建設領域從業人員檔案數據安全管理研究

摘要：伴隨管理信息化和大數據在各行業的應用和快速發展，建設行業從業人員檔案數據管理也由信息時代向數據時代轉變。數據來源于多方面，且呈爆炸式增長。對數據安全管理是針對數據全流程的管理，包含數據采集、存儲、使用、加工、傳輸、查詢、公開等。建設領域從業人員檔案數據具有開放性，才能為行業數據應用和數據分析拓路賦能。同時，從業人員檔案數據又具有私密性，對數據泄露和敏感信息竊取等安全保護提出了更大的挑戰。因此，確保建設領域從業人員檔案數據安全管理，對于大數據背景下推動建設行業信息化發展、智能建造、智慧城市、智慧工地等的發展和信息安全都具有重要意義。

關鍵詞：大數據；數據安全；電子檔案

引言

建設行業信息管理系統的快速發展和互聯網、大數據的廣泛應用，使相關數據的安全性變得越來越重要，各個業務系統數據安全已經成為主管部門關注的熱點。從業人員檔案數據是關聯所有業務系統的主線，包含在培訓考核、證書使用、工作經歷、工資發放、安全生產等各個環節中。所以，人員檔案數據既具有保密性，又具有開放性。作為保密性要求，須確保檔案數據不被泄露，不被盜用；作為開放性要求，須確保檔案數據可供各業務系統查詢使用，產生價值。因此，為確保從業人員檔案數據安全，加強安全管理措施勢在必行。

1. 威脅數據安全因素分析

數據安全包括數據本身安全和數據防護安全。數據本身安全，指采用現代密碼算法對數據進行主動保護，如數據保密、數據完整性、雙向強身份認證等；數據防護安全，指采用現代信息存儲手段對數據進行主動防護，如通過磁盤陣列、數據備份、異地容災等手段保證數據的安全。本研究側重關注通過數據訪問身份驗證、數據加密訪問、數據管理制度建立等方面解決數據本身安全。通過技術手段和管理制度保護數據資產，以防止偶然或未授權者對數據的惡意泄露、修改和破壞，從而導致數據的不完整、不可靠或失去價值。威脅數據安全的因素很多，主要表現為以下常見因素：一是系統使用和系統運維管理體制不健全，人為因素導致數據泄漏或被篡改；二是因系統漏洞造成系統被攻擊，通過漏洞植入病毒竊取數據；三是系統使用者和管理員保密意識薄弱，在數據查詢和數據應用中缺乏安全保密意識[1]。

1.1 數據安全管理重要性

世界著名密碼技術與安全技術專家惠特菲爾德·迪菲提出，“數據量越大，安全保障的重要性就越大”。數據安全是任何政府部門和企業都必須十分重視的問題[2]。針對建設領域從業人員檔案數據，既要對外實現數據公開，更好地服務于從業人員、培訓機構和用人單位，支撐建設行業其他業務系統和管理系統對從業人員信息數據的需求，便于數據查詢、數據統計、管理和數據更新，又要對數據保密，做到數據非本人不能查詢、下載和使用，非本人授權不能查閱，禁止數據的盜用和篡改[3]。所以，做好數據安全管理是大數據時代的重要任務之一。

1.2 制度不健全或管理不規范

根據系統使用規范要求，須建立《數據安全管理制度》，并要求管理人員一人一賬號一密鑰，分角色、分權限、分時段對系統和數據管理，要求定期更新管理員賬號及密碼。現有很多業務系統并未做到專人專戶，且未實現登錄賬號與設備綁定，步步操作實時記錄，出現數據泄漏和篡改時無法追溯。同時，造成數據安全的隱患還包括利用職權之便無意識泄漏后臺數據。根據系統運維規范要求，須單獨建立《系統運維管理制度》，要求運維技術人員簽訂《數據安全保密協議》，并根據運維工作需要，申請開通運維服務權限和數據管理權限。然而在部分系統運維過程中，為了節約時間成本和人工成本，技術人員直接訪問數據庫并接觸到核心數據，在數據未備份情況下即操作數據庫，或對備份后的數據隨意存儲，導致核心數據、保密數據被轉載和復制，因無安全意識造成數據泄漏嚴重。

1.3 網絡安全威脅情況

網絡結構不安全：互聯網是由眾多局域網組成的巨大的網絡結構，當一臺主機與互聯網中任一臺主機進行通信時，兩者之間的信息傳遞通常需要經過多臺機器進行多重轉發。在信息傳遞的過程中，竊取數據的不法分子利用先進的技術手段攔截信息，就能接觸到數據包，如圖1所示，也證明互聯網的網絡結構本身存在不安全性。

欺騙性網站威脅：在B/S架構的業務系統中，利用瀏覽器訪問系統數據并操作系統是基本方式。然而，普通用戶和從業人員并未意識到存在的安全問題，或許正在訪問的網站已被不法分子篡改。例如：不法分子將用戶訪問網頁的URL跳轉到指定服務器，當用戶在網頁中輸入身份信息、賬號信息或者執行操作時，便可得到從業人員真實身份信息[4]。

系統漏洞及病毒威脅：入侵者借助業務系統漏洞、監管不力等因素，通過系統漏洞訪問系統核心數據，將惡意程序偽裝成游戲、工具、廣告等誘使用戶打開。當用戶操作后，該程序就能直接侵入用戶電腦，隱藏在計算機系統中進行破壞，入侵者可隨意篡改用戶計算機參數，通過控制用戶計算機竊取用戶硬盤中的核心數據。

1.4 保密意識薄弱現狀

大數據時代，用戶在數據采集和數據應用過程中，對數據敏感程度和重要等級缺乏判斷，對信息安全保密意識薄弱。當一些業務系統非必要采集用戶信息時，很多用戶會不假思索，根據系統提示一步步錄入并提交身份信息及核心數據[5]。同時，系統管理人員或后臺管理人員在數據查閱和數據應用過程中，隨意授權他人使用自己專屬賬號和密碼，甚至發送帶有保密數據而未打碼隱藏的截圖，也可能導致核心數據外泄或被篡改。

2. 信息安全管理思路

基于建設領域從業人員電子檔案大數據的管理業務需求，以及檔案數據面臨的數據安全問題，很難實現僅依靠技術解決所有風險。同時，安全風險在不同時期是動態變化的，應對思路也需要從技術、管理、運維等多維度解決，并且針對不同時期數據安全管理需求側重點不同，加強相關側重點數據安全的管理。保障從業人員檔案數據的機密性、完整性和可用性，通過系統架構或網絡層次劃分，從物理層安全、數據層安全到應用層安全，仍然是需要解決的問題。因此，在應對建設領域從業人員檔案數據安全管理問題時，須整體考慮，通盤規劃，基于業務需求，采用多層面、全方位的解決方案來應對。

2.1 加強數據訪問和接入安全限制

實施最嚴格的數據訪問和數據接入控制策略。制定控制策略的意義是從訪問源頭劃分安全訪問區和身份鑒權識別，根據其他業務系統對人員檔案數據需求的內容，制定分門別類的安全策略。如圖2所示，防火墻和交換機上的ACL均可實現訪問控制功能，通過在訪問源頭或訪問端口制定安全策略[6]。校驗出入方向的數據包，檢查具體操作方式，確認數據包轉發的合法性。通過身份鑒權和數據加密方式提供其他系統接入對接接口，實現數據查詢和數據接入。數據在網絡中以密文方式傳輸，接收后的數據再解密處理。解密過程須應用相同類型的加密設備與密鑰才能對密文解密，可有效避免數據攔截或數據截取后被利用。同時，加強從業人員檔案數據網絡出口異常流量監測和分析，對異常流量及時預警和定位，降低和消除異常流量對數據安全的影響。

2.2 建立安全管理制度并切實落實

最新研究數據表明，網絡安全和數據安全事件中約有60%是人為因素造成，其中屬于管理失誤高達70%以上，在這類安全問題中約95%是可以通過科學、合理的管理方式來避免的。雖然一直強調信息安全是“三分技術、七分管理”，但在日常工作中卻往往忽視了管理的重要性，管理制度未建立和管理流程未執行是主要因素[6]。系統運行管理、維護和系統開發等崗位職責、權限劃分不清，導致數據安全管理松懈。須加強數據分類、分級管理，按照“誰主管、誰負責，誰運營、誰負責”的原則，確保從業人員檔案數據的安全。因此，數據安全管理制度真正建立和管理制度嚴格執行，已經成為影響數據安全的重要因素之一。

管理制度真正建立是指建立的管理制度高度符合已有業務系統使用和運維，符合該系統、該部門數據管理要求。不能借用他人的管理制度或制定不切實際的管理制度。管理制度的制定應從技術層面、系統使用層面和運維層面等多角度分析制定，管理辦法也應該隨著業務系統發展不斷更新和創新。管理制度嚴格執行是指在管理制度制定后，要嚴格根據管理制度要求劃分角色權限，切實按照管理制度落實系統開發、系統使用和系統運維等工作，嚴禁在管理制度執行過程中形式化、打折扣。同時，須建立管理制度執行情況定期抽查和評審機制，對未按照管理制度執行的行為堅決抵制和嚴肅處理。

2.3 規范系統運維和加大經費投入

根據系統運維規范要求，須單獨建立《系統運維管理制度》，并且要求運維技術人員簽訂《數據安全保密協議》，分配運維專屬賬號和運維權限，適時開通賬號功能權限及數據權限功能，做好運維日志實時記錄及管理。運維技術人員在系統運維過程中接觸到核心數據，須根據運維管理制度中標準流程及時做好數據備份，對備份文件加密存儲至指定服務器。同時，應在運維的服務器或數據庫上建立網絡流量監管預警機制，防止運維過程中數據被轉載和復制，造成數據泄露。加大運維專項經費投入，須引進專業信息技術人才和網絡安全軟、硬件設備，對現有網絡不安全因素排查，對系統漏洞掃描、動態評估，及時有效管理、漏洞修復和系統升級改造。采用多重防火墻技術，防止用戶內外網隨意訪問帶來的惡意程序，對網絡內、外部的所有活動日志實時記錄和監控。

2.4 提升網絡安全和數據保密教育

目前，普通用戶和管理人員對網絡安全和數據安全認知處于初級狀態，習慣性地把信息安全理解為“電腦中毒”“網絡擁堵”等問題，簡單采用安裝殺毒軟件修復漏洞、清理垃圾的方法解決，對數據資產和數據安全所面臨的威脅認知不夠。而普通用戶對個人隱私信息保護意識嚴重不足，身份證信息、證書信息、賬號信息等，隨意呈現或出借給他人使用，造成從業人員檔案數據嚴重泄漏，數據安全堪憂。

因此，應該加強所有系統使用者的數據安全和保密意識宣傳培訓工作。一方面，加強網絡信息安全管理人員的責任意識、安全意識和信息技術專業能力，確保管理人員知曉威脅網絡信息安全的各種因素和應對措施，為提高網絡安全和數據安全管理奠定基礎；另一方面，加強核心數據安全保密意識宣傳，讓系統使用者、數據接入者、數據訪問者都能清楚認知數據價值和數據保密的重要性，以及數據泄漏后會導致的嚴重后果。

結語

總而言之，從業人員檔案數據安全管理需要長期堅持和不斷創新，威脅數據安全的因素較多，尤其是新技術誕生造成系統漏洞或管理制度未落實等因素。因此，系統使用者和管理者都應該充分認識到數據安全管理和數據資產保密的重要性，采取強化網絡信息安全管理和數據安全管理的有效措施，以此保證各業務系統運行安全和人員檔案數據安全。

參考文獻：

[1]祁琪.淺析大數據時代下政府部門加強網絡信息安全的措施[J].數字技術與應用，2020，38（5）：172-173.

[2]宋芝美.解讀大數據時代企業管理中信息安全研究的現狀與展望[J].中國新通信，2020，22（16）：139.

[3]楊啟飛.大數據時代國內信息安全研究：現狀、趨勢與反思[J].情報科學，2021， 39（2）：178-184.

[4]徐濱，代玉敏.計算機及網絡信息安全管理問題淺析[J].電腦與電信，2018，No. 261（6）：44-46.

[5]黨振興.大數據時代個人信息安全現狀與保護[J].重慶交通大學學報（社會科學版），2022，22（4）：14-22.

[6]周煜.大數據信息安全研究[J].信息記錄材料，2020，21（11）：150-151.

作者簡介：羅鵬，本科，中級工程師，研究方向：數據安全。