鐵路單位采購業(yè)務相關數(shù)據(jù)安全治理探討

董玉樂

（中國鐵路北京局集團有限公司 調(diào)度所，北京 100036）

數(shù)字化已成為社會經(jīng)濟發(fā)展的新引擎[1]。在5G移動通信技術(shù)、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)、區(qū)塊鏈等新興科技的加持下，我國眾多行業(yè)均迎來了一場數(shù)字化轉(zhuǎn)型升級的變革。

鐵路企事業(yè)單位（簡稱：鐵路單位）的數(shù)字化發(fā)展對其網(wǎng)絡安全和信息安全提出了更高的要求。遠程辦公、內(nèi)外業(yè)務協(xié)同、組織分支互聯(lián)等需求的變化，讓組織邊界逐漸泛化，安全防護風險增大。過往粗放型的數(shù)據(jù)使用和管理體系已很難適應當下的數(shù)字化業(yè)務系統(tǒng)。如何防護敏感數(shù)據(jù)泄露，讓數(shù)字化建設與網(wǎng)絡安全保障雙強化，成為鐵路單位急需解決的問題[2]。隨著信息安全形勢的變化和發(fā)展，數(shù)據(jù)的重要性逐漸凸顯，相關的法律法規(guī)、標準要求、行業(yè)指南層出不窮，各監(jiān)管機構(gòu)對如何保護組織和個人的敏感數(shù)據(jù)均提出了對應的監(jiān)管要求。其對數(shù)據(jù)保護的要求越來越細化，監(jiān)管也越來越嚴格且具有強制性[3]。如何對與采購業(yè)務相關的數(shù)據(jù)進行安全治理，從而滿足不同監(jiān)管機構(gòu)的數(shù)據(jù)安全保護要求，是鐵路單位亟待解決的重要問題。

1 數(shù)據(jù)安全治理必要性

鐵路單位每年都有大量資金用于物資采購，對采購業(yè)務相關數(shù)據(jù)保密也是其采購部門的重點工作之一。采購業(yè)務相關數(shù)據(jù)泄密風險防控工作面臨“點多、面廣、戰(zhàn)線長、參與人員多”的情況，且涉密信息受到投標人及利益相關方的高度關注。鐵路單位的信息安全面臨嚴峻挑戰(zhàn)，僅依靠相關人員安全意識的提升和制度的完善，難以實現(xiàn)對泄密事件的事前預防和事后追溯，必須依靠相應的技術(shù)和管理手段，對采購業(yè)務領域涉密資料的全過程進行監(jiān)督和管控，才能有效開展保密工作。管理者亟需通過相關措施建立單位內(nèi)部整體數(shù)據(jù)安全治理體系，有效支撐采購業(yè)務核心資料的保密工作。

2 數(shù)據(jù)安全治理探討

相較于傳統(tǒng)的網(wǎng)絡安全建設，數(shù)據(jù)安全治理對“科學性”“系統(tǒng)性”提出更高要求，由于數(shù)據(jù)與業(yè)務相伴相生，關系密切，所以對鐵路單位采購業(yè)務相關數(shù)據(jù)的安全治理必須采取業(yè)務場景與數(shù)據(jù)流轉(zhuǎn)深度綁定的措施[4]。通過組織建設、現(xiàn)狀摸底、數(shù)據(jù)分類分級、風險評估、體系建設、員工培訓等方式科學地進行。

2.1 組織建設

《中華人民共和國數(shù)據(jù)安全法》和《關鍵信息基礎設施安全保護條例》均要求要有專門的組織和人員負責數(shù)據(jù)安全治理，并定崗定責。因此，在鐵路單位采購業(yè)務相關數(shù)據(jù)安全治理的過程中，要成立專門的數(shù)據(jù)安全治理機構(gòu)或工作小組[5]，制定符合自身的數(shù)據(jù)安全治理政策，并落實和監(jiān)督政策的有效執(zhí)行。

2.2 現(xiàn)狀摸底

需要對數(shù)據(jù)資產(chǎn)現(xiàn)狀進行清查摸底，即通過多種方式來發(fā)現(xiàn)數(shù)據(jù)所有者、存儲位置、整體業(yè)務架構(gòu)等信息。對鐵路單位進行前期摸底調(diào)研的主要內(nèi)容包括：（1）單位的數(shù)據(jù)安全治理戰(zhàn)略方針；（2）業(yè)務及相應的業(yè)務系統(tǒng)情況，業(yè)務系統(tǒng)的開放形式、訪問方式、交互方式，業(yè)務系統(tǒng)相關數(shù)據(jù)是否涉及個人隱私信息；（3）業(yè)務數(shù)據(jù)存儲的形式、位置及訪問的方式，數(shù)據(jù)的重要性、影響范圍和影響程度；（4）現(xiàn)有信息系統(tǒng)建設及數(shù)據(jù)安全建設情況。還需參考《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律中的相關規(guī)定要求，合法合規(guī)管控涉密資料的流轉(zhuǎn)。

2.3 數(shù)據(jù)分類分級

基于現(xiàn)行行業(yè)標準與安全實踐經(jīng)驗制定合理、有效的數(shù)據(jù)分類分級規(guī)則，對鐵路單位采購業(yè)務相關數(shù)據(jù)資產(chǎn)進行全盤梳理，為實現(xiàn)“核心數(shù)據(jù)安全優(yōu)先，其余效率優(yōu)先”的差異化防護打下基礎。通過訪談、文件審核、查看系統(tǒng)、查看數(shù)據(jù)庫等方式，梳理現(xiàn)有鐵路單位采購業(yè)務相關數(shù)據(jù)覆蓋的數(shù)據(jù)范圍及預測未來可能覆蓋的數(shù)據(jù)范圍，形成數(shù)據(jù)目錄結(jié)構(gòu)；依據(jù)國家相關的法律法規(guī)及行業(yè)規(guī)范，考慮數(shù)據(jù)對國家安全、社會穩(wěn)定和公民安全的重要程度，結(jié)合以往項目實踐經(jīng)驗，完成對鐵路單位采購業(yè)務相關數(shù)據(jù)的分類分級指導規(guī)范；依據(jù)數(shù)據(jù)分類分級指南，通過分類分級工具，結(jié)合人工的方式，對鐵路單位的采購業(yè)務相關數(shù)據(jù)進行標簽管理，明確數(shù)據(jù)的類別級別；同時隨著政策變化，并基于日常實際運營情況，及時對數(shù)據(jù)的分類分級指南等進行調(diào)整和更新。

2.3.1 結(jié)構(gòu)化數(shù)據(jù)

通過部署數(shù)據(jù)庫掃描監(jiān)控系統(tǒng)，實現(xiàn)對鐵路單位采購業(yè)務相關數(shù)據(jù)的自動發(fā)現(xiàn)、分析和梳理，按照內(nèi)置或自定義策略進行分類分級，確保鐵路單位用戶對大數(shù)據(jù)平臺內(nèi)數(shù)據(jù)資產(chǎn)的可視化管理，為用戶對采購業(yè)務相關數(shù)據(jù)的使用和管理提供依據(jù)。同時，通過數(shù)據(jù)庫掃描監(jiān)控系統(tǒng)的風險掃描和監(jiān)控功能，確保提前發(fā)現(xiàn)、提前處置數(shù)據(jù)庫漏洞和不穩(wěn)定因素，保障數(shù)據(jù)庫安全穩(wěn)定運行。

2.3.2 非結(jié)構(gòu)化數(shù)據(jù)

采用基于語義特征的自然語言處理內(nèi)容識別技術(shù)對鐵路單位采購業(yè)務相關數(shù)據(jù)進行實時、精準分類。該技術(shù)通過無監(jiān)督機器學習引擎分析大量未經(jīng)標注的原始文檔集，自動按照內(nèi)容進行主題梳理，并通過人工干預，靈活調(diào)整語義相似度，獲得滿意的聚類結(jié)果；將聚類結(jié)果作為標注樣本，實施有監(jiān)督機器學習，提取短句或長組合詞作為語義特征，自動生成分類規(guī)則庫。在此過程中，用戶亦可人工干預特征選擇，進行漏報及誤報樣本的提取及規(guī)則優(yōu)化，使用反向?qū)φ諛颖炯訌娪柧?，進而提升工作效率及分類準確性。將文本分類規(guī)則推送至部署在業(yè)務系統(tǒng)中端點、服務器和網(wǎng)絡等處的輕量化分布式分類器，即可實時感知關鍵數(shù)據(jù)的分布和使用狀況。

2.4 風險評估

完成數(shù)據(jù)分類分級后，結(jié)合《GB/T 37 988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》中對數(shù)據(jù)安全能力成熟度等級及數(shù)據(jù)生存周期安全過程域劃分的定義，可發(fā)現(xiàn)鐵路單位采購業(yè)務相關數(shù)據(jù)全生命周期安全管控能力在技術(shù)與管理方面的脆弱性，從而發(fā)現(xiàn)自身數(shù)據(jù)安全問題和短板，明確數(shù)據(jù)安全保護需求，為數(shù)據(jù)安全治理的建設指明方向[6]。

2.5 體系建設

為遵循同步規(guī)劃、同步建設、同步運行的思想，有序落地數(shù)據(jù)安全防護措施，鐵路單位需建立采購業(yè)務相關數(shù)據(jù)安全治理體系，本文提出的體系建設包括數(shù)據(jù)安全制度規(guī)范、數(shù)據(jù)安全技術(shù)防護、數(shù)據(jù)安全運行管理和數(shù)據(jù)安全監(jiān)查與應急4個部分。

2.5.1 數(shù)據(jù)安全制度規(guī)范

采購業(yè)務數(shù)據(jù)安全管理制度規(guī)范主要包含以下4個方面內(nèi)容。

（1）保護方針策略。根據(jù)鐵路單位采購業(yè)務數(shù)據(jù)安全保護需求，包括數(shù)據(jù)安全管理相關方的要求，建立采購業(yè)務數(shù)據(jù)安全保護方針策略。

（2）保護目標。根據(jù)數(shù)據(jù)安全保護策略，針對采購申請、采購訂貨、進料檢驗、倉庫收料、供應商、價格及供貨信息等數(shù)據(jù)，確定每類數(shù)據(jù)的數(shù)據(jù)安全保護目標，形成采購業(yè)務數(shù)據(jù)安全保護目標文件。

（3）保護計劃。由數(shù)據(jù)安全保護責任人對實現(xiàn)數(shù)據(jù)安全保護目標進行策劃，并依據(jù)策劃文件，制定采購業(yè)務數(shù)據(jù)安全保護計劃。

（4）人力資源與保障。確定采購部門為承擔數(shù)據(jù)安全保護職責的主要部門，采購需求部門和倉庫部門協(xié)助落實保護措施，采購業(yè)務的數(shù)據(jù)安全責任人對數(shù)據(jù)安全負直接責任。

2.5.2 數(shù)據(jù)安全技術(shù)防護

以現(xiàn)有的安全基礎設施、網(wǎng)絡安全等級保護措施為基礎，有針對性地對采購申請、采購訂單、采購審核、采購到貨、采購入庫等采購業(yè)務全生命周期數(shù)據(jù)實行數(shù)據(jù)加密、數(shù)據(jù)訪問控制、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、容災備份等多種數(shù)據(jù)安全技術(shù)措施，與現(xiàn)有安全防護手段相結(jié)合，構(gòu)建全方位的采購業(yè)務相關數(shù)據(jù)防護體系[7-8]。還可結(jié)合大數(shù)據(jù)分析技術(shù)，建立采購業(yè)務相關數(shù)據(jù)的安全治理平臺，實現(xiàn)數(shù)據(jù)安全態(tài)勢感知，全面提升數(shù)據(jù)安全防護能力，筑牢數(shù)據(jù)安全防線。

以數(shù)據(jù)泄露防護系統(tǒng)為例。該系統(tǒng)由統(tǒng)一管理平臺和終端組成，采用人工智能引擎，可處理采購業(yè)務中的采購訂單數(shù)據(jù)、采購合同數(shù)據(jù)、供應商數(shù)據(jù)及財務數(shù)據(jù)等，依靠數(shù)據(jù)識別與內(nèi)容標記，區(qū)分不同類型的數(shù)據(jù)價值。通過無監(jiān)督聚類及有監(jiān)督的機器學習算法，快速、準確地實現(xiàn)不同類型采購合同、采購物料信息數(shù)據(jù)的梳理和分類。同時，該系統(tǒng)可依靠網(wǎng)絡發(fā)送者的IP追溯到風險事件的發(fā)起源，審計網(wǎng)絡泄露行為的來源、目的地、傳輸內(nèi)容、文件等，監(jiān)控終端部分應用程序后臺違規(guī)傳輸數(shù)據(jù)及采購合同類敏感數(shù)據(jù)的拷貝、打印、截屏，采購清單類數(shù)據(jù)的網(wǎng)絡發(fā)送、網(wǎng)絡共享、微信發(fā)送、QQ發(fā)送等行為。

2.5.3 數(shù)據(jù)安全運營管理

為使采購業(yè)務數(shù)據(jù)安全運行管理得到有效執(zhí)行和落實，需采取以下3方面的數(shù)據(jù)安全運行管理措施。

（1）采購數(shù)據(jù)使用過程管理。采購業(yè)務數(shù)據(jù)的使用是數(shù)據(jù)全生命周期中最重要的部分，主要分為：外部獲得（如采購發(fā)票、合同、稅單、罰單、各類銀行票據(jù)、銀行結(jié)算單等）；內(nèi)部自制（如入庫單、送貨單、存貨庫存期報表等）。需對這些環(huán)節(jié)采取相應的安全管控措施，包括使用授權(quán)、自動決策、信息公開和展示等方面。

（2）采購數(shù)據(jù)委托處理、共享、轉(zhuǎn)讓管理。對供應商、采購招標書、招標公告等數(shù)據(jù)委托處理、共享、轉(zhuǎn)讓的合規(guī)性和風險性進行管理，確保共享、轉(zhuǎn)讓和委托處理時的數(shù)據(jù)安全。

（3）采購數(shù)據(jù)第三方應用接入管理。當采購業(yè)務系統(tǒng)接入財務系統(tǒng)、資產(chǎn)管理系統(tǒng)或其他第三方產(chǎn)品時，應對接入和涉及的產(chǎn)品和服務進行管理，明確數(shù)據(jù)讀取權(quán)限及內(nèi)容，確保不因第三方應用的接入而危害采購業(yè)務的數(shù)據(jù)安全。

2.5.4 數(shù)據(jù)安全監(jiān)查與應急

鐵路單位需針對數(shù)據(jù)全生命周期各階段的安全管理情況進行監(jiān)查，以保證數(shù)據(jù)安全治理可以有效、持續(xù)地產(chǎn)生價值。數(shù)據(jù)安全監(jiān)查與應急著重于預警通報、安全監(jiān)測和綜合評價3個功能。

針對數(shù)據(jù)安全事件，落實重大事件報告制度和突發(fā)數(shù)據(jù)安全事件應急響應制度，建立健全安全應急預案、應急處置工作指南和處置流程。常態(tài)化開展數(shù)據(jù)安全攻防演練、應急演練，組建專家隊伍和支撐力量，提升全天侯、全場景、常態(tài)化、實戰(zhàn)化的網(wǎng)絡安全應急處置水平。

2.6 員工培訓

數(shù)據(jù)安全治理是一項持續(xù)的、需要全員參與、全員維護的工程。因此，為提升采購業(yè)務相關崗位工作人員的數(shù)據(jù)安全意識，每年需要開展不少于20 h的數(shù)據(jù)安全培訓，對數(shù)據(jù)安全委員會領導和高層管理人員開展數(shù)據(jù)安全體系、數(shù)據(jù)安全方法論等培訓，對采購業(yè)務人員及運行維護團隊開展數(shù)據(jù)安全流程、數(shù)據(jù)安全運行維護技能、數(shù)據(jù)安全風險評估等技能培訓。

3 結(jié)束語

該數(shù)據(jù)安全治理解決方案可為鐵路單位采購業(yè)務領域保密工作提供強有力的支撐，促進部門整體防護能力和規(guī)范管理水平不斷提升，彌補了采購過程中信息防泄密工作的不足之處，實現(xiàn)采購過程信息保密工作全方位管控，強化了采購業(yè)務人員的保密意識，保障了采購保密管理的剛性執(zhí)行，有效杜絕了采購業(yè)務信息泄密事件的發(fā)生，為鐵路單位提升采購業(yè)務保密工作的能力和效率、杜絕信息泄密事件提供參考。