山東煙草數據安全探索與實踐

宋楠 仇道霞

摘? 要：為進一步提升信息安全水平，山東煙草運用現代化技術手段識別現有信息系統(tǒng)數據安全風險，探索解決數據泄漏、弱口令、敏感隱私數據泛濫等數據安全問題，制定針對性的管理措施和安全防護策略，確保數據的完整性、可用性、保密性和可靠性，提升了山東煙草數據安全防護水平。

關鍵詞：煙草;數據安全;基本實踐;數據分類;成熟度模型

中圖分類號：TP309? ? ? 文獻標識碼：A 文章編號：2096-4706（2020）01-0129-06

Abstract：In order to further improve the level of information security，Shandong tobacco uses modern technology to identify the data security risks of the existing information system，explore and solve data security problems such as data leakage，weak password，proliferation of sensitive privacy data，and formulate targeted management measures and security protection strategies to ensure the integrity，availability，confidentiality and reliability of data，which improves Shandong tobacco data security protection level.

Keywords：tobacco;data secutiry;base practices;data classificaion;maturity model

0? 引? 言

隨著山東煙草信息化程度越來越高，積累了大量的數據資源，業(yè)務種類繁多，橫向涉及卷煙營銷、專賣管理、煙葉管理、企業(yè)管理等各個業(yè)務領域，縱向貫穿省、市、縣（區(qū)）等多個層級，數據呈現出數據量大、復雜性高、多樣性強等特點，對安全性保護、規(guī)范性管理、技術架構升級改造等提出了新的要求和挑戰(zhàn)。全系統(tǒng)數據資源開放共享程度越來越高，數據安全問題也日益突出，如個人信息泄露事件層出不窮、敏感數據泛濫成災、數據管理權責不清、數據保護措施不足等。如何更好地使用和保護數據資源，解決數據安全面臨的各類挑戰(zhàn)，成為當前亟待解決的重要問題。山東煙草立足識別數據安全風險隱患，著力從數據的全生命周期（采集、存儲、傳輸、使用、提供、銷毀）開展數據安全方案研究探索，著力解決數據的完整性、保密性、完整性、可用性等安全問題，設計完善數據安全防護策略，提高數據安全防護水平。

1? 數據安全發(fā)展趨勢

隨著大數據、云計算等新興技術的蓬勃發(fā)展，數據資源共享變得更加方便、快捷，但同時也帶來了一些安全隱患，如企業(yè)泄密事件層出不窮、個人信息過度收集屢禁不止、敏感隱私數據泛濫成災等。放眼全球，各國都把數據安全上升到國家戰(zhàn)略的高度，把數據安全治理、隱私保護當作首要任務來抓。

歐盟議會于2018年5月25日通過了GDPR[1]《通用數據保護條例》新規(guī)。新的條例完全更新了歐盟成員國以及任何與歐盟各國進行交易或持有公民（歐洲經濟區(qū)公民）數據的公司存儲和管理個人數據的方式。GDPR的目標是保護歐盟公民免受隱私和數據泄露的影響，同時重塑歐盟的組織機構處理隱私和數據保護的方式，從個人數據權利的法律歸屬上，設定了“個人數據”“數據主體”和“數據主體權利”以及采取了嚴格的全球個人隱私保護要求。

2018年1月18日，美國聯邦貿易委員會[2]（Federal Trade Commission，FTC）發(fā)布了《隱私與數據安全保護工作報告（2017）》即《Privacy & Data Security Update（2017）》。FTC對公司提出實質性保護和程序性保護兩個要求，即不僅要注重數據安全保護方式內在的合理性與安全性，也要將數據安全保護作為公司的例行工作和日常事項，還提出企業(yè)所收集的用戶信息應當滿足“最小化的密切聯系原則”，即機構收集的信息以實現服務目的為限。

2017年《網絡安全法》正式實施，不僅將網絡安全上升到國家戰(zhàn)略的高度，更明確指出網絡運營商關于個人信息保護的責任，數據安全已經成為網絡安全的重要保證。在信息時代，數據資源已經成為一個企業(yè)的重要資產，無論從資產保護的角度，還是從《網絡安全法》等法律法規(guī)要求的角度，都要求我們加強對數據資源的安全保護。

2? 山東煙草數據安全挑戰(zhàn)

隨著我國信息化水平的不斷提高，煙草行業(yè)也在向信息化方向高速邁進。在加快信息化建設的同時，煙草行業(yè)所面臨的數據安全問題也日益增加，數據泄露、黑客攻擊、第三方惡意軟件等問題正無時無刻地威脅著煙草行業(yè)的數據安全，因此煙草行業(yè)必須進行數據安全建設。需要從管理、技術、人員等多個層面整體提高數據安全。

山東煙草由于資金、管理、技術、人員等多重因素影響，也存在著一定的數據安全問題。其中，現階段較為突出的問題集中在：數據資產不清、敏感數據不明、敏感數據防護有缺陷、管理制度不完善、安全從業(yè)人員安全水平不足、數據接觸人員安全意識不足、安全應急體系不完善、缺乏科學有效的數據治理方法等。

3? 山東煙草數據安全探索思路

山東煙草在進行數據安全探索的過程中，針對以上數據安全風險，提出的數據安全對策和思路是：以數據安全能力成熟度模型與數據生命周期相結合，通用安全DSCMM[3]（框架、技術、方案）為數據治理指導原則。結合山東煙草的特點規(guī)劃適合山東煙草的數據安全解決方案。

3.1? 數據安全能力成熟度模型

數據安全能力成熟度模型（如圖1所示）是一套數據安全建設中的系統(tǒng)化框架，是圍繞數據的生命周期，結合業(yè)務需求以及監(jiān)管法規(guī)的要求，持續(xù)不斷提升數據安全能力，從而形成的以數據為核心的安全框架。

3.2? 數據生命周期安全

圍繞數據生命周期，提煉出現有數據環(huán)境下，以數據為中心，針對數據生命周期各階段建立的相關數據安全過程域體系，定義了數據生命周期中的交個階段，如圖2所示。

（1）數據產生：新的數據產生或現有數據內容發(fā)生顯著改變或更新的階段;

（2）數據存儲：非動態(tài)數據以任何數字格式進行物理存儲的階段;

（3）數據使用：組織在內部針對動態(tài)數據進行的一系列活動的組合;

（4）數據傳輸：數據在組織內部從一個實體通過網絡流動到另一個實體的過程;

（5）數據共享：數據經由組織與外部組織及個人產生交互的階段;

（6）數據銷毀：利用物理或者技術手段使數據永久或臨時性不可用的過程。

根據數據生命周期各階段安全（如圖3所示）要求，結合山東煙草數據安全特點，整理出近期數據安全治理要解決的重點內容，包括：數據資產梳理、敏感數據識別、數據分級分類、數據資產安全檢測、數據資產安全加固、數據監(jiān)控與溯源、數據加密防護、數據分發(fā)脫敏、數據安全管理制度、數據權限加固、人員安全培訓和數據安全應急響應等。

4? 山東煙草數據安全基本實踐

山東煙草數據安全實踐以解決上述問題為目標，下面將詳細論述采用何種方法解決上述問題。

4.1數據資產梳理

資產梳理是解決敏感數據安全問題的必要手段。數據資產梳理可以幫助管理人員了解數據資產的規(guī)模、分布情況和使用場景，從而根據不同場景下的數據安全需求建立有針對性的安全防御手段。

山東煙草借助專業(yè)的梳理工具，對業(yè)務系統(tǒng)中的數據庫進行了快捷、高效的數據資產梳理工作，獲得了清晰、直觀的數據資產分布情況。梳理的內容包括：

（1）數據庫數量、類型、版本及詳細信息;

（2）確認數據資產分布情況及數量，精確到字段、行數;

（3）梳理數據庫賬戶信息及賬戶對資產的訪問權限。

梳理完畢后，將梳理結果進行匯總，形成數據資產清單，部分結果如圖4所示。梳理后的結果將作為后續(xù)數據安全建設的依據，為規(guī)劃數據安全方案提供參考。

4.2? 敏感數據識別

敏感數據識別是要發(fā)現系統(tǒng)中的敏感數據。在數據梳理的基礎上，在有限的識別范圍內，通過對敏感數據特征的分析，提煉出一套山東煙草的敏感數據特征庫。利用特征庫快速找出系統(tǒng)中的敏感數據，為后續(xù)數據分類分級奠定數據特征基礎。山東煙草敏感數據特征示例如圖5所示。

4.3? 數據分級分類

數據分級分類是將識別后的敏感數據進行篩選，根據數據的價值、重要程度分門別類，為不同級別的數據提供不同程度的安全防護。山東煙草依據的分級原則如下：

（1）信息外泄或披露不會造成商譽損失，不會造成經濟損失;

（2）信息外泄或披露會造成輕微商譽損失，不會造成經濟損失;

（3）信息外泄或披露會造成商譽損失，會造成經濟損失，或存在輕微經營風險;

（4）信息外泄或披露會造成嚴重商譽損失，會造成嚴重經濟損失，或存在嚴重經營風險。

4.4? 數據資產安全檢測

為了進一步明確山東煙草數據庫安全所面臨的問題，采用數據庫安全檢測工具對數據庫進行安全掃描。掃描的安全問題包括：數據庫漏洞、配置缺陷、危險代碼、缺省口令、審計情

況、補丁狀態(tài)等一系列安全問題的情況以及修復建議。圖6是風險分布-檢測項類型圖，即Oracle數據庫存在的安全隱患綜合圖。數據管理員根據修復建議，對數據庫問題進行了漏洞整 改、數據庫版本升級、口令強化、關閉不必要用戶等修復工作。

4.5? 數據資產安全加固

升級數據庫或系統(tǒng)配置是提高數據安全性的常見手段。但是山東煙草存在復雜的應用體系以及海量的數據，升級時必須進行全適應測試，以防止業(yè)務異常問題出現，會耗費極大的人力和財力。因此，為了提高效率，同時保證數據庫的安全性，采用了帶有虛擬補丁功能的數據庫防火墻產品。

數據庫防火墻能夠解決數據漏洞、錯誤配置、惡意代碼等多種數據庫安全問題。虛擬補丁（如圖7所示）不需要升級、重啟數據庫，就可以達到防護數據庫遭到漏洞、惡意代碼攻擊的問題，是一種適用于山東煙草數據安全現狀的有效方法。

4.6? 數據監(jiān)控與溯源

審計系統(tǒng)能夠自動化監(jiān)控用戶行為，及時發(fā)現針對數據庫的攻擊行為，阻斷風險操作。當安全問題發(fā)生后，還能根據審計日志追本溯源，便于責任追查。對于數據庫監(jiān)控審計系統(tǒng)，要求能做到以下幾點：

（1）報表類型：日報、周報、月報、專項報表等;

（2）報表內容：風險分布狀況、客戶端統(tǒng)計分析、語句統(tǒng)計分析、性能狀況等;

（3）統(tǒng)計圖展現形式：柱形圖、曲線圖、雙軸折線圖等。

數據庫審計如圖8所示，審計產品能夠檢測到高危操作，并以圖標的形式直觀地展現出來。

4.7? 數據加密防護

數據加密是數據防護的最后一道防線。數據加密的目的是即便數據泄露，也能保障數據不被識別或惡意利用。我們從應用層、網關層、交換基層、數據庫層、主機層等多個層面進行了數據加密方案的論證和實驗，最終發(fā)現數據庫層加密最適合煙草行業(yè)的業(yè)務場景。

其他層面的數據加密要么會導致應用的大幅改造，要么會導致業(yè)務性能下降超過20%，這些都是難以接受的。而數據庫層加密對性能影響較低，是目前最佳的數據加密解決方案。

4.8? 數據分發(fā)脫敏

數據安全的一個關鍵點是保障流動中數據的安全。數據的價值來自共享和分發(fā)。分發(fā)必須符合一定的規(guī)范，對不同類型的數據采用不同的脫敏方案后，再實施分發(fā)。山東煙草基于自身數據特征和分發(fā)場景形成了一套標準的數據分發(fā)規(guī)范，詳細規(guī)范了不同類型數據的脫敏規(guī)則。具體數據脫敏規(guī)則如圖9所示。

4.9? 數據權限加固

數據資產自身雖然提供了一定的權限體系，但這些權限體系在權限的細粒度上存在問題。導致很多能接觸到數據的數據操作者，可能成為數據泄露的潛在風險。為了兼顧實時性和安全性，我們采用動態(tài)脫敏技術。使不同權限的數據操作人員，看到的數據形態(tài)，特征各不相同。保障了數據在操作過程中不出現泄露的問題。具體數據權限加固如圖10所示：授權用戶可以看到真實數據值，而非授權用戶A只能看到遮蔽后的部分值，而采用不同策略的非授權用戶B則會看到仿真數據。但庫中存儲的是真實數據，利用動態(tài)脫敏技術及保障了原始數據存儲安全，同時又有效避免了數據在操作過程中被泄露的風險。

4.10? 數據安全管理制度

數據安全實踐必定是技術和管理相結合，制定合理的數據安全管理制度非常重要。我們參考《ISO27001-2013信息安全管理體系要求》，將管理制度分為四級進行建立，如圖11所示。

一級管理制度文件為方針政策、二級管理制度文件為制度規(guī)范、三級管理制度文件為操作明細、四級管理制度文件為基礎模板。除一級文件外，其他級別的文件在制定的時候具有唯一上級，同級文檔內容不能重復，最終形成樹狀結構。

4.10.1? 一級文件

由決策層指導編制并發(fā)布，明確數據安全工作的總體方針和綱要，確定開展數據安全工作的目標和基本原則，主要內容包括：數據安全相關責任的劃分、數據安全工作的范圍、決策機制以及數據安全工作技術路線。

4.10.2? 二級文件

在總體方針的框架下，形成基于數據場景的制度規(guī)范，如數據安全管理規(guī)范（通用規(guī)范）、數據共享管理規(guī)范、數據資產管理規(guī)范等。二級文件要明確相關角色的權利和義務，面向相關對象（包括人、應用、工具）提出要求。

4.10.3? 三級文件

基于二級文件提出的要求，形成具體的執(zhí)行文件，如脫敏規(guī)范、審批流程、審計日志規(guī)范等，三級文件是指導技術落地的基礎。

4.10.4? 四級文件

四級文件是基礎輔助類文件，一般都是由三級文件在執(zhí)行過程中產生或沉淀而來，例如：數據權限申請模板、脫敏申請模板、流程審批模板等。

4.11? 人員安全培訓

人為因素一直是數據安全研究的重點內容，數據從產生到使用，每個環(huán)節(jié)都離不開人的影響。因此，有必要對管理人員進行數據安全培訓，加強運維人員、管理人員、普通用戶的安全意識以降低人為因素的影響。根據實際經驗來看，培訓應當從以下兩方面入手。

4.11.1? 意識培養(yǎng)和培訓

根據接觸數據的人員實際情況和需求，對有關人員進行意識培養(yǎng)和應急技能培訓，以便能達到數據安全運營的基本要求，最終達到數據安全運營的貫徹、實施、執(zhí)行和維護。例如：針對數據操作人員，重點在于安全意識的培訓、安全事件教育等。針對運維人員則是在思想培訓的基礎上要做大量數據安全運營的技能培訓。

4.11.2? 定期做應急演練與總結

運維人員應該定期開展應急演練，來提高應對突發(fā)事件的能力。應急演練過程如下：

應急演練前，運維人員應明確演練的范圍和演練項目，熟悉應急演練環(huán)境，制訂詳細的應急演練方案，準備應急演練環(huán)境并測試，并要對參加演練人員進行演練前培訓。

正式演練時，其他運行和實施小組人員將配合用戶完成全程演練工作，并隨時準備對突發(fā)事件進行處置。

演練完成后，運維人員應進行演練工作匯報，總結演練，形成針對不同情況的應急響應方案。

應至少每半年組織一次安全應急演練工作，如大規(guī)模病毒爆發(fā)、安全設備故障等，并生成總結報告表。

4.12? 數據安全應急響應

數據安全建設一個長期持續(xù)的過程，需要在組織內持續(xù)性地落實數據安全的相關制度和流程，并基于組織的業(yè)務變化和技術發(fā)展不斷地調整和優(yōu)化。要想做好數據運營，關鍵在于應急管理。應急管理應包含以下兩方面內容。

4.12.1? 應急響應目標

建立應急組織機構和工作機制，確保在重點時期、安全事件高發(fā)期的數據安全保障工作的順利實施，當面對重大數據安全事故時具備應對手段;要確保在應急組織的協調下，能夠高效有序地開展數據安全運營工作;要具有完善的應急機制和應急預案，從而在應急狀態(tài)下對業(yè)務應用進行有效支撐，滿足業(yè)務連續(xù)性要求，防止業(yè)務中斷。

（1）工作目標。1）建立應對應急事件的快速高效、分工明確、責任到人、常備不懈的應急組織及保障體系;2）建立應對應急事件防范、指揮、處置體制和機制，提高處理和解決應急事件的響應能力;3）通過規(guī)范應急事件的等級分類，確定不同等級應急事件的啟動程序，明確各部門的職責和權利;4）盡快消除事件影響，盡可能減少事故造成的人員和財產損失。

（2）工作原則。數據安全運營應急管理工作應堅持以下原則：堅持統(tǒng)一領導、分級負責;堅持統(tǒng)一指揮、密切協同、快速反應、科學處置;堅持預防為主，預防與應急相結合;堅持誰主管誰負責、誰運行誰負責，充分發(fā)揮各方面力量，共同做好安全事件的預防和處置工作。

4.12.2? 應急響應流程

（1）明確組織機構。為加數據安全運營保障工作，有效應對信息安全突發(fā)事件，應明確安全應急指揮、響應、處置職責，應建立相應的組織體系，負責領導、協調、處理應急響應工作和突發(fā)緊急安全事件。應急保障臨時小組框架如圖12所示。

（2）應急事件分級。安全事件是指由于人為因素、軟硬件缺陷或故障、自然災害等，對云平臺網絡和信息系統(tǒng)或者其中的數據造成危害，對社會造成負面影響的事件。

應急保障組織應根據安全事件的危害和損失的程度，對安全事件進行分級，參照《國家網絡安全事件應急預案》（中網辦發(fā)文〔2017〕4號）中對網絡安全事件的分級方式，將安全事件分為A、B、C、D四級，分別對應特別重大安全事件、重大安全事件、較大安全事件、一般安全事件。事件定級要求如下：

A級：核心應用服務器、核心數據庫服務器、核心數據備份設備、核心業(yè)務系統(tǒng)、核心數據庫故障或宕機。此類信息系統(tǒng)故障涉及全業(yè)務系統(tǒng)范圍，超過兩個小時以上，嚴重影響工作的正常進行。

B級：核心應用服務器設備、核心數據庫服務器設備、核心數據備份設備、核心業(yè)務、核心數據庫系統(tǒng)故障或宕機。此類信息系統(tǒng)故障涉及到全業(yè)務系統(tǒng)范圍，在二個小時之內，嚴重影響工作的正常進行。

C級：單個系統(tǒng)軟件（包含數據庫中的一個節(jié)點，集群中的一個應用端口）、單個業(yè)務系統(tǒng)故障，超過二個小時以上，影響部分工作的正常進行。

D級：單個系統(tǒng)軟件、單個業(yè)務系統(tǒng)，無法使用超過30分鐘以上，影響業(yè)務范圍較小。

（3）應急處置。應急處置流程如圖13所示，由于突發(fā)事件發(fā)生的位置、影響和時間是不可預知的，應急組織要求能夠靈活應對這種不確定性因素。遵循“分級響應”的原則設置應急響應機構。這種分級響應的機制可以最大限度地利用有限資源滿足全網全平臺的應急響應需求，強調不同等級的風險用相應的資源來應對，明確設置每一等級相應的處置負責人和資源投入，確保快速有效地處置突發(fā)事件。

（4）調查與評估。特別重大網絡安全事件由應急辦組織，應急處置組進行調查處理和總結評估，并按程序上報。重大及以下網絡安全事件由應急處置組自行組織調查處理和總結評估，其中重大網絡安全事件相關總結調查報告報應急辦。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。事件的調查處理和總結評估工作原則上在應急響應結束后30天內完成。信息安全事件應急處置工作結束后，信息安全處置組在三個工作日內對事件處置過程和結果詳細記錄在事件報告單中，并將事件總結報告進行備案，歸檔保存。

（5）安全事件報告表。所有信息安全事件應填寫安全事件報告表。

5? 結? 論

山東煙草開創(chuàng)性地把熟度模型與數據生命周期相結合，形成了特色的數據安全治理思路。山東煙草不光有數據治理思路，更有治理決心、整體規(guī)劃和短期目標以及實踐能力。在做了大量實踐調研的基礎上，針對數據資產梳理、敏感數據識別、數據分級分類、數據資產安全檢測、數據資產安全加固、數據監(jiān)控與溯源、數據加密防護、數據分發(fā)脫敏、數據安全管理制度、數據權限加固、人員安全培訓和數據安全應急響應等棘手問題，提出解決方案。但相信隨著數據安全形勢的發(fā)展變化，還會出現新的挑戰(zhàn)，在不斷深入實踐的過程中也會有新的安全問題出現。我們山東煙草人一定會迎難直上，披荊斬棘，不斷面對新的安全挑戰(zhàn)，不斷征服新的安全挑戰(zhàn)。

參考文獻：

[1] 歐洲聯盟.通用數據保護條例[S/OL].（2018-05-25）.https：//baike.baidu.com/item/%E9%80%9A%E7%94%A8%E6%95%B0%E6%8D%AE%E4%BF%9D%E6%8A%A4%E6%9D%A1%E4%BE%8B/22616576？fr=Aladdin.

[2] 美國聯邦貿易委員會.2017年隱私與數據安全保護工作報告 [A/OL].（2018-01-18）https：//www.useit.com.cn/thread- 18230-1-1.html

[3] 全國信息安全標準化技術委員會（SAC/TC 260）.信息安全技術 數據安全能力成熟度模型：GB/T 37988-2019 [S].北京：中國標準出版社，2019.

作者簡介：宋楠（1982-），男，漢族，山東濟南人，主任科員，高級工程師，碩士，研究方向：軟件工程;仇道霞（1973-），女，漢族，山東濟南人，副主任科員，高級工程師，碩士，研究方向：軟件工程。