基于業(yè)務(wù)流程數(shù)據(jù)敏感級(jí)別的電網(wǎng)企業(yè)數(shù)據(jù)安全研究

劉玉婷，周 靖，蘇永東，徐浩平

（1.云南電網(wǎng)有限責(zé)任公司，云南昆明 650217；2.安永會(huì)計(jì)師事務(wù)所，廣東廣州 510000）

0 引言

數(shù)據(jù)作為企業(yè)的核心資產(chǎn)，國(guó)內(nèi)外大量案例表明敏感數(shù)據(jù)的泄漏會(huì)對(duì)企業(yè)利益帶來(lái)巨大損害，包括客戶流失、核心技術(shù)丟失、事件曝光而造成聲譽(yù)受損、法律問(wèn)題和經(jīng)濟(jì)賠償?shù)?。根?jù)專(zhuān)業(yè)數(shù)據(jù)防護(hù)研究機(jī)構(gòu)統(tǒng)計(jì)，全球企業(yè)平均每400封郵件就有1封包含敏感數(shù)據(jù)；每50份網(wǎng)絡(luò)傳輸文件就有一分包括敏感數(shù)據(jù)；每2個(gè)USB就有一個(gè)包含敏感信息；企業(yè)平均每年為數(shù)據(jù)泄漏付出720萬(wàn)美元的損失；而每丟失或失竊一條客戶記錄，處理數(shù)據(jù)丟失事件所需的訴訟、客戶通知和調(diào)解、數(shù)據(jù)重建、調(diào)查以及員工工作時(shí)間的成本大約為200美元，丟失企業(yè)核心知識(shí)產(chǎn)權(quán)、合約等損失的成本則遠(yuǎn)遠(yuǎn)超過(guò)這數(shù)字[1]。為了降低日益突顯的數(shù)據(jù)泄漏風(fēng)險(xiǎn)以及危害，如何通過(guò)適當(dāng)?shù)氖侄螌?duì)企業(yè)敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)防泄漏保護(hù)（Data Loss Prevention），已成為各大企業(yè)、機(jī)構(gòu)刻不容緩的課題。

伴隨對(duì)信息系統(tǒng)的依賴(lài)性的增加，電網(wǎng)企業(yè)的數(shù)據(jù)量、數(shù)據(jù)的重要性日益增大，隨之增大的還有數(shù)據(jù)泄漏風(fēng)險(xiǎn)。作為擁有大量關(guān)鍵核心數(shù)據(jù)的龍頭國(guó)企，數(shù)據(jù)泄漏對(duì)于電網(wǎng)企業(yè)而言不單單是經(jīng)濟(jì)損失，更有可能影響到國(guó)家機(jī)密，導(dǎo)致災(zāi)難性的傷害。保證各類(lèi)敏感業(yè)務(wù)數(shù)據(jù)在產(chǎn)生、傳輸、存儲(chǔ)和銷(xiāo)毀的全生命周期中不會(huì)被泄露，已成為電網(wǎng)企業(yè)信息化建設(shè)過(guò)程中的迫切需求和需要思考的問(wèn)題[2]。

1 電網(wǎng)企業(yè)數(shù)據(jù)安全現(xiàn)狀

雖然目前國(guó)內(nèi)外廠家已經(jīng)基于不同用戶需求開(kāi)發(fā)出了數(shù)據(jù)防泄漏產(chǎn)品，電網(wǎng)企業(yè)也制定了初步的數(shù)據(jù)分類(lèi)分級(jí)制度和管控策略，但是電網(wǎng)企業(yè)在實(shí)施數(shù)據(jù)安全工作的過(guò)程普遍存在信息資產(chǎn)識(shí)別不充分、方法落地難，DLP設(shè)備策略的制定不夠客觀和充分，數(shù)據(jù)生命周期安全管控措施缺乏等問(wèn)題[3]。信息安全建設(shè)更多的考慮了硬件和軟件的安全，而忽視了人員、數(shù)據(jù)、文檔、服務(wù)、無(wú)形資產(chǎn)等重要對(duì)象。

在技術(shù)層面，沒(méi)有完整的對(duì)電網(wǎng)企業(yè)的數(shù)據(jù)進(jìn)行調(diào)查和梳理，識(shí)別出電網(wǎng)企業(yè)需要防護(hù)的敏感數(shù)據(jù)，DLP策略的制定僅僅依靠產(chǎn)品的內(nèi)定策略和技術(shù)人員的主觀決定，并在使用的過(guò)程中進(jìn)行不斷的調(diào)整。

在管理層面，電網(wǎng)企業(yè)現(xiàn)有的數(shù)據(jù)安全工作更多的是在企業(yè)層面對(duì)數(shù)據(jù)進(jìn)行宏觀的分類(lèi)分級(jí)，沒(méi)有深入到特定業(yè)務(wù)部門(mén)對(duì)數(shù)據(jù)進(jìn)行有針對(duì)性的細(xì)分，導(dǎo)致業(yè)務(wù)部門(mén)對(duì)數(shù)據(jù)安全感知度不高，信息中心對(duì)數(shù)據(jù)敏感程度把握不夠，數(shù)據(jù)防泄漏工作的效果有限。

例如：電網(wǎng)企業(yè)在數(shù)據(jù)生命周期安全管理中普遍存在以下現(xiàn)象，未制定敏感數(shù)據(jù)采集管理要求；未及時(shí)銷(xiāo)毀或安全保存紙質(zhì)的更新表單；未對(duì)敏感數(shù)據(jù)的外發(fā)做嚴(yán)格的限定和明確的保護(hù)要求；第三方維護(hù)人員存在共用賬號(hào)、賬號(hào)權(quán)限過(guò)大等現(xiàn)象；測(cè)試數(shù)據(jù)未充分脫敏；未明確數(shù)據(jù)回收和銷(xiāo)毀管理流程；存在未對(duì)離職或者轉(zhuǎn)崗人員數(shù)據(jù)進(jìn)行回收和銷(xiāo)毀的情況。給電網(wǎng)企業(yè)數(shù)據(jù)安全工作帶來(lái)了極大的挑戰(zhàn)。

2 基于業(yè)務(wù)流程的數(shù)據(jù)防泄漏

電網(wǎng)企業(yè)數(shù)據(jù)的產(chǎn)生、流轉(zhuǎn)、存儲(chǔ)、消亡和電網(wǎng)企業(yè)的各個(gè)業(yè)務(wù)流程息息相關(guān)，數(shù)據(jù)的泄漏等安全風(fēng)險(xiǎn)也存在與業(yè)務(wù)流程的各個(gè)節(jié)點(diǎn)當(dāng)中，因此研究電網(wǎng)數(shù)據(jù)的生命周期安全必須從業(yè)務(wù)流程的研究開(kāi)始，從業(yè)務(wù)流程梳理、數(shù)據(jù)生命周期識(shí)別、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)分類(lèi)分級(jí)管控等環(huán)節(jié)開(kāi)展數(shù)據(jù)防泄漏工作[4]。具體有如下三個(gè)關(guān)鍵點(diǎn)：

（1）數(shù)據(jù)安全防護(hù)解決方案的實(shí)施不是一個(gè)獨(dú)立的產(chǎn)品部署項(xiàng)目，而是電網(wǎng)企業(yè)整體信息安全風(fēng)險(xiǎn)管理體系中的重要一環(huán)，需要與整體信息安全管理策略、制度和業(yè)務(wù)流程相一致。

（2）數(shù)據(jù)泄漏防護(hù)體系需要與電網(wǎng)企業(yè)業(yè)務(wù)緊密配合，需要深入識(shí)別和深刻理解關(guān)鍵業(yè)務(wù)部門(mén)的涉密數(shù)據(jù)與工作流程，及對(duì)制定有效的管控策略并部署。

（3）只有提高電網(wǎng)企業(yè)管理層、業(yè)務(wù)人員對(duì)數(shù)據(jù)安全防護(hù)重要性的認(rèn)知，以獲得業(yè)務(wù)部門(mén)的充分配合、必要的資源以及管理層的支持，才能有效的推行數(shù)據(jù)防泄漏工作。

基于電網(wǎng)企業(yè)在實(shí)施數(shù)據(jù)防泄漏工作的過(guò)程中遇到的難題和挑戰(zhàn)，在充分認(rèn)識(shí)電網(wǎng)企業(yè)實(shí)施數(shù)據(jù)防泄漏工作的成功要素后，提出了基于業(yè)務(wù)流程的數(shù)據(jù)防泄漏解決方案，主要包括如下4個(gè)實(shí)施階段。

2.1 數(shù)據(jù)安全現(xiàn)狀調(diào)研

針對(duì)電網(wǎng)企業(yè)信息安全環(huán)境進(jìn)行深入調(diào)研，以得出數(shù)據(jù)分級(jí)方法以及數(shù)據(jù)分級(jí)分類(lèi)指引；對(duì)數(shù)據(jù)流轉(zhuǎn)進(jìn)行審計(jì)記錄數(shù)據(jù)流轉(zhuǎn)不當(dāng)事件。

咨詢調(diào)研

（1）業(yè)務(wù)流程調(diào)研：通過(guò)訪談、工作組形式與業(yè)務(wù)部門(mén)一同整理流程，識(shí)別流程中產(chǎn)生何種數(shù)據(jù)、數(shù)據(jù)的存儲(chǔ)方式、數(shù)據(jù)的流程方向、不同存儲(chǔ)位置的訪問(wèn)權(quán)、數(shù)據(jù)的生命周期，編制成業(yè)務(wù)流程圖和對(duì)應(yīng)的數(shù)據(jù)流程圖，分析流程在設(shè)計(jì)、運(yùn)行等方面存在的現(xiàn)狀，特別是對(duì)流程中的關(guān)鍵控制點(diǎn)。

（2）業(yè)務(wù)流程穿行測(cè)試：對(duì)業(yè)務(wù)流程進(jìn)行穿行測(cè)試，尤對(duì)業(yè)務(wù)流程產(chǎn)生的數(shù)據(jù)、數(shù)據(jù)流轉(zhuǎn)，以確保調(diào)研結(jié)果的完整性和準(zhǔn)確性。

通過(guò)咨詢調(diào)研，梳理出業(yè)務(wù)流程涉及數(shù)據(jù)如表1所示。

（3）數(shù)據(jù)流轉(zhuǎn)審計(jì)

在一定的時(shí)間區(qū)間內(nèi)，通過(guò)技術(shù)手段（監(jiān)控軟件等）對(duì)網(wǎng)絡(luò)數(shù)據(jù)、即使通信數(shù)據(jù)、郵件、文檔打印、文檔操作、全網(wǎng)數(shù)據(jù)六方面進(jìn)行監(jiān)控，對(duì)前步驟識(shí)別的關(guān)鍵數(shù)據(jù)全生命周期的數(shù)據(jù)流轉(zhuǎn)活動(dòng)進(jìn)行檢測(cè)審計(jì)，識(shí)別是否存在關(guān)鍵數(shù)據(jù)泄漏事件、風(fēng)險(xiǎn)以及泄漏程度，為下一階段風(fēng)險(xiǎn)評(píng)估作數(shù)據(jù)準(zhǔn)備。

2.2 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估

運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析電網(wǎng)企業(yè)數(shù)據(jù)所面臨的威脅及其相關(guān)環(huán)境存在的脆弱性，評(píng)估數(shù)據(jù)泄密事件一旦發(fā)生可能造成的危害程度。為了全面識(shí)別電網(wǎng)企業(yè)當(dāng)前的數(shù)據(jù)安全風(fēng)險(xiǎn)，從流程管理和安全技術(shù)兩個(gè)方面對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)定。

數(shù)據(jù)安全控制點(diǎn)調(diào)研：通過(guò)對(duì)數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)和運(yùn)維安全環(huán)節(jié)的控制點(diǎn)調(diào)研，識(shí)別電網(wǎng)企業(yè)在數(shù)據(jù)安全控制方面存在的不足和風(fēng)險(xiǎn)。

泄密事件分析：通過(guò)數(shù)據(jù)流轉(zhuǎn)監(jiān)控所收集的數(shù)據(jù)，對(duì)其進(jìn)行分析可發(fā)現(xiàn)在業(yè)務(wù)流程中部分用戶的文檔操作可能涉及泄密事件或惡意損壞公司重要文件的動(dòng)作。對(duì)這一系列的行為進(jìn)行分析，并與相關(guān)用戶、主管領(lǐng)導(dǎo)通過(guò)溝通，獲取用戶正常的工作行為，從而獲取真實(shí)性。在確認(rèn)行為后對(duì)行為的危害進(jìn)行分析，并提出解決方案[5]。

表1 業(yè)務(wù)流程數(shù)據(jù)

流程脆弱性分析：在現(xiàn)狀調(diào)研階段，通過(guò)各種形式了解完業(yè)務(wù)流程后，對(duì)業(yè)務(wù)流程的流向、流程節(jié)點(diǎn)構(gòu)成、流程安全控制進(jìn)行分析，找出流程中可能存在的數(shù)據(jù)泄漏風(fēng)險(xiǎn)點(diǎn)。最后匯總流程風(fēng)險(xiǎn)點(diǎn)并與IT、內(nèi)審、業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)進(jìn)行溝通確認(rèn)，以保證風(fēng)險(xiǎn)發(fā)現(xiàn)完整真實(shí)[5]。

2.3 基于電網(wǎng)數(shù)據(jù)屬性的數(shù)據(jù)分類(lèi)分級(jí)

（1）分類(lèi)分級(jí)理論

數(shù)據(jù)分級(jí)策略制定：編制好業(yè)務(wù)流程圖以及數(shù)據(jù)流程圖后，與相關(guān)業(yè)務(wù)部門(mén)合作，通過(guò)訪談、問(wèn)卷調(diào)查，采用先進(jìn)技術(shù)識(shí)別（如特殊位置的文件檢索；基于內(nèi)容的關(guān)鍵字，數(shù)據(jù)類(lèi)型架構(gòu)識(shí)別）等方式，協(xié)助相關(guān)業(yè)務(wù)部門(mén)根據(jù)下列因素對(duì)流程涉及的數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)，識(shí)別不同數(shù)據(jù)的類(lèi)別、重要性以及合適的訪問(wèn)權(quán)限?？紤]因素包括（但不限于）：

1）數(shù)據(jù)是否受法律法規(guī)限制；

2）內(nèi)部數(shù)據(jù)的相對(duì)價(jià)值；

3）對(duì)用戶和業(yè)務(wù)合作伙伴的直接影響；

4）對(duì)品牌和聲譽(yù)的潛在影響；

5）喪失競(jìng)爭(zhēng)優(yōu)勢(shì)的可能性；

（2）分類(lèi)分級(jí)標(biāo)準(zhǔn)制定

根據(jù)相關(guān)流程實(shí)際情況以及數(shù)據(jù)識(shí)別結(jié)果，建立數(shù)據(jù)分級(jí)分類(lèi)策略。

數(shù)據(jù)分類(lèi)分級(jí)：根據(jù)電網(wǎng)行業(yè)特性，電網(wǎng)的分級(jí)分類(lèi)應(yīng)主要參考“等保”、“保密法”、“行業(yè)最佳實(shí)踐”要求進(jìn)行[6]。

（3）分級(jí)數(shù)據(jù)賦值：

一級(jí)：3.8≦K≦4.0 二級(jí)：3≦K＜3.8 三級(jí)：1.8≦K＜3 四級(jí)：K＜1.8

（4）通過(guò)多個(gè)維度評(píng)估數(shù)據(jù)涉密等級(jí)：

將根據(jù)文檔的“業(yè)務(wù)類(lèi)型”，“影響范圍、對(duì)象”，“損失影響”三個(gè)維度對(duì)文檔進(jìn)行打分，評(píng)估數(shù)據(jù)密級(jí)。數(shù)據(jù)密級(jí)得

K=業(yè)務(wù)類(lèi)型得分×30%+影響范圍、對(duì)象得分×20%+損失影響預(yù)估得分×50%

表2 文檔數(shù)據(jù)涉密等級(jí)評(píng)估維度

2.4 數(shù)據(jù)分類(lèi)分級(jí)管控

在整個(gè)數(shù)據(jù)的生命周期中都必須進(jìn)行安全防護(hù)，以降低所有可能威脅公司數(shù)據(jù)安全事件發(fā)生的可能性，總體策略如下：

（1）數(shù)據(jù)的生成策略

①數(shù)據(jù)作者必須按照數(shù)據(jù)分級(jí)細(xì)則、數(shù)據(jù)分級(jí)管控標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行標(biāo)識(shí)，注明數(shù)據(jù)所有人；

②紙質(zhì)數(shù)據(jù)的應(yīng)確保在指定的機(jī)器、授權(quán)的業(yè)務(wù)流程中產(chǎn)生并按照標(biāo)準(zhǔn)保存；

1）數(shù)據(jù)的保存：

①數(shù)據(jù)作者或保管人必須將數(shù)據(jù)按照數(shù)據(jù)分級(jí)管控標(biāo)準(zhǔn)保存在特定的位置，或按照數(shù)據(jù)分級(jí)管控標(biāo)準(zhǔn)對(duì)保存的介質(zhì)進(jìn)行安全控制；

②各部門(mén)對(duì)“二級(jí)”以上數(shù)據(jù)應(yīng)建立統(tǒng)一的存儲(chǔ)點(diǎn)進(jìn)行保存；

2）數(shù)據(jù)的傳遞：

①數(shù)據(jù)作者、保管者在發(fā)送數(shù)據(jù)前，必須按照管數(shù)據(jù)分級(jí)控標(biāo)準(zhǔn)為數(shù)據(jù)選擇正確的傳輸保護(hù)措施；

②若數(shù)據(jù)使用加密傳輸，則加密對(duì)象與密鑰應(yīng)分別傳遞；

③各部門(mén)、應(yīng)用系統(tǒng)應(yīng)采用統(tǒng)一的數(shù)據(jù)傳輸出口，或指定一名數(shù)據(jù)外發(fā)的負(fù)責(zé)人員，避免過(guò)多出口帶來(lái)的風(fēng)險(xiǎn)；

④“二級(jí)”以上數(shù)據(jù)不應(yīng)出現(xiàn)在郵件正文中，數(shù)據(jù)傳遞應(yīng)盡量使用附件操作；

⑤傳遞接收人必須保障接收數(shù)據(jù)的安全；

⑥文件在投遞前必須使用公司信封密封，再通過(guò)物流公司信封封裝；

⑦“二級(jí)”以上數(shù)據(jù)在傳遞前必須獲得對(duì)應(yīng)的授權(quán)。

（2）數(shù)據(jù)的使用策略

①“二級(jí)”以上數(shù)據(jù)在使用前（包括獲取、導(dǎo)入、導(dǎo)出和再加工）必須獲得對(duì)應(yīng)的授權(quán)，審批申請(qǐng)內(nèi)容應(yīng)參考；

②在未征得所有人授權(quán)之前，不得將敏感數(shù)據(jù)或其部分再次共享給其他非授權(quán)人員；

③原始數(shù)據(jù)加工后的，應(yīng)在保證業(yè)務(wù)需要情況下盡可能進(jìn)行脫敏處理；

④數(shù)據(jù)在使用完畢后應(yīng)及時(shí)刪除或銷(xiāo)毀

（3）數(shù)據(jù)的銷(xiāo)毀策略

①數(shù)據(jù)所有者定期對(duì)敏感數(shù)據(jù)的時(shí)效性進(jìn)行審閱；

②數(shù)據(jù)的所有者、管理者、使用者應(yīng)對(duì)已失效的數(shù)據(jù)按照管控標(biāo)準(zhǔn)要求進(jìn)行銷(xiāo)毀；

③原則上，數(shù)據(jù)被傳送給取數(shù)需求方后，獲取數(shù)據(jù)的計(jì)算機(jī)應(yīng)及時(shí)刪除數(shù)據(jù)；

④對(duì)于不再使用的介質(zhì)，需要進(jìn)行徹底銷(xiāo)毀，并填寫(xiě)銷(xiāo)毀記錄[7]。

以往的數(shù)據(jù)防安全研究方向著重點(diǎn)是使用何種工具對(duì)一般信息進(jìn)行保護(hù)，保護(hù)層面廣，但缺乏深度，只是對(duì)信息安全方方面面提供基礎(chǔ)保護(hù)。同時(shí)，一般數(shù)據(jù)安全建設(shè)容易忽略了業(yè)務(wù)部門(mén)的需求及企業(yè)真正的業(yè)務(wù)需要，導(dǎo)致數(shù)據(jù)安全保護(hù)效果不足或者過(guò)度，影響業(yè)務(wù)的正常運(yùn)轉(zhuǎn)及企業(yè)的利益。

3 結(jié)語(yǔ)

本文研究方法著重點(diǎn)是對(duì)電網(wǎng)企業(yè)數(shù)據(jù)進(jìn)行全方位保護(hù)，從數(shù)據(jù)的價(jià)值、業(yè)務(wù)流程入手，了解業(yè)務(wù)需求，數(shù)據(jù)的關(guān)鍵性、評(píng)估數(shù)據(jù)面臨的風(fēng)險(xiǎn)與危害，從而構(gòu)建與業(yè)務(wù)流程吻合、數(shù)據(jù)安全管理與數(shù)據(jù)安全技術(shù)雙層面的全面數(shù)據(jù)防護(hù)體系。將數(shù)據(jù)保護(hù)與業(yè)務(wù)緊密結(jié)合，形成的安全模型極高的針對(duì)性、顯著的防護(hù)效果以及實(shí)施可行性。研究的結(jié)果也能為以后規(guī)劃目標(biāo)清晰的信息安全建設(shè)項(xiàng)目提供實(shí)踐經(jīng)驗(yàn)。通過(guò)對(duì)業(yè)務(wù)部門(mén)數(shù)據(jù)進(jìn)行調(diào)研，數(shù)據(jù)分類(lèi)分級(jí)（數(shù)據(jù)屬性賦值/數(shù)據(jù)等級(jí)計(jì)算），根據(jù)數(shù)據(jù)類(lèi)別和等級(jí)對(duì)數(shù)據(jù)生命周期進(jìn)行管控，結(jié)合后期DLP產(chǎn)品的實(shí)施，形成數(shù)據(jù)防泄漏工作的閉環(huán)，在數(shù)據(jù)防泄漏的各階段形成標(biāo)準(zhǔn)化、規(guī)范化的文檔，大大提升數(shù)據(jù)防泄漏工作的效率。本次對(duì)試點(diǎn)部門(mén)業(yè)務(wù)數(shù)據(jù)的防泄漏工作進(jìn)行研究，可為后期數(shù)據(jù)防泄漏工作的推廣和DLP產(chǎn)品策略的制定提供參考經(jīng)驗(yàn)和理論支撐。

［1］路少龍.淺談電力企業(yè)計(jì)算機(jī)數(shù)據(jù)的安全保護(hù)［J］.數(shù)字技術(shù)與應(yīng)用，2011（9）：246.

［2］陸海龍.數(shù)據(jù)安全存儲(chǔ)系統(tǒng)的研究與實(shí)現(xiàn)［D］.上海：復(fù)旦大學(xué)，2010：33.

［3］彭維平.基于可信平臺(tái)的數(shù)據(jù)泄漏防護(hù)關(guān)鍵技術(shù)研究［D］.北京：北京郵電大學(xué)，2011：26-27.

［4］馮建云，張?jiān)虑?內(nèi)網(wǎng)安全信息防泄漏系統(tǒng)的開(kāi)發(fā)與實(shí)現(xiàn) ［J］.電腦開(kāi)發(fā)與應(yīng)用，2010，23（7）：31-33，39.

［5］張孝，王珊，彭朝暉.基于安全策略的一種數(shù)據(jù)保護(hù)方法及實(shí)現(xiàn)技術(shù)［J］.計(jì)算機(jī)科學(xué)，2007，34（2）：122-123.

［6］刁俊峰.軟件安全中的若干關(guān)鍵技術(shù)研究［D］.北京：北京郵電大學(xué)，2007：5-8.

［7］趙勇，劉吉強(qiáng)，韓臻.信息泄露防御模型在企業(yè)內(nèi)網(wǎng)安全中的應(yīng)用［J］.計(jì)算機(jī)研究與發(fā)展，2007（05）：761-767.