和異地備份等。此外，還需要定期開展備份檢查工作，從而在各類災難發(fā)生時，能夠讓學校的關鍵信息系統(tǒng)盡快恢復業(yè)務。隨著云計算、大數(shù)據(jù)和虛擬化逐漸滲透到教育信息化領域，高等教育向云端的擴展，打破了傳統(tǒng)教學模式對時間和地點的限制和要求[5]。在這種技術(shù)環(huán)境下，對高校的信息系統(tǒng)災難備份的數(shù)據(jù)恢復點目標和恢復時間目標，提出了更高要求：首先，高校需要規(guī)劃好系統(tǒng)的等級保護和分級保護；其次，要考慮數(shù)據(jù)損壞、丟失能以最小顆粒度恢復；再次，能夠?qū)崿F(xiàn)應用系統(tǒng)容災，故障快速接管恢復。

5結(jié)語

當作為生產(chǎn)要素的數(shù)據(jù)成為高校最重要的信息資產(chǎn)時，數(shù)據(jù)在整個生命周期內(nèi)必須得到必要的防護。高校必須堅持安全與發(fā)展并重的方針，為數(shù)據(jù)安全提供全方位保障體系。高校數(shù)據(jù)安全管理需要從校長到師生，貫穿整體，形成全員對治理目標的統(tǒng)一認識，積極推進信息安全等級保護測評工作，及時評估新技術(shù)給學校數(shù)據(jù)安全帶來的威脅，及時查找發(fā)現(xiàn)并安全漏洞和隱患。

參考文獻：

[1]郭亮，張吉智，陳心怡，等.數(shù)據(jù)安全復合治理模式研究[J].信息安全研究，2021，7（12）：1110-1120.

[2]王春暉.我國《數(shù)據(jù)安全法》十大亮點解析[J].中國電信業(yè)，2021（09）：42-46.

[3]韓云惠，周帆.電子檔案數(shù)據(jù)安全治理理論體系建構(gòu)——以新修訂《檔案法》和《數(shù)據(jù)安全法》的實施為背景[J].浙江檔案，2021（11）：44-47.

[4]何波，謝祎.我國數(shù)據(jù)治理的最新進展與發(fā)展趨勢[J].中國電信業(yè)，2021（10）：63-67.

[5]胡國華.數(shù)據(jù)安全治理實踐探索[J].信息安全研究，2021，7（10）：915-921.

作者:胡蓮 吳姝儀 單位:上海立信會計金融學院