高职院校的数据分类分级方法探索

廉康，刘力铭，罗伟雄，刘岚，郭柏乔

广州城市职业学院，广东广州，510405

0 引言

随着国家信息化建设程度加深，数据已经成为各行各业的重要资产，是推动行业业务发展的重要原生动力[1]。2021年3月，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布，提出保障国家数据安全，加强个人信息保护，全面加强网络安全保障体系和能力建设；2021年9月实施的《中华人民共和国数据安全法》明确指出，要规范数据处理活动，保障数据安全，促进数据开发利用。由此可见数据的有效治理已成为加强数据安全的重要保障措施[2]，而数据分类分级是有效的治理手段之一，也是至关重要的一个阶段。

1 数据管理是前提

数据分类分级在各个行业都已经开始普及应用。在政府单位中，需要处理大量的敏感信息，这些信息的安全对于国家的安全及稳定有着至关重要的作用，通过数据分类分级，可以针对不同的数据采取不同的保护措施，在保障政府数据安全的基础上，有所依据地开放政府数据[3]。在金融行业中，数据分类分级是保护敏感数据和管理风险的重要手段。对数据实施分类分级能够更加明确保护对象，有助于金融业机构合理分配数据保护资源和成本，是金融业机构建立完善的金融数据生命周期保护框架的基础，也是有的放矢地实施数据安全管理的前提条件[4]。

对高职院校来说，应教育部印发的《教育信息化2.0行动计划》通知的要求，各学校信息化建设也在紧锣密鼓地开展。但也带来很多问题，其中数据管理问题尤为突出。一是信息“孤岛”情况严重，各类应用系统越来越多，数据也越来越庞大。但这些数据大多存储在各自的应用系统中，造成同一数据出现多个数据名称的情况，即使数据互联互通后，数据也无法做到快速同步。当需要数据时，协调多个业务部门也无法给出准确数据。二是数据管理架构缺失，虽然高职院校加大信息化建设力度，可人员信息化素养缺失，缺少数据监督组织的意识，致使高职院校系统结构愈加复杂，但数据管理越来越混乱。三是数据分析能力弱[5]。数据主要是由结构化数据和非结构化数据组成[6]。而结构化数据对各业务部门工作随着信息化的发展影响越来越大。而高职院校的结构化数据管理能力弱，导致有大量数据在手，却无法提供准确的数据分析。因为管理混乱，导致数据无法精准保护。因此数据管理和数据治理是高职院校数据安全工作的重中之重。

2 数据分类分级

2.1 数据分类

因目前没有针对高职院校进行数据分类分级的方法指南。本文结合中华人民共和国教育行业标准《教育管理信息 高等学校管理信息》[7]中的数据类型和高职院校现有的业务数据类型，形成数据分类列表。详见图1，从纵向架构来看，高职院校数据分类首先可以分为学生数据集、教师数据集、管理数据集。

图1 高职院校的数据架构

这三个数据集向下可以分离出11个数据子集。详见图2，数据子集划分相应的数据类，通过划分多级的子数据类进行数据的分类。

图2 数据类别划分流程

结合实际高职院校的数据使用情况，形成详细的数据分类目录，详见表1。

表1 数据类别目录

2.2 数据分级

数据分级是按照预设的分级原则对已分类好的数据进行定级，从而为数据访问、传输、使用的安全策略制定提供支撑的过程[8]。主要研究数据分级的方案有基于国家标准的数据分级方法、基于机器学习的数据分级方法、基于风险评估的数据分级方法、基于多因素分析的数据分级方法。因教育行业数据量少、数据种类单一等特点，相关部门暂未出台相应的数据分类分级的标准[9]。

基于机器学习的数据分级方法利用机器学习算法，自动化和智能化地对数据进行分级。但大部分高职院校的数据量达不到大数据量级，机器学习的样本数据量不足，参数难以优化。这导致训练结果可靠性和准确性不足。

基于风险评估的数据分级方法。该方法首先对数据的资产进行赋值，然后对所涉及的数据面临的威胁等级进行综合定级[10]。参考《风险评估方法》，数据资产识别是对数据的机密性、完整性、可用性等安全属性进行赋值，将每个属性划分为五个等级[11]。再结合单位实际情况，经综合评定将数据资产划分为五个等级。详见表2。

表2 信息安全风险评估等级

高职院校相对于政府单位、金融、医疗、本科院校来说，基于风险评估的数据分类分级方法不完全满足实际使用情况。高职院校数据的使用范围相对较小。校园内产生和使用的数据，多在校园内部流通。对外的数据量有限。若采用风险评估的方式进行数据分类分级，其影响因素和影响范围等条件很难评估。

基于多因素分析的数据分级方法综合考虑数据的类型、来源、使用范围、重要程度等多个因素，对数据进行分类和分级，以此来确定数据的安全级别和保护措施。该方法综合考虑数据多维度因素，更加准确地评估数据的安全风险，适用于缺少行业标准指导的教育行业。它具有较强的适应性和定制性，可以根据高职院校的具体需求和实际情况进行调整和优化。

高职院校在缺少专业技术人才的帮助和缺乏行业分类分级标准的前提下，为更加贴合实际使用，非涉密数据最直观和简单的分级依据为数据是否能被共享，其本质因素可以被分解为数据的重要性和影响性。共享性低的数据可以表明其重要性强和影响性强，不能够被轻易共享使用。而这里的影响性强的原因是将教师和学生个体与学校整体都简单抽象为同一等级的对象。在该前提下，个体的信息和学校的重要信息在一定程度上的重要性和影响性是一样的。据此高职院校的分级可以结合风险评估和数据共享性将数据分成以下4个级别。

公开级数据：该级别数据共享程度高，在不需要任何特殊权限的情况下被所有人访问和使用，包括学校介绍信息、教学资源信息、学术研究信息、公共服务信息。

内部管理数据：该级别数据属于高职院校内部使用的数据，只能在特定的内部权限范围内被访问和使用，包括人事管理信息、财务管理信息、学生管理信息、教学管理信息、就业管理信息、实训管理信息等。

机密级数据：该级别数据是高职院校的关键战略、计划、决策等信息，属于高职院校最重要的数据，仅能被学校高层领导访问。这些数据的泄露会对学校的正常运营和发展造成影响。

敏感数据：该级别数据是指学生及教职工个人隐私、学生健康信息、安全管理信息。这些数据泄露会对个人和学校造成严重影响。在高职院校大部分的信息都是高级别信息，需要进行严格的安全保护。

在高职院校的数据使用方面，应遵循从严保护的原则。在使用的数据包含多级别的数据时，应按最高级别的数据使用规则，目的是绝对保护重要性高的数据，确保其安全性。

3 结论

数据是信息时代的重要资产，数据安全对于加强高等职业教育信息化水平起到支撑作用。做好数据分类分级是高职院校做好数据管理的关键一步，也是提高数据安全保护能力的重中之重。文章通过分析现有的教育行业信息管理标准，形成详细的高职院校数据分类目录。对比分析多种数据分级方法，探索出一个适用于高职院校的数据分级思路，弥补在网络安全上缺少对数据安全保护的短板。