煙草行業數據信息安全保護建設研究

【 摘 要 】 論文從信息安全管理和安全技術角度出發，根據安徽省煙草行業的實際情況，以數據保護目標為驅動，以業務安全評估為方法，對企業數據泄漏的保護建設進行探討。通過對企業信息安全建設的不同發展階段總結，提出從企業“盲目自信”到“卓越運營”的不同過程中，數據保護建設可采取的不同目標和可操作的具體措施。最后，通過案例說明數據保護落實過程的經驗。

【 關鍵詞 】 數據保護；數據安全；數據防泄漏

【 Abstract 】 This article from the information safety management and technical point of view， according to the actual situation of the tobacco industry in Anhui Province， to protect the data target driven， to business safety assessment method of enterprise data leakage protection and construction were discussed. Through different stages of the construction of enterprise information security development summary， proposed from the enterprise "blind faith" to the "operation excellence" of the different processes， data protection and construction can take different goal and the specific measures. Finally， through the case that empirical data protection implementation process.

【 Keywords 】 data protection；data security；data leakage prevention

1 引言

近幾年中國煙草對信息安全的重視程度越來越高，以各類會議的形式多次討論信息安全實施工作，也曾多次下發有關信息安全文件指各省市的信息安全工作，并且近年頻發的各種信息安全事件、數據拖庫、業務數據泄露等不同程度的數據泄露事件再次給各企業敲響警鐘，數據安全已危及到企業的生存發展。企業如何做好數據保護工作成為企業信息安全發展道路上一個尖銳的話題。

對于煙草行業來說，核心數據安全也是安全工作面臨的重要方向，安徽省煙草公司當前的位置處于何處？應如何保護數據安全進行數據安全建設？如何縮小數據安全建設與成熟體系方案的差距？這些問題是安徽省煙草公司在數據保護建設中的重要思考點。

2 企業數據保護目標

安徽省煙草公司進行數據安全建設的前提是，必須明確數據保護的目標。數據保護目標可以從管理角度、技術角度分別識別，同時結合煙草行業不同發展階段的信息安全需求而定。行業應該具有堅定的決心，力爭實現數據保護工作三年內達到行業內中等水平，五年內步入領先行列的建設目標。

經過省公司實際的數據安全防護工作，結合行業特性總結了適合煙草行業的數據安全建設的基本過程與目標：識別開、管理全、防護住、監測出、追蹤到。如圖1所示。

3 行業數據保護建設發展階段定位

在清楚定位煙草行業當前所處的信息安全保障能力成長階段后，就要根據煙草行業當前的實際情況，選擇數據保護建設的最適合途徑。經過省公司近幾年的數據安全建設，現分別從管理和技術兩方面進行數據安全建設討論，通過分析將落實途徑分為盲目自信、認知、改進、卓越運營等階段，同時落實數據保護工作。

3.1 數據安全建設管理層面的落實途徑

盲目自信階段：沒有進行數據安全建設工作。

認知階段：配合技術手段對數據安全建設的基礎工作做好，然后進行數據識別管理。

改進階段：再次進行數據識別管理，同時對防護策略進行完善，對重點工作和重點防護內容進行安全檢測。

卓越運營階段：在數據已經識別的基礎上，深入各項數據安全管理工作。

3.2 技術方面的落實途徑

盲目自信階段：對基礎的邊界安全防護已經進行了初步的安全防護，并且已經對內網區域進行了重點區域重點防護，區域隔離的安全措施。

認知階段：了解數據安全工作重要性，通過深化安全體系策略，加強訪問控制策略等技術手段對數據安全進行安全加固，并且通過終端防護（DLP）、加密存儲等技術手段對數據進行安全防護。

改進階段：不斷完善上述基本安全防范措施，引入專業的數據加密存儲系統和部署全局的數據模糊化處理系統，實現由基本數據保護轉向專業數據保護的里程碑。

卓越運營階段：完善基本安全防范措施，繼續深化專業數據保護，采用數據水印、數據干擾碼等前沿技術落實技術目標。

4 數據保護建設的資源條件和差距規劃

對于煙草行業來說，各個省公司決心進行數據保護建設，在樹立明確的目標、清楚的定位了落實途徑后，還需要了解當前自身具備的條件和樹立目標與當前的差距在哪里。

4.1 當前具備的資源條件

對于其他行業的企業中，在企業的網絡安全與信息安全建設中，都會采用一些傳統的安全防護措施。而在根據煙草行業的實際情況，數據保護建設依然要從這些基礎措施做起，充分利用這些現有的安全防護措施，最大化的減少成本的投入，才是最佳的建設思路。

4.2 當前條件與目標的差距規劃

數據安全建設工作是一個長期的安全防護過程，不是一蹴而就的短暫工作。因此，安徽省公司必須制定切實可行的行動規劃，按照管理和技術兩方面的落實途徑，逐步開展。

5 數據保護建設方法實踐

面對嚴峻的數據庫安全挑戰，以及法規遵從的要求，安徽省煙草公司迫切需要能夠切實解決上述難題的數據安全解決方案。此方案具備幾個特點。

（1）審計與定位。即數據庫訪問行為需全面的審計與記錄，審計日志的要素要盡量全面而詳細、兼容各種數據庫訪問協議、支持三層數據庫部署環境中的各種中間件，方便管理員全面掌握數據庫訪問情況，并且能夠準確地進行參數關聯、能夠準確地把后端數據庫的SQL操作與前端Web應用的用戶進行關聯，便于管理員對所有的數據庫訪問進行精準定位、責任到人。

（2）分析與告警。此方案應具備高效分析的特點，即在海量日志中能夠快速檢索，幫助管理員快速檢索、聚焦到關鍵的訪問日志上并且進行數據庫訪問審計的同時，能夠有效識別針對數據庫漏洞的各種攻擊行為、有效區分SQL注入與正常的訪問，全面降低數據庫安全風險。

因此數據安全防護建設方法從幾個方面進行實踐與建設。

（1）數據的分級分類。

首先，需要對現有系統內數據信息進行分級分類，明確要保護的數據對象，并非所有的數據都是要保護的。數據的分級分類可以結合自身業務從“數據價值”和“敏感程度”兩個角度思考。

（2）數據生命周期的流程梳理。

通過分析數據生命周期的各流程數據操作交互活動和數據存在狀態，能夠更準確的識別數據的每個細節。如圖2所示。

（3）數據泄露的風險評估。再次，在清楚數據的每個細節后，既要對每個流程活動進行數據泄露的風險評估工作。通過評估的方法能夠更全面、客觀、準確的找到風險點，為提出解決方案奠定理論基礎。

6 結束語

煙草行業的數據保護建設需要經過詳細的分析，然后循序漸進的開展，通過本文對數據安全防護工作的分析與實踐，從建設理論到實踐過程為煙草行業的數據保護工作提供了參考，希望各個省煙草公司根據自身業務特點與安全防護現狀加強數據安全防護建設工作。

參考文獻

[1] [英]維克托·邁爾-舍恩伯格.大數據時代[M].浙江：浙江人民出版社，2013.01.

[2] 張尼，胡坤.大數據安全技術與應用[M].北京：人民郵電出版社，2014.5.

[3] 涂子沛.大數據[M].廣西：廣西師范大學出版社，2012.07.

作者簡介：

辛友順（1971-），男，安徽合肥人，畢業于合肥工業大學，工學碩士；主要研究方向和關注領域：信息化、網絡安全。