煙草行業(yè)數(shù)據(jù)信息安全保護建設(shè)研究

【 摘 要 】 論文從信息安全管理和安全技術(shù)角度出發(fā)，根據(jù)安徽省煙草行業(yè)的實際情況，以數(shù)據(jù)保護目標為驅(qū)動，以業(yè)務(wù)安全評估為方法，對企業(yè)數(shù)據(jù)泄漏的保護建設(shè)進行探討。通過對企業(yè)信息安全建設(shè)的不同發(fā)展階段總結(jié)，提出從企業(yè)“盲目自信”到“卓越運營”的不同過程中，數(shù)據(jù)保護建設(shè)可采取的不同目標和可操作的具體措施。最后，通過案例說明數(shù)據(jù)保護落實過程的經(jīng)驗。

【 關(guān)鍵詞 】 數(shù)據(jù)保護；數(shù)據(jù)安全；數(shù)據(jù)防泄漏

【 Abstract 】 This article from the information safety management and technical point of view， according to the actual situation of the tobacco industry in Anhui Province， to protect the data target driven， to business safety assessment method of enterprise data leakage protection and construction were discussed. Through different stages of the construction of enterprise information security development summary， proposed from the enterprise "blind faith" to the "operation excellence" of the different processes， data protection and construction can take different goal and the specific measures. Finally， through the case that empirical data protection implementation process.

【 Keywords 】 data protection；data security；data leakage prevention

1 引言

近幾年中國煙草對信息安全的重視程度越來越高，以各類會議的形式多次討論信息安全實施工作，也曾多次下發(fā)有關(guān)信息安全文件指各省市的信息安全工作，并且近年頻發(fā)的各種信息安全事件、數(shù)據(jù)拖庫、業(yè)務(wù)數(shù)據(jù)泄露等不同程度的數(shù)據(jù)泄露事件再次給各企業(yè)敲響警鐘，數(shù)據(jù)安全已危及到企業(yè)的生存發(fā)展。企業(yè)如何做好數(shù)據(jù)保護工作成為企業(yè)信息安全發(fā)展道路上一個尖銳的話題。

對于煙草行業(yè)來說，核心數(shù)據(jù)安全也是安全工作面臨的重要方向，安徽省煙草公司當前的位置處于何處？應(yīng)如何保護數(shù)據(jù)安全進行數(shù)據(jù)安全建設(shè)？如何縮小數(shù)據(jù)安全建設(shè)與成熟體系方案的差距？這些問題是安徽省煙草公司在數(shù)據(jù)保護建設(shè)中的重要思考點。

2 企業(yè)數(shù)據(jù)保護目標

安徽省煙草公司進行數(shù)據(jù)安全建設(shè)的前提是，必須明確數(shù)據(jù)保護的目標。數(shù)據(jù)保護目標可以從管理角度、技術(shù)角度分別識別，同時結(jié)合煙草行業(yè)不同發(fā)展階段的信息安全需求而定。行業(yè)應(yīng)該具有堅定的決心，力爭實現(xiàn)數(shù)據(jù)保護工作三年內(nèi)達到行業(yè)內(nèi)中等水平，五年內(nèi)步入領(lǐng)先行列的建設(shè)目標。

經(jīng)過省公司實際的數(shù)據(jù)安全防護工作，結(jié)合行業(yè)特性總結(jié)了適合煙草行業(yè)的數(shù)據(jù)安全建設(shè)的基本過程與目標：識別開、管理全、防護住、監(jiān)測出、追蹤到。如圖1所示。

3 行業(yè)數(shù)據(jù)保護建設(shè)發(fā)展階段定位

在清楚定位煙草行業(yè)當前所處的信息安全保障能力成長階段后，就要根據(jù)煙草行業(yè)當前的實際情況，選擇數(shù)據(jù)保護建設(shè)的最適合途徑。經(jīng)過省公司近幾年的數(shù)據(jù)安全建設(shè)，現(xiàn)分別從管理和技術(shù)兩方面進行數(shù)據(jù)安全建設(shè)討論，通過分析將落實途徑分為盲目自信、認知、改進、卓越運營等階段，同時落實數(shù)據(jù)保護工作。

3.1 數(shù)據(jù)安全建設(shè)管理層面的落實途徑

盲目自信階段：沒有進行數(shù)據(jù)安全建設(shè)工作。

認知階段：配合技術(shù)手段對數(shù)據(jù)安全建設(shè)的基礎(chǔ)工作做好，然后進行數(shù)據(jù)識別管理。

改進階段：再次進行數(shù)據(jù)識別管理，同時對防護策略進行完善，對重點工作和重點防護內(nèi)容進行安全檢測。

卓越運營階段：在數(shù)據(jù)已經(jīng)識別的基礎(chǔ)上，深入各項數(shù)據(jù)安全管理工作。

3.2 技術(shù)方面的落實途徑

盲目自信階段：對基礎(chǔ)的邊界安全防護已經(jīng)進行了初步的安全防護，并且已經(jīng)對內(nèi)網(wǎng)區(qū)域進行了重點區(qū)域重點防護，區(qū)域隔離的安全措施。

認知階段：了解數(shù)據(jù)安全工作重要性，通過深化安全體系策略，加強訪問控制策略等技術(shù)手段對數(shù)據(jù)安全進行安全加固，并且通過終端防護（DLP）、加密存儲等技術(shù)手段對數(shù)據(jù)進行安全防護。

改進階段：不斷完善上述基本安全防范措施，引入專業(yè)的數(shù)據(jù)加密存儲系統(tǒng)和部署全局的數(shù)據(jù)模糊化處理系統(tǒng)，實現(xiàn)由基本數(shù)據(jù)保護轉(zhuǎn)向?qū)I(yè)數(shù)據(jù)保護的里程碑。

卓越運營階段：完善基本安全防范措施，繼續(xù)深化專業(yè)數(shù)據(jù)保護，采用數(shù)據(jù)水印、數(shù)據(jù)干擾碼等前沿技術(shù)落實技術(shù)目標。

4 數(shù)據(jù)保護建設(shè)的資源條件和差距規(guī)劃

對于煙草行業(yè)來說，各個省公司決心進行數(shù)據(jù)保護建設(shè)，在樹立明確的目標、清楚的定位了落實途徑后，還需要了解當前自身具備的條件和樹立目標與當前的差距在哪里。

4.1 當前具備的資源條件

對于其他行業(yè)的企業(yè)中，在企業(yè)的網(wǎng)絡(luò)安全與信息安全建設(shè)中，都會采用一些傳統(tǒng)的安全防護措施。而在根據(jù)煙草行業(yè)的實際情況，數(shù)據(jù)保護建設(shè)依然要從這些基礎(chǔ)措施做起，充分利用這些現(xiàn)有的安全防護措施，最大化的減少成本的投入，才是最佳的建設(shè)思路。

4.2 當前條件與目標的差距規(guī)劃

數(shù)據(jù)安全建設(shè)工作是一個長期的安全防護過程，不是一蹴而就的短暫工作。因此，安徽省公司必須制定切實可行的行動規(guī)劃，按照管理和技術(shù)兩方面的落實途徑，逐步開展。

5 數(shù)據(jù)保護建設(shè)方法實踐

面對嚴峻的數(shù)據(jù)庫安全挑戰(zhàn)，以及法規(guī)遵從的要求，安徽省煙草公司迫切需要能夠切實解決上述難題的數(shù)據(jù)安全解決方案。此方案具備幾個特點。

（1）審計與定位。即數(shù)據(jù)庫訪問行為需全面的審計與記錄，審計日志的要素要盡量全面而詳細、兼容各種數(shù)據(jù)庫訪問協(xié)議、支持三層數(shù)據(jù)庫部署環(huán)境中的各種中間件，方便管理員全面掌握數(shù)據(jù)庫訪問情況，并且能夠準確地進行參數(shù)關(guān)聯(lián)、能夠準確地把后端數(shù)據(jù)庫的SQL操作與前端Web應(yīng)用的用戶進行關(guān)聯(lián)，便于管理員對所有的數(shù)據(jù)庫訪問進行精準定位、責任到人。

（2）分析與告警。此方案應(yīng)具備高效分析的特點，即在海量日志中能夠快速檢索，幫助管理員快速檢索、聚焦到關(guān)鍵的訪問日志上并且進行數(shù)據(jù)庫訪問審計的同時，能夠有效識別針對數(shù)據(jù)庫漏洞的各種攻擊行為、有效區(qū)分SQL注入與正常的訪問，全面降低數(shù)據(jù)庫安全風(fēng)險。

因此數(shù)據(jù)安全防護建設(shè)方法從幾個方面進行實踐與建設(shè)。

（1）數(shù)據(jù)的分級分類。

首先，需要對現(xiàn)有系統(tǒng)內(nèi)數(shù)據(jù)信息進行分級分類，明確要保護的數(shù)據(jù)對象，并非所有的數(shù)據(jù)都是要保護的。數(shù)據(jù)的分級分類可以結(jié)合自身業(yè)務(wù)從“數(shù)據(jù)價值”和“敏感程度”兩個角度思考。

（2）數(shù)據(jù)生命周期的流程梳理。

通過分析數(shù)據(jù)生命周期的各流程數(shù)據(jù)操作交互活動和數(shù)據(jù)存在狀態(tài)，能夠更準確的識別數(shù)據(jù)的每個細節(jié)。如圖2所示。

（3）數(shù)據(jù)泄露的風(fēng)險評估。再次，在清楚數(shù)據(jù)的每個細節(jié)后，既要對每個流程活動進行數(shù)據(jù)泄露的風(fēng)險評估工作。通過評估的方法能夠更全面、客觀、準確的找到風(fēng)險點，為提出解決方案奠定理論基礎(chǔ)。

6 結(jié)束語

煙草行業(yè)的數(shù)據(jù)保護建設(shè)需要經(jīng)過詳細的分析，然后循序漸進的開展，通過本文對數(shù)據(jù)安全防護工作的分析與實踐，從建設(shè)理論到實踐過程為煙草行業(yè)的數(shù)據(jù)保護工作提供了參考，希望各個省煙草公司根據(jù)自身業(yè)務(wù)特點與安全防護現(xiàn)狀加強數(shù)據(jù)安全防護建設(shè)工作。

參考文獻

[1] [英]維克托·邁爾-舍恩伯格.大數(shù)據(jù)時代[M].浙江：浙江人民出版社，2013.01.

[2] 張尼，胡坤.大數(shù)據(jù)安全技術(shù)與應(yīng)用[M].北京：人民郵電出版社，2014.5.

[3] 涂子沛.大數(shù)據(jù)[M].廣西：廣西師范大學(xué)出版社，2012.07.

作者簡介：

辛友順（1971-），男，安徽合肥人，畢業(yè)于合肥工業(yè)大學(xué)，工學(xué)碩士；主要研究方向和關(guān)注領(lǐng)域：信息化、網(wǎng)絡(luò)安全。