【 摘 要 】 論文從信息安全管理和安全技術(shù)角度出發(fā)，根據(jù)安徽省煙草行業(yè)的實(shí)際情況，以數(shù)據(jù)保護(hù)目標(biāo)為驅(qū)動(dòng)，以業(yè)務(wù)安全評(píng)估為方法，對(duì)企業(yè)數(shù)據(jù)泄漏的保護(hù)建設(shè)進(jìn)行探討。通過對(duì)企業(yè)信息安全建設(shè)的不同發(fā)展階段總結(jié)，提出從企業(yè)“盲目自信”到“卓越運(yùn)營”的不同過程中，數(shù)據(jù)保護(hù)建設(shè)可采取的不同目標(biāo)和可操作的具體措施。最后，通過案例說明數(shù)據(jù)保護(hù)落實(shí)過程的經(jīng)驗(yàn)。

【 關(guān)鍵詞 】 數(shù)據(jù)保護(hù)；數(shù)據(jù)安全；數(shù)據(jù)防泄漏

【 Abstract 】 This article from the information safety management and technical point of view， according to the actual situation of the tobacco industry in Anhui Province， to protect the data target driven， to business safety assessment method of enterprise data leakage protection and construction were discussed. Through different stages of the construction of enterprise information security development summary， proposed from the enterprise "blind faith" to the "operation excellence" of the different processes， data protection and construction can take different goal and the specific measures. Finally， through the case that empirical data protection implementation process.

【 Keywords 】 data protection；data security；data leakage prevention

1 引言

近幾年中國煙草對(duì)信息安全的重視程度越來越高，以各類會(huì)議的形式多次討論信息安全實(shí)施工作，也曾多次下發(fā)有關(guān)信息安全文件指各省市的信息安全工作，并且近年頻發(fā)的各種信息安全事件、數(shù)據(jù)拖庫、業(yè)務(wù)數(shù)據(jù)泄露等不同程度的數(shù)據(jù)泄露事件再次給各企業(yè)敲響警鐘，數(shù)據(jù)安全已危及到企業(yè)的生存發(fā)展。企業(yè)如何做好數(shù)據(jù)保護(hù)工作成為企業(yè)信息安全發(fā)展道路上一個(gè)尖銳的話題。

對(duì)于煙草行業(yè)來說，核心數(shù)據(jù)安全也是安全工作面臨的重要方向，安徽省煙草公司當(dāng)前的位置處于何處？應(yīng)如何保護(hù)數(shù)據(jù)安全進(jìn)行數(shù)據(jù)安全建設(shè)？如何縮小數(shù)據(jù)安全建設(shè)與成熟體系方案的差距？這些問題是安徽省煙草公司在數(shù)據(jù)保護(hù)建設(shè)中的重要思考點(diǎn)。

2 企業(yè)數(shù)據(jù)保護(hù)目標(biāo)

安徽省煙草公司進(jìn)行數(shù)據(jù)安全建設(shè)的前提是，必須明確數(shù)據(jù)保護(hù)的目標(biāo)。數(shù)據(jù)保護(hù)目標(biāo)可以從管理角度、技術(shù)角度分別識(shí)別，同時(shí)結(jié)合煙草行業(yè)不同發(fā)展階段的信息安全需求而定。行業(yè)應(yīng)該具有堅(jiān)定的決心，力爭(zhēng)實(shí)現(xiàn)數(shù)據(jù)保護(hù)工作三年內(nèi)達(dá)到行業(yè)內(nèi)中等水平，五年內(nèi)步入領(lǐng)先行列的建設(shè)目標(biāo)。

經(jīng)過省公司實(shí)際的數(shù)據(jù)安全防護(hù)工作，結(jié)合行業(yè)特性總結(jié)了適合煙草行業(yè)的數(shù)據(jù)安全建設(shè)的基本過程與目標(biāo)：識(shí)別開、管理全、防護(hù)住、監(jiān)測(cè)出、追蹤到。如圖1所示。

3 行業(yè)數(shù)據(jù)保護(hù)建設(shè)發(fā)展階段定位

在清楚定位煙草行業(yè)當(dāng)前所處的信息安全保障能力成長(zhǎng)階段后，就要根據(jù)煙草行業(yè)當(dāng)前的實(shí)際情況，選擇數(shù)據(jù)保護(hù)建設(shè)的最適合途徑。經(jīng)過省公司近幾年的數(shù)據(jù)安全建設(shè)，現(xiàn)分別從管理和技術(shù)兩方面進(jìn)行數(shù)據(jù)安全建設(shè)討論，通過分析將落實(shí)途徑分為盲目自信、認(rèn)知、改進(jìn)、卓越運(yùn)營等階段，同時(shí)落實(shí)數(shù)據(jù)保護(hù)工作。

3.1 數(shù)據(jù)安全建設(shè)管理層面的落實(shí)途徑

盲目自信階段：沒有進(jìn)行數(shù)據(jù)安全建設(shè)工作。

認(rèn)知階段：配合技術(shù)手段對(duì)數(shù)據(jù)安全建設(shè)的基礎(chǔ)工作做好，然后進(jìn)行數(shù)據(jù)識(shí)別管理。

改進(jìn)階段：再次進(jìn)行數(shù)據(jù)識(shí)別管理，同時(shí)對(duì)防護(hù)策略進(jìn)行完善，對(duì)重點(diǎn)工作和重點(diǎn)防護(hù)內(nèi)容進(jìn)行安全檢測(cè)。

卓越運(yùn)營階段：在數(shù)據(jù)已經(jīng)識(shí)別的基礎(chǔ)上，深入各項(xiàng)數(shù)據(jù)安全管理工作。

3.2 技術(shù)方面的落實(shí)途徑

盲目自信階段：對(duì)基礎(chǔ)的邊界安全防護(hù)已經(jīng)進(jìn)行了初步的安全防護(hù)，并且已經(jīng)對(duì)內(nèi)網(wǎng)區(qū)域進(jìn)行了重點(diǎn)區(qū)域重點(diǎn)防護(hù)，區(qū)域隔離的安全措施。

認(rèn)知階段：了解數(shù)據(jù)安全工作重要性，通過深化安全體系策略，加強(qiáng)訪問控制策略等技術(shù)手段對(duì)數(shù)據(jù)安全進(jìn)行安全加固，并且通過終端防護(hù)（DLP）、加密存儲(chǔ)等技術(shù)手段對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)。

改進(jìn)階段：不斷完善上述基本安全防范措施，引入專業(yè)的數(shù)據(jù)加密存儲(chǔ)系統(tǒng)和部署全局的數(shù)據(jù)模糊化處理系統(tǒng)，實(shí)現(xiàn)由基本數(shù)據(jù)保護(hù)轉(zhuǎn)向?qū)I(yè)數(shù)據(jù)保護(hù)的里程碑。

卓越運(yùn)營階段：完善基本安全防范措施，繼續(xù)深化專業(yè)數(shù)據(jù)保護(hù)，采用數(shù)據(jù)水印、數(shù)據(jù)干擾碼等前沿技術(shù)落實(shí)技術(shù)目標(biāo)。

4 數(shù)據(jù)保護(hù)建設(shè)的資源條件和差距規(guī)劃

對(duì)于煙草行業(yè)來說，各個(gè)省公司決心進(jìn)行數(shù)據(jù)保護(hù)建設(shè)，在樹立明確的目標(biāo)、清楚的定位了落實(shí)途徑后，還需要了解當(dāng)前自身具備的條件和樹立目標(biāo)與當(dāng)前的差距在哪里。

4.1 當(dāng)前具備的資源條件

對(duì)于其他行業(yè)的企業(yè)中，在企業(yè)的網(wǎng)絡(luò)安全與信息安全建設(shè)中，都會(huì)采用一些傳統(tǒng)的安全防護(hù)措施。而在根據(jù)煙草行業(yè)的實(shí)際情況，數(shù)據(jù)保護(hù)建設(shè)依然要從這些基礎(chǔ)措施做起，充分利用這些現(xiàn)有的安全防護(hù)措施，最大化的減少成本的投入，才是最佳的建設(shè)思路。

4.2 當(dāng)前條件與目標(biāo)的差距規(guī)劃

數(shù)據(jù)安全建設(shè)工作是一個(gè)長(zhǎng)期的安全防護(hù)過程，不是一蹴而就的短暫工作。因此，安徽省公司必須制定切實(shí)可行的行動(dòng)規(guī)劃，按照管理和技術(shù)兩方面的落實(shí)途徑，逐步開展。

5 數(shù)據(jù)保護(hù)建設(shè)方法實(shí)踐

面對(duì)嚴(yán)峻的數(shù)據(jù)庫安全挑戰(zhàn)，以及法規(guī)遵從的要求，安徽省煙草公司迫切需要能夠切實(shí)解決上述難題的數(shù)據(jù)安全解決方案。此方案具備幾個(gè)特點(diǎn)。

（1）審計(jì)與定位。即數(shù)據(jù)庫訪問行為需全面的審計(jì)與記錄，審計(jì)日志的要素要盡量全面而詳細(xì)、兼容各種數(shù)據(jù)庫訪問協(xié)議、支持三層數(shù)據(jù)庫部署環(huán)境中的各種中間件，方便管理員全面掌握數(shù)據(jù)庫訪問情況，并且能夠準(zhǔn)確地進(jìn)行參數(shù)關(guān)聯(lián)、能夠準(zhǔn)確地把后端數(shù)據(jù)庫的SQL操作與前端Web應(yīng)用的用戶進(jìn)行關(guān)聯(lián)，便于管理員對(duì)所有的數(shù)據(jù)庫訪問進(jìn)行精準(zhǔn)定位、責(zé)任到人。

（2）分析與告警。此方案應(yīng)具備高效分析的特點(diǎn)，即在海量日志中能夠快速檢索，幫助管理員快速檢索、聚焦到關(guān)鍵的訪問日志上并且進(jìn)行數(shù)據(jù)庫訪問審計(jì)的同時(shí)，能夠有效識(shí)別針對(duì)數(shù)據(jù)庫漏洞的各種攻擊行為、有效區(qū)分SQL注入與正常的訪問，全面降低數(shù)據(jù)庫安全風(fēng)險(xiǎn)。

因此數(shù)據(jù)安全防護(hù)建設(shè)方法從幾個(gè)方面進(jìn)行實(shí)踐與建設(shè)。

（1）數(shù)據(jù)的分級(jí)分類。

首先，需要對(duì)現(xiàn)有系統(tǒng)內(nèi)數(shù)據(jù)信息進(jìn)行分級(jí)分類，明確要保護(hù)的數(shù)據(jù)對(duì)象，并非所有的數(shù)據(jù)都是要保護(hù)的。數(shù)據(jù)的分級(jí)分類可以結(jié)合自身業(yè)務(wù)從“數(shù)據(jù)價(jià)值”和“敏感程度”兩個(gè)角度思考。

（2）數(shù)據(jù)生命周期的流程梳理。

通過分析數(shù)據(jù)生命周期的各流程數(shù)據(jù)操作交互活動(dòng)和數(shù)據(jù)存在狀態(tài)，能夠更準(zhǔn)確的識(shí)別數(shù)據(jù)的每個(gè)細(xì)節(jié)。如圖2所示。

（3）數(shù)據(jù)泄露的風(fēng)險(xiǎn)評(píng)估。再次，在清楚數(shù)據(jù)的每個(gè)細(xì)節(jié)后，既要對(duì)每個(gè)流程活動(dòng)進(jìn)行數(shù)據(jù)泄露的風(fēng)險(xiǎn)評(píng)估工作。通過評(píng)估的方法能夠更全面、客觀、準(zhǔn)確的找到風(fēng)險(xiǎn)點(diǎn)，為提出解決方案奠定理論基礎(chǔ)。

6 結(jié)束語

煙草行業(yè)的數(shù)據(jù)保護(hù)建設(shè)需要經(jīng)過詳細(xì)的分析，然后循序漸進(jìn)的開展，通過本文對(duì)數(shù)據(jù)安全防護(hù)工作的分析與實(shí)踐，從建設(shè)理論到實(shí)踐過程為煙草行業(yè)的數(shù)據(jù)保護(hù)工作提供了參考，希望各個(gè)省煙草公司根據(jù)自身業(yè)務(wù)特點(diǎn)與安全防護(hù)現(xiàn)狀加強(qiáng)數(shù)據(jù)安全防護(hù)建設(shè)工作。

參考文獻(xiàn)

[1] [英]維克托·邁爾-舍恩伯格.大數(shù)據(jù)時(shí)代[M].浙江：浙江人民出版社，2013.01.

[2] 張尼，胡坤.大數(shù)據(jù)安全技術(shù)與應(yīng)用[M].北京：人民郵電出版社，2014.5.

[3] 涂子沛.大數(shù)據(jù)[M].廣西：廣西師范大學(xué)出版社，2012.07.

作者簡(jiǎn)介：

辛友順（1971-），男，安徽合肥人，畢業(yè)于合肥工業(yè)大學(xué)，工學(xué)碩士；主要研究方向和關(guān)注領(lǐng)域：信息化、網(wǎng)絡(luò)安全。