高職院校的數(shù)據(jù)分類分級(jí)方法探索

廉康，劉力銘，羅偉雄，劉嵐，郭柏喬

廣州城市職業(yè)學(xué)院，廣東廣州，510405

0 引言

隨著國(guó)家信息化建設(shè)程度加深，數(shù)據(jù)已經(jīng)成為各行各業(yè)的重要資產(chǎn)，是推動(dòng)行業(yè)業(yè)務(wù)發(fā)展的重要原生動(dòng)力[1]。2021年3月，《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》發(fā)布，提出保障國(guó)家數(shù)據(jù)安全，加強(qiáng)個(gè)人信息保護(hù)，全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)；2021年9月實(shí)施的《中華人民共和國(guó)數(shù)據(jù)安全法》明確指出，要規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用。由此可見(jiàn)數(shù)據(jù)的有效治理已成為加強(qiáng)數(shù)據(jù)安全的重要保障措施[2]，而數(shù)據(jù)分類分級(jí)是有效的治理手段之一，也是至關(guān)重要的一個(gè)階段。

1 數(shù)據(jù)管理是前提

數(shù)據(jù)分類分級(jí)在各個(gè)行業(yè)都已經(jīng)開(kāi)始普及應(yīng)用。在政府單位中，需要處理大量的敏感信息，這些信息的安全對(duì)于國(guó)家的安全及穩(wěn)定有著至關(guān)重要的作用，通過(guò)數(shù)據(jù)分類分級(jí)，可以針對(duì)不同的數(shù)據(jù)采取不同的保護(hù)措施，在保障政府?dāng)?shù)據(jù)安全的基礎(chǔ)上，有所依據(jù)地開(kāi)放政府?dāng)?shù)據(jù)[3]。在金融行業(yè)中，數(shù)據(jù)分類分級(jí)是保護(hù)敏感數(shù)據(jù)和管理風(fēng)險(xiǎn)的重要手段。對(duì)數(shù)據(jù)實(shí)施分類分級(jí)能夠更加明確保護(hù)對(duì)象，有助于金融業(yè)機(jī)構(gòu)合理分配數(shù)據(jù)保護(hù)資源和成本，是金融業(yè)機(jī)構(gòu)建立完善的金融數(shù)據(jù)生命周期保護(hù)框架的基礎(chǔ)，也是有的放矢地實(shí)施數(shù)據(jù)安全管理的前提條件[4]。

對(duì)高職院校來(lái)說(shuō)，應(yīng)教育部印發(fā)的《教育信息化2.0行動(dòng)計(jì)劃》通知的要求，各學(xué)校信息化建設(shè)也在緊鑼密鼓地開(kāi)展。但也帶來(lái)很多問(wèn)題，其中數(shù)據(jù)管理問(wèn)題尤為突出。一是信息“孤島”情況嚴(yán)重，各類應(yīng)用系統(tǒng)越來(lái)越多，數(shù)據(jù)也越來(lái)越龐大。但這些數(shù)據(jù)大多存儲(chǔ)在各自的應(yīng)用系統(tǒng)中，造成同一數(shù)據(jù)出現(xiàn)多個(gè)數(shù)據(jù)名稱的情況，即使數(shù)據(jù)互聯(lián)互通后，數(shù)據(jù)也無(wú)法做到快速同步。當(dāng)需要數(shù)據(jù)時(shí)，協(xié)調(diào)多個(gè)業(yè)務(wù)部門也無(wú)法給出準(zhǔn)確數(shù)據(jù)。二是數(shù)據(jù)管理架構(gòu)缺失，雖然高職院校加大信息化建設(shè)力度，可人員信息化素養(yǎng)缺失，缺少數(shù)據(jù)監(jiān)督組織的意識(shí)，致使高職院校系統(tǒng)結(jié)構(gòu)愈加復(fù)雜，但數(shù)據(jù)管理越來(lái)越混亂。三是數(shù)據(jù)分析能力弱[5]。數(shù)據(jù)主要是由結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)組成[6]。而結(jié)構(gòu)化數(shù)據(jù)對(duì)各業(yè)務(wù)部門工作隨著信息化的發(fā)展影響越來(lái)越大。而高職院校的結(jié)構(gòu)化數(shù)據(jù)管理能力弱，導(dǎo)致有大量數(shù)據(jù)在手，卻無(wú)法提供準(zhǔn)確的數(shù)據(jù)分析。因?yàn)楣芾砘靵y，導(dǎo)致數(shù)據(jù)無(wú)法精準(zhǔn)保護(hù)。因此數(shù)據(jù)管理和數(shù)據(jù)治理是高職院校數(shù)據(jù)安全工作的重中之重。

2 數(shù)據(jù)分類分級(jí)

2.1 數(shù)據(jù)分類

因目前沒(méi)有針對(duì)高職院校進(jìn)行數(shù)據(jù)分類分級(jí)的方法指南。本文結(jié)合中華人民共和國(guó)教育行業(yè)標(biāo)準(zhǔn)《教育管理信息 高等學(xué)校管理信息》[7]中的數(shù)據(jù)類型和高職院?，F(xiàn)有的業(yè)務(wù)數(shù)據(jù)類型，形成數(shù)據(jù)分類列表。詳見(jiàn)圖1，從縱向架構(gòu)來(lái)看，高職院校數(shù)據(jù)分類首先可以分為學(xué)生數(shù)據(jù)集、教師數(shù)據(jù)集、管理數(shù)據(jù)集。

圖1 高職院校的數(shù)據(jù)架構(gòu)

這三個(gè)數(shù)據(jù)集向下可以分離出11個(gè)數(shù)據(jù)子集。詳見(jiàn)圖2，數(shù)據(jù)子集劃分相應(yīng)的數(shù)據(jù)類，通過(guò)劃分多級(jí)的子數(shù)據(jù)類進(jìn)行數(shù)據(jù)的分類。

圖2 數(shù)據(jù)類別劃分流程

結(jié)合實(shí)際高職院校的數(shù)據(jù)使用情況，形成詳細(xì)的數(shù)據(jù)分類目錄，詳見(jiàn)表1。

表1 數(shù)據(jù)類別目錄

2.2 數(shù)據(jù)分級(jí)

數(shù)據(jù)分級(jí)是按照預(yù)設(shè)的分級(jí)原則對(duì)已分類好的數(shù)據(jù)進(jìn)行定級(jí)，從而為數(shù)據(jù)訪問(wèn)、傳輸、使用的安全策略制定提供支撐的過(guò)程[8]。主要研究數(shù)據(jù)分級(jí)的方案有基于國(guó)家標(biāo)準(zhǔn)的數(shù)據(jù)分級(jí)方法、基于機(jī)器學(xué)習(xí)的數(shù)據(jù)分級(jí)方法、基于風(fēng)險(xiǎn)評(píng)估的數(shù)據(jù)分級(jí)方法、基于多因素分析的數(shù)據(jù)分級(jí)方法。因教育行業(yè)數(shù)據(jù)量少、數(shù)據(jù)種類單一等特點(diǎn)，相關(guān)部門暫未出臺(tái)相應(yīng)的數(shù)據(jù)分類分級(jí)的標(biāo)準(zhǔn)[9]。

基于機(jī)器學(xué)習(xí)的數(shù)據(jù)分級(jí)方法利用機(jī)器學(xué)習(xí)算法，自動(dòng)化和智能化地對(duì)數(shù)據(jù)進(jìn)行分級(jí)。但大部分高職院校的數(shù)據(jù)量達(dá)不到大數(shù)據(jù)量級(jí)，機(jī)器學(xué)習(xí)的樣本數(shù)據(jù)量不足，參數(shù)難以優(yōu)化。這導(dǎo)致訓(xùn)練結(jié)果可靠性和準(zhǔn)確性不足。

基于風(fēng)險(xiǎn)評(píng)估的數(shù)據(jù)分級(jí)方法。該方法首先對(duì)數(shù)據(jù)的資產(chǎn)進(jìn)行賦值，然后對(duì)所涉及的數(shù)據(jù)面臨的威脅等級(jí)進(jìn)行綜合定級(jí)[10]。參考《風(fēng)險(xiǎn)評(píng)估方法》，數(shù)據(jù)資產(chǎn)識(shí)別是對(duì)數(shù)據(jù)的機(jī)密性、完整性、可用性等安全屬性進(jìn)行賦值，將每個(gè)屬性劃分為五個(gè)等級(jí)[11]。再結(jié)合單位實(shí)際情況，經(jīng)綜合評(píng)定將數(shù)據(jù)資產(chǎn)劃分為五個(gè)等級(jí)。詳見(jiàn)表2。

表2 信息安全風(fēng)險(xiǎn)評(píng)估等級(jí)

高職院校相對(duì)于政府單位、金融、醫(yī)療、本科院校來(lái)說(shuō)，基于風(fēng)險(xiǎn)評(píng)估的數(shù)據(jù)分類分級(jí)方法不完全滿足實(shí)際使用情況。高職院校數(shù)據(jù)的使用范圍相對(duì)較小。校園內(nèi)產(chǎn)生和使用的數(shù)據(jù)，多在校園內(nèi)部流通。對(duì)外的數(shù)據(jù)量有限。若采用風(fēng)險(xiǎn)評(píng)估的方式進(jìn)行數(shù)據(jù)分類分級(jí)，其影響因素和影響范圍等條件很難評(píng)估。

基于多因素分析的數(shù)據(jù)分級(jí)方法綜合考慮數(shù)據(jù)的類型、來(lái)源、使用范圍、重要程度等多個(gè)因素，對(duì)數(shù)據(jù)進(jìn)行分類和分級(jí)，以此來(lái)確定數(shù)據(jù)的安全級(jí)別和保護(hù)措施。該方法綜合考慮數(shù)據(jù)多維度因素，更加準(zhǔn)確地評(píng)估數(shù)據(jù)的安全風(fēng)險(xiǎn)，適用于缺少行業(yè)標(biāo)準(zhǔn)指導(dǎo)的教育行業(yè)。它具有較強(qiáng)的適應(yīng)性和定制性，可以根據(jù)高職院校的具體需求和實(shí)際情況進(jìn)行調(diào)整和優(yōu)化。

高職院校在缺少專業(yè)技術(shù)人才的幫助和缺乏行業(yè)分類分級(jí)標(biāo)準(zhǔn)的前提下，為更加貼合實(shí)際使用，非涉密數(shù)據(jù)最直觀和簡(jiǎn)單的分級(jí)依據(jù)為數(shù)據(jù)是否能被共享，其本質(zhì)因素可以被分解為數(shù)據(jù)的重要性和影響性。共享性低的數(shù)據(jù)可以表明其重要性強(qiáng)和影響性強(qiáng)，不能夠被輕易共享使用。而這里的影響性強(qiáng)的原因是將教師和學(xué)生個(gè)體與學(xué)校整體都簡(jiǎn)單抽象為同一等級(jí)的對(duì)象。在該前提下，個(gè)體的信息和學(xué)校的重要信息在一定程度上的重要性和影響性是一樣的。據(jù)此高職院校的分級(jí)可以結(jié)合風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)共享性將數(shù)據(jù)分成以下4個(gè)級(jí)別。

公開(kāi)級(jí)數(shù)據(jù)：該級(jí)別數(shù)據(jù)共享程度高，在不需要任何特殊權(quán)限的情況下被所有人訪問(wèn)和使用，包括學(xué)校介紹信息、教學(xué)資源信息、學(xué)術(shù)研究信息、公共服務(wù)信息。

內(nèi)部管理數(shù)據(jù)：該級(jí)別數(shù)據(jù)屬于高職院校內(nèi)部使用的數(shù)據(jù)，只能在特定的內(nèi)部權(quán)限范圍內(nèi)被訪問(wèn)和使用，包括人事管理信息、財(cái)務(wù)管理信息、學(xué)生管理信息、教學(xué)管理信息、就業(yè)管理信息、實(shí)訓(xùn)管理信息等。

機(jī)密級(jí)數(shù)據(jù)：該級(jí)別數(shù)據(jù)是高職院校的關(guān)鍵戰(zhàn)略、計(jì)劃、決策等信息，屬于高職院校最重要的數(shù)據(jù)，僅能被學(xué)校高層領(lǐng)導(dǎo)訪問(wèn)。這些數(shù)據(jù)的泄露會(huì)對(duì)學(xué)校的正常運(yùn)營(yíng)和發(fā)展造成影響。

敏感數(shù)據(jù)：該級(jí)別數(shù)據(jù)是指學(xué)生及教職工個(gè)人隱私、學(xué)生健康信息、安全管理信息。這些數(shù)據(jù)泄露會(huì)對(duì)個(gè)人和學(xué)校造成嚴(yán)重影響。在高職院校大部分的信息都是高級(jí)別信息，需要進(jìn)行嚴(yán)格的安全保護(hù)。

在高職院校的數(shù)據(jù)使用方面，應(yīng)遵循從嚴(yán)保護(hù)的原則。在使用的數(shù)據(jù)包含多級(jí)別的數(shù)據(jù)時(shí)，應(yīng)按最高級(jí)別的數(shù)據(jù)使用規(guī)則，目的是絕對(duì)保護(hù)重要性高的數(shù)據(jù)，確保其安全性。

3 結(jié)論

數(shù)據(jù)是信息時(shí)代的重要資產(chǎn)，數(shù)據(jù)安全對(duì)于加強(qiáng)高等職業(yè)教育信息化水平起到支撐作用。做好數(shù)據(jù)分類分級(jí)是高職院校做好數(shù)據(jù)管理的關(guān)鍵一步，也是提高數(shù)據(jù)安全保護(hù)能力的重中之重。文章通過(guò)分析現(xiàn)有的教育行業(yè)信息管理標(biāo)準(zhǔn)，形成詳細(xì)的高職院校數(shù)據(jù)分類目錄。對(duì)比分析多種數(shù)據(jù)分級(jí)方法，探索出一個(gè)適用于高職院校的數(shù)據(jù)分級(jí)思路，彌補(bǔ)在網(wǎng)絡(luò)安全上缺少對(duì)數(shù)據(jù)安全保護(hù)的短板。