鐵路單位采購業務相關數據安全治理探討

董玉樂

（中國鐵路北京局集團有限公司 調度所，北京 100036）

數字化已成為社會經濟發展的新引擎[1]。在5G移動通信技術、云計算、物聯網、大數據、移動互聯、區塊鏈等新興科技的加持下，我國眾多行業均迎來了一場數字化轉型升級的變革。

鐵路企事業單位（簡稱：鐵路單位）的數字化發展對其網絡安全和信息安全提出了更高的要求。遠程辦公、內外業務協同、組織分支互聯等需求的變化，讓組織邊界逐漸泛化，安全防護風險增大。過往粗放型的數據使用和管理體系已很難適應當下的數字化業務系統。如何防護敏感數據泄露，讓數字化建設與網絡安全保障雙強化，成為鐵路單位急需解決的問題[2]。隨著信息安全形勢的變化和發展，數據的重要性逐漸凸顯，相關的法律法規、標準要求、行業指南層出不窮，各監管機構對如何保護組織和個人的敏感數據均提出了對應的監管要求。其對數據保護的要求越來越細化，監管也越來越嚴格且具有強制性[3]。如何對與采購業務相關的數據進行安全治理，從而滿足不同監管機構的數據安全保護要求，是鐵路單位亟待解決的重要問題。

1 數據安全治理必要性

鐵路單位每年都有大量資金用于物資采購，對采購業務相關數據保密也是其采購部門的重點工作之一。采購業務相關數據泄密風險防控工作面臨“點多、面廣、戰線長、參與人員多”的情況，且涉密信息受到投標人及利益相關方的高度關注。鐵路單位的信息安全面臨嚴峻挑戰，僅依靠相關人員安全意識的提升和制度的完善，難以實現對泄密事件的事前預防和事后追溯，必須依靠相應的技術和管理手段，對采購業務領域涉密資料的全過程進行監督和管控，才能有效開展保密工作。管理者亟需通過相關措施建立單位內部整體數據安全治理體系，有效支撐采購業務核心資料的保密工作。

2 數據安全治理探討

相較于傳統的網絡安全建設，數據安全治理對“科學性”“系統性”提出更高要求，由于數據與業務相伴相生，關系密切，所以對鐵路單位采購業務相關數據的安全治理必須采取業務場景與數據流轉深度綁定的措施[4]。通過組織建設、現狀摸底、數據分類分級、風險評估、體系建設、員工培訓等方式科學地進行。

2.1 組織建設

《中華人民共和國數據安全法》和《關鍵信息基礎設施安全保護條例》均要求要有專門的組織和人員負責數據安全治理，并定崗定責。因此，在鐵路單位采購業務相關數據安全治理的過程中，要成立專門的數據安全治理機構或工作小組[5]，制定符合自身的數據安全治理政策，并落實和監督政策的有效執行。

2.2 現狀摸底

需要對數據資產現狀進行清查摸底，即通過多種方式來發現數據所有者、存儲位置、整體業務架構等信息。對鐵路單位進行前期摸底調研的主要內容包括：（1）單位的數據安全治理戰略方針；（2）業務及相應的業務系統情況，業務系統的開放形式、訪問方式、交互方式，業務系統相關數據是否涉及個人隱私信息；（3）業務數據存儲的形式、位置及訪問的方式，數據的重要性、影響范圍和影響程度；（4）現有信息系統建設及數據安全建設情況。還需參考《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律中的相關規定要求，合法合規管控涉密資料的流轉。

2.3 數據分類分級

基于現行行業標準與安全實踐經驗制定合理、有效的數據分類分級規則，對鐵路單位采購業務相關數據資產進行全盤梳理，為實現“核心數據安全優先，其余效率優先”的差異化防護打下基礎。通過訪談、文件審核、查看系統、查看數據庫等方式，梳理現有鐵路單位采購業務相關數據覆蓋的數據范圍及預測未來可能覆蓋的數據范圍，形成數據目錄結構；依據國家相關的法律法規及行業規范，考慮數據對國家安全、社會穩定和公民安全的重要程度，結合以往項目實踐經驗，完成對鐵路單位采購業務相關數據的分類分級指導規范；依據數據分類分級指南，通過分類分級工具，結合人工的方式，對鐵路單位的采購業務相關數據進行標簽管理，明確數據的類別級別；同時隨著政策變化，并基于日常實際運營情況，及時對數據的分類分級指南等進行調整和更新。

2.3.1 結構化數據

通過部署數據庫掃描監控系統，實現對鐵路單位采購業務相關數據的自動發現、分析和梳理，按照內置或自定義策略進行分類分級，確保鐵路單位用戶對大數據平臺內數據資產的可視化管理，為用戶對采購業務相關數據的使用和管理提供依據。同時，通過數據庫掃描監控系統的風險掃描和監控功能，確保提前發現、提前處置數據庫漏洞和不穩定因素，保障數據庫安全穩定運行。

2.3.2 非結構化數據

采用基于語義特征的自然語言處理內容識別技術對鐵路單位采購業務相關數據進行實時、精準分類。該技術通過無監督機器學習引擎分析大量未經標注的原始文檔集，自動按照內容進行主題梳理，并通過人工干預，靈活調整語義相似度，獲得滿意的聚類結果；將聚類結果作為標注樣本，實施有監督機器學習，提取短句或長組合詞作為語義特征，自動生成分類規則庫。在此過程中，用戶亦可人工干預特征選擇，進行漏報及誤報樣本的提取及規則優化，使用反向對照樣本加強訓練，進而提升工作效率及分類準確性。將文本分類規則推送至部署在業務系統中端點、服務器和網絡等處的輕量化分布式分類器，即可實時感知關鍵數據的分布和使用狀況。

2.4 風險評估

完成數據分類分級后，結合《GB/T 37 988-2019信息安全技術數據安全能力成熟度模型》中對數據安全能力成熟度等級及數據生存周期安全過程域劃分的定義，可發現鐵路單位采購業務相關數據全生命周期安全管控能力在技術與管理方面的脆弱性，從而發現自身數據安全問題和短板，明確數據安全保護需求，為數據安全治理的建設指明方向[6]。

2.5 體系建設

為遵循同步規劃、同步建設、同步運行的思想，有序落地數據安全防護措施，鐵路單位需建立采購業務相關數據安全治理體系，本文提出的體系建設包括數據安全制度規范、數據安全技術防護、數據安全運行管理和數據安全監查與應急4個部分。

2.5.1 數據安全制度規范

采購業務數據安全管理制度規范主要包含以下4個方面內容。

（1）保護方針策略。根據鐵路單位采購業務數據安全保護需求，包括數據安全管理相關方的要求，建立采購業務數據安全保護方針策略。

（2）保護目標。根據數據安全保護策略，針對采購申請、采購訂貨、進料檢驗、倉庫收料、供應商、價格及供貨信息等數據，確定每類數據的數據安全保護目標，形成采購業務數據安全保護目標文件。

（3）保護計劃。由數據安全保護責任人對實現數據安全保護目標進行策劃，并依據策劃文件，制定采購業務數據安全保護計劃。

（4）人力資源與保障。確定采購部門為承擔數據安全保護職責的主要部門，采購需求部門和倉庫部門協助落實保護措施，采購業務的數據安全責任人對數據安全負直接責任。

2.5.2 數據安全技術防護

以現有的安全基礎設施、網絡安全等級保護措施為基礎，有針對性地對采購申請、采購訂單、采購審核、采購到貨、采購入庫等采購業務全生命周期數據實行數據加密、數據訪問控制、數據防泄漏、數據脫敏、容災備份等多種數據安全技術措施，與現有安全防護手段相結合，構建全方位的采購業務相關數據防護體系[7-8]。還可結合大數據分析技術，建立采購業務相關數據的安全治理平臺，實現數據安全態勢感知，全面提升數據安全防護能力，筑牢數據安全防線。

以數據泄露防護系統為例。該系統由統一管理平臺和終端組成，采用人工智能引擎，可處理采購業務中的采購訂單數據、采購合同數據、供應商數據及財務數據等，依靠數據識別與內容標記，區分不同類型的數據價值。通過無監督聚類及有監督的機器學習算法，快速、準確地實現不同類型采購合同、采購物料信息數據的梳理和分類。同時，該系統可依靠網絡發送者的IP追溯到風險事件的發起源，審計網絡泄露行為的來源、目的地、傳輸內容、文件等，監控終端部分應用程序后臺違規傳輸數據及采購合同類敏感數據的拷貝、打印、截屏，采購清單類數據的網絡發送、網絡共享、微信發送、QQ發送等行為。

2.5.3 數據安全運營管理

為使采購業務數據安全運行管理得到有效執行和落實，需采取以下3方面的數據安全運行管理措施。

（1）采購數據使用過程管理。采購業務數據的使用是數據全生命周期中最重要的部分，主要分為：外部獲得（如采購發票、合同、稅單、罰單、各類銀行票據、銀行結算單等）；內部自制（如入庫單、送貨單、存貨庫存期報表等）。需對這些環節采取相應的安全管控措施，包括使用授權、自動決策、信息公開和展示等方面。

（2）采購數據委托處理、共享、轉讓管理。對供應商、采購招標書、招標公告等數據委托處理、共享、轉讓的合規性和風險性進行管理，確保共享、轉讓和委托處理時的數據安全。

（3）采購數據第三方應用接入管理。當采購業務系統接入財務系統、資產管理系統或其他第三方產品時，應對接入和涉及的產品和服務進行管理，明確數據讀取權限及內容，確保不因第三方應用的接入而危害采購業務的數據安全。

2.5.4 數據安全監查與應急

鐵路單位需針對數據全生命周期各階段的安全管理情況進行監查，以保證數據安全治理可以有效、持續地產生價值。數據安全監查與應急著重于預警通報、安全監測和綜合評價3個功能。

針對數據安全事件，落實重大事件報告制度和突發數據安全事件應急響應制度，建立健全安全應急預案、應急處置工作指南和處置流程。常態化開展數據安全攻防演練、應急演練，組建專家隊伍和支撐力量，提升全天侯、全場景、常態化、實戰化的網絡安全應急處置水平。

2.6 員工培訓

數據安全治理是一項持續的、需要全員參與、全員維護的工程。因此，為提升采購業務相關崗位工作人員的數據安全意識，每年需要開展不少于20 h的數據安全培訓，對數據安全委員會領導和高層管理人員開展數據安全體系、數據安全方法論等培訓，對采購業務人員及運行維護團隊開展數據安全流程、數據安全運行維護技能、數據安全風險評估等技能培訓。

3 結束語

該數據安全治理解決方案可為鐵路單位采購業務領域保密工作提供強有力的支撐，促進部門整體防護能力和規范管理水平不斷提升，彌補了采購過程中信息防泄密工作的不足之處，實現采購過程信息保密工作全方位管控，強化了采購業務人員的保密意識，保障了采購保密管理的剛性執行，有效杜絕了采購業務信息泄密事件的發生，為鐵路單位提升采購業務保密工作的能力和效率、杜絕信息泄密事件提供參考。