基于業務流程數據敏感級別的電網企業數據安全研究

劉玉婷，周 靖，蘇永東，徐浩平

（1.云南電網有限責任公司，云南昆明 650217；2.安永會計師事務所，廣東廣州 510000）

0 引言

數據作為企業的核心資產，國內外大量案例表明敏感數據的泄漏會對企業利益帶來巨大損害，包括客戶流失、核心技術丟失、事件曝光而造成聲譽受損、法律問題和經濟賠償等。根據專業數據防護研究機構統計，全球企業平均每400封郵件就有1封包含敏感數據；每50份網絡傳輸文件就有一分包括敏感數據；每2個USB就有一個包含敏感信息；企業平均每年為數據泄漏付出720萬美元的損失；而每丟失或失竊一條客戶記錄，處理數據丟失事件所需的訴訟、客戶通知和調解、數據重建、調查以及員工工作時間的成本大約為200美元，丟失企業核心知識產權、合約等損失的成本則遠遠超過這數字[1]。為了降低日益突顯的數據泄漏風險以及危害，如何通過適當的手段對企業敏感數據進行數據防泄漏保護（Data Loss Prevention），已成為各大企業、機構刻不容緩的課題。

伴隨對信息系統的依賴性的增加，電網企業的數據量、數據的重要性日益增大，隨之增大的還有數據泄漏風險。作為擁有大量關鍵核心數據的龍頭國企，數據泄漏對于電網企業而言不單單是經濟損失，更有可能影響到國家機密，導致災難性的傷害。保證各類敏感業務數據在產生、傳輸、存儲和銷毀的全生命周期中不會被泄露，已成為電網企業信息化建設過程中的迫切需求和需要思考的問題[2]。

1 電網企業數據安全現狀

雖然目前國內外廠家已經基于不同用戶需求開發出了數據防泄漏產品，電網企業也制定了初步的數據分類分級制度和管控策略，但是電網企業在實施數據安全工作的過程普遍存在信息資產識別不充分、方法落地難，DLP設備策略的制定不夠客觀和充分，數據生命周期安全管控措施缺乏等問題[3]。信息安全建設更多的考慮了硬件和軟件的安全，而忽視了人員、數據、文檔、服務、無形資產等重要對象。

在技術層面，沒有完整的對電網企業的數據進行調查和梳理，識別出電網企業需要防護的敏感數據，DLP策略的制定僅僅依靠產品的內定策略和技術人員的主觀決定，并在使用的過程中進行不斷的調整。

在管理層面，電網企業現有的數據安全工作更多的是在企業層面對數據進行宏觀的分類分級，沒有深入到特定業務部門對數據進行有針對性的細分，導致業務部門對數據安全感知度不高，信息中心對數據敏感程度把握不夠，數據防泄漏工作的效果有限。

例如：電網企業在數據生命周期安全管理中普遍存在以下現象，未制定敏感數據采集管理要求；未及時銷毀或安全保存紙質的更新表單；未對敏感數據的外發做嚴格的限定和明確的保護要求；第三方維護人員存在共用賬號、賬號權限過大等現象；測試數據未充分脫敏；未明確數據回收和銷毀管理流程；存在未對離職或者轉崗人員數據進行回收和銷毀的情況。給電網企業數據安全工作帶來了極大的挑戰。

2 基于業務流程的數據防泄漏

電網企業數據的產生、流轉、存儲、消亡和電網企業的各個業務流程息息相關，數據的泄漏等安全風險也存在與業務流程的各個節點當中，因此研究電網數據的生命周期安全必須從業務流程的研究開始，從業務流程梳理、數據生命周期識別、數據安全風險評估、數據分類分級、數據分類分級管控等環節開展數據防泄漏工作[4]。具體有如下三個關鍵點：

（1）數據安全防護解決方案的實施不是一個獨立的產品部署項目，而是電網企業整體信息安全風險管理體系中的重要一環，需要與整體信息安全管理策略、制度和業務流程相一致。

（2）數據泄漏防護體系需要與電網企業業務緊密配合，需要深入識別和深刻理解關鍵業務部門的涉密數據與工作流程，及對制定有效的管控策略并部署。

（3）只有提高電網企業管理層、業務人員對數據安全防護重要性的認知，以獲得業務部門的充分配合、必要的資源以及管理層的支持，才能有效的推行數據防泄漏工作。

基于電網企業在實施數據防泄漏工作的過程中遇到的難題和挑戰，在充分認識電網企業實施數據防泄漏工作的成功要素后，提出了基于業務流程的數據防泄漏解決方案，主要包括如下4個實施階段。

2.1 數據安全現狀調研

針對電網企業信息安全環境進行深入調研，以得出數據分級方法以及數據分級分類指引；對數據流轉進行審計記錄數據流轉不當事件。

咨詢調研

（1）業務流程調研：通過訪談、工作組形式與業務部門一同整理流程，識別流程中產生何種數據、數據的存儲方式、數據的流程方向、不同存儲位置的訪問權、數據的生命周期，編制成業務流程圖和對應的數據流程圖，分析流程在設計、運行等方面存在的現狀，特別是對流程中的關鍵控制點。

（2）業務流程穿行測試：對業務流程進行穿行測試，尤對業務流程產生的數據、數據流轉，以確保調研結果的完整性和準確性。

通過咨詢調研，梳理出業務流程涉及數據如表1所示。

（3）數據流轉審計

在一定的時間區間內，通過技術手段（監控軟件等）對網絡數據、即使通信數據、郵件、文檔打印、文檔操作、全網數據六方面進行監控，對前步驟識別的關鍵數據全生命周期的數據流轉活動進行檢測審計，識別是否存在關鍵數據泄漏事件、風險以及泄漏程度，為下一階段風險評估作數據準備。

2.2 數據安全風險評估

運用科學的方法和手段，系統地分析電網企業數據所面臨的威脅及其相關環境存在的脆弱性，評估數據泄密事件一旦發生可能造成的危害程度。為了全面識別電網企業當前的數據安全風險，從流程管理和安全技術兩個方面對安全風險進行評定。

數據安全控制點調研：通過對數據流轉環節和運維安全環節的控制點調研，識別電網企業在數據安全控制方面存在的不足和風險。

泄密事件分析：通過數據流轉監控所收集的數據，對其進行分析可發現在業務流程中部分用戶的文檔操作可能涉及泄密事件或惡意損壞公司重要文件的動作。對這一系列的行為進行分析，并與相關用戶、主管領導通過溝通，獲取用戶正常的工作行為，從而獲取真實性。在確認行為后對行為的危害進行分析，并提出解決方案[5]。

表1 業務流程數據

流程脆弱性分析：在現狀調研階段，通過各種形式了解完業務流程后，對業務流程的流向、流程節點構成、流程安全控制進行分析，找出流程中可能存在的數據泄漏風險點。最后匯總流程風險點并與IT、內審、業務部門領導進行溝通確認，以保證風險發現完整真實[5]。

2.3 基于電網數據屬性的數據分類分級

（1）分類分級理論

數據分級策略制定：編制好業務流程圖以及數據流程圖后，與相關業務部門合作，通過訪談、問卷調查，采用先進技術識別（如特殊位置的文件檢索；基于內容的關鍵字，數據類型架構識別）等方式，協助相關業務部門根據下列因素對流程涉及的數據進行分級分類，識別不同數據的類別、重要性以及合適的訪問權限。考慮因素包括（但不限于）：

1）數據是否受法律法規限制；

2）內部數據的相對價值；

3）對用戶和業務合作伙伴的直接影響；

4）對品牌和聲譽的潛在影響；

5）喪失競爭優勢的可能性；

（2）分類分級標準制定

根據相關流程實際情況以及數據識別結果，建立數據分級分類策略。

數據分類分級：根據電網行業特性，電網的分級分類應主要參考“等保”、“保密法”、“行業最佳實踐”要求進行[6]。

（3）分級數據賦值：

一級：3.8≦K≦4.0 二級：3≦K＜3.8 三級：1.8≦K＜3 四級：K＜1.8

（4）通過多個維度評估數據涉密等級：

將根據文檔的“業務類型”，“影響范圍、對象”，“損失影響”三個維度對文檔進行打分，評估數據密級。數據密級得

K=業務類型得分×30%+影響范圍、對象得分×20%+損失影響預估得分×50%

表2 文檔數據涉密等級評估維度

2.4 數據分類分級管控

在整個數據的生命周期中都必須進行安全防護，以降低所有可能威脅公司數據安全事件發生的可能性，總體策略如下：

（1）數據的生成策略

①數據作者必須按照數據分級細則、數據分級管控標準對數據進行標識，注明數據所有人；

②紙質數據的應確保在指定的機器、授權的業務流程中產生并按照標準保存；

1）數據的保存：

①數據作者或保管人必須將數據按照數據分級管控標準保存在特定的位置，或按照數據分級管控標準對保存的介質進行安全控制；

②各部門對“二級”以上數據應建立統一的存儲點進行保存；

2）數據的傳遞：

①數據作者、保管者在發送數據前，必須按照管數據分級控標準為數據選擇正確的傳輸保護措施；

②若數據使用加密傳輸，則加密對象與密鑰應分別傳遞；

③各部門、應用系統應采用統一的數據傳輸出口，或指定一名數據外發的負責人員，避免過多出口帶來的風險；

④“二級”以上數據不應出現在郵件正文中，數據傳遞應盡量使用附件操作；

⑤傳遞接收人必須保障接收數據的安全；

⑥文件在投遞前必須使用公司信封密封，再通過物流公司信封封裝；

⑦“二級”以上數據在傳遞前必須獲得對應的授權。

（2）數據的使用策略

①“二級”以上數據在使用前（包括獲取、導入、導出和再加工）必須獲得對應的授權，審批申請內容應參考；

②在未征得所有人授權之前，不得將敏感數據或其部分再次共享給其他非授權人員；

③原始數據加工后的，應在保證業務需要情況下盡可能進行脫敏處理；

④數據在使用完畢后應及時刪除或銷毀

（3）數據的銷毀策略

①數據所有者定期對敏感數據的時效性進行審閱；

②數據的所有者、管理者、使用者應對已失效的數據按照管控標準要求進行銷毀；

③原則上，數據被傳送給取數需求方后，獲取數據的計算機應及時刪除數據；

④對于不再使用的介質，需要進行徹底銷毀，并填寫銷毀記錄[7]。

以往的數據防安全研究方向著重點是使用何種工具對一般信息進行保護，保護層面廣，但缺乏深度，只是對信息安全方方面面提供基礎保護。同時，一般數據安全建設容易忽略了業務部門的需求及企業真正的業務需要，導致數據安全保護效果不足或者過度，影響業務的正常運轉及企業的利益。

3 結語

本文研究方法著重點是對電網企業數據進行全方位保護，從數據的價值、業務流程入手，了解業務需求，數據的關鍵性、評估數據面臨的風險與危害，從而構建與業務流程吻合、數據安全管理與數據安全技術雙層面的全面數據防護體系。將數據保護與業務緊密結合，形成的安全模型極高的針對性、顯著的防護效果以及實施可行性。研究的結果也能為以后規劃目標清晰的信息安全建設項目提供實踐經驗。通過對業務部門數據進行調研，數據分類分級（數據屬性賦值/數據等級計算），根據數據類別和等級對數據生命周期進行管控，結合后期DLP產品的實施，形成數據防泄漏工作的閉環，在數據防泄漏的各階段形成標準化、規范化的文檔，大大提升數據防泄漏工作的效率。本次對試點部門業務數據的防泄漏工作進行研究，可為后期數據防泄漏工作的推廣和DLP產品策略的制定提供參考經驗和理論支撐。

［1］路少龍.淺談電力企業計算機數據的安全保護［J］.數字技術與應用，2011（9）：246.

［2］陸海龍.數據安全存儲系統的研究與實現［D］.上海：復旦大學，2010：33.

［3］彭維平.基于可信平臺的數據泄漏防護關鍵技術研究［D］.北京：北京郵電大學，2011：26-27.

［4］馮建云，張月琴.內網安全信息防泄漏系統的開發與實現 ［J］.電腦開發與應用，2010，23（7）：31-33，39.

［5］張孝，王珊，彭朝暉.基于安全策略的一種數據保護方法及實現技術［J］.計算機科學，2007，34（2）：122-123.

［6］刁俊峰.軟件安全中的若干關鍵技術研究［D］.北京：北京郵電大學，2007：5-8.

［7］趙勇，劉吉強，韓臻.信息泄露防御模型在企業內網安全中的應用［J］.計算機研究與發展，2007（05）：761-767.