建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)安全管理研究

摘要：伴隨管理信息化和大數(shù)據(jù)在各行業(yè)的應(yīng)用和快速發(fā)展，建設(shè)行業(yè)從業(yè)人員檔案數(shù)據(jù)管理也由信息時(shí)代向數(shù)據(jù)時(shí)代轉(zhuǎn)變。數(shù)據(jù)來源于多方面，且呈爆炸式增長。對數(shù)據(jù)安全管理是針對數(shù)據(jù)全流程的管理，包含數(shù)據(jù)采集、存儲、使用、加工、傳輸、查詢、公開等。建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)具有開放性，才能為行業(yè)數(shù)據(jù)應(yīng)用和數(shù)據(jù)分析拓路賦能。同時(shí)，從業(yè)人員檔案數(shù)據(jù)又具有私密性，對數(shù)據(jù)泄露和敏感信息竊取等安全保護(hù)提出了更大的挑戰(zhàn)。因此，確保建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)安全管理，對于大數(shù)據(jù)背景下推動建設(shè)行業(yè)信息化發(fā)展、智能建造、智慧城市、智慧工地等的發(fā)展和信息安全都具有重要意義。

關(guān)鍵詞：大數(shù)據(jù)；數(shù)據(jù)安全；電子檔案

引言

建設(shè)行業(yè)信息管理系統(tǒng)的快速發(fā)展和互聯(lián)網(wǎng)、大數(shù)據(jù)的廣泛應(yīng)用，使相關(guān)數(shù)據(jù)的安全性變得越來越重要，各個(gè)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全已經(jīng)成為主管部門關(guān)注的熱點(diǎn)。從業(yè)人員檔案數(shù)據(jù)是關(guān)聯(lián)所有業(yè)務(wù)系統(tǒng)的主線，包含在培訓(xùn)考核、證書使用、工作經(jīng)歷、工資發(fā)放、安全生產(chǎn)等各個(gè)環(huán)節(jié)中。所以，人員檔案數(shù)據(jù)既具有保密性，又具有開放性。作為保密性要求，須確保檔案數(shù)據(jù)不被泄露，不被盜用；作為開放性要求，須確保檔案數(shù)據(jù)可供各業(yè)務(wù)系統(tǒng)查詢使用，產(chǎn)生價(jià)值。因此，為確保從業(yè)人員檔案數(shù)據(jù)安全，加強(qiáng)安全管理措施勢在必行。

1. 威脅數(shù)據(jù)安全因素分析

數(shù)據(jù)安全包括數(shù)據(jù)本身安全和數(shù)據(jù)防護(hù)安全。數(shù)據(jù)本身安全，指采用現(xiàn)代密碼算法對數(shù)據(jù)進(jìn)行主動保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等；數(shù)據(jù)防護(hù)安全，指采用現(xiàn)代信息存儲手段對數(shù)據(jù)進(jìn)行主動防護(hù)，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。本研究側(cè)重關(guān)注通過數(shù)據(jù)訪問身份驗(yàn)證、數(shù)據(jù)加密訪問、數(shù)據(jù)管理制度建立等方面解決數(shù)據(jù)本身安全。通過技術(shù)手段和管理制度保護(hù)數(shù)據(jù)資產(chǎn)，以防止偶然或未授權(quán)者對數(shù)據(jù)的惡意泄露、修改和破壞，從而導(dǎo)致數(shù)據(jù)的不完整、不可靠或失去價(jià)值。威脅數(shù)據(jù)安全的因素很多，主要表現(xiàn)為以下常見因素：一是系統(tǒng)使用和系統(tǒng)運(yùn)維管理體制不健全，人為因素導(dǎo)致數(shù)據(jù)泄漏或被篡改；二是因系統(tǒng)漏洞造成系統(tǒng)被攻擊，通過漏洞植入病毒竊取數(shù)據(jù)；三是系統(tǒng)使用者和管理員保密意識薄弱，在數(shù)據(jù)查詢和數(shù)據(jù)應(yīng)用中缺乏安全保密意識[1]。

1.1 數(shù)據(jù)安全管理重要性

世界著名密碼技術(shù)與安全技術(shù)專家惠特菲爾德·迪菲提出，“數(shù)據(jù)量越大，安全保障的重要性就越大”。數(shù)據(jù)安全是任何政府部門和企業(yè)都必須十分重視的問題[2]。針對建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)，既要對外實(shí)現(xiàn)數(shù)據(jù)公開，更好地服務(wù)于從業(yè)人員、培訓(xùn)機(jī)構(gòu)和用人單位，支撐建設(shè)行業(yè)其他業(yè)務(wù)系統(tǒng)和管理系統(tǒng)對從業(yè)人員信息數(shù)據(jù)的需求，便于數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計(jì)、管理和數(shù)據(jù)更新，又要對數(shù)據(jù)保密，做到數(shù)據(jù)非本人不能查詢、下載和使用，非本人授權(quán)不能查閱，禁止數(shù)據(jù)的盜用和篡改[3]。所以，做好數(shù)據(jù)安全管理是大數(shù)據(jù)時(shí)代的重要任務(wù)之一。

1.2 制度不健全或管理不規(guī)范

根據(jù)系統(tǒng)使用規(guī)范要求，須建立《數(shù)據(jù)安全管理制度》，并要求管理人員一人一賬號一密鑰，分角色、分權(quán)限、分時(shí)段對系統(tǒng)和數(shù)據(jù)管理，要求定期更新管理員賬號及密碼。現(xiàn)有很多業(yè)務(wù)系統(tǒng)并未做到專人專戶，且未實(shí)現(xiàn)登錄賬號與設(shè)備綁定，步步操作實(shí)時(shí)記錄，出現(xiàn)數(shù)據(jù)泄漏和篡改時(shí)無法追溯。同時(shí)，造成數(shù)據(jù)安全的隱患還包括利用職權(quán)之便無意識泄漏后臺數(shù)據(jù)。根據(jù)系統(tǒng)運(yùn)維規(guī)范要求，須單獨(dú)建立《系統(tǒng)運(yùn)維管理制度》，要求運(yùn)維技術(shù)人員簽訂《數(shù)據(jù)安全保密協(xié)議》，并根據(jù)運(yùn)維工作需要，申請開通運(yùn)維服務(wù)權(quán)限和數(shù)據(jù)管理權(quán)限。然而在部分系統(tǒng)運(yùn)維過程中，為了節(jié)約時(shí)間成本和人工成本，技術(shù)人員直接訪問數(shù)據(jù)庫并接觸到核心數(shù)據(jù)，在數(shù)據(jù)未備份情況下即操作數(shù)據(jù)庫，或?qū)浞莺蟮臄?shù)據(jù)隨意存儲，導(dǎo)致核心數(shù)據(jù)、保密數(shù)據(jù)被轉(zhuǎn)載和復(fù)制，因無安全意識造成數(shù)據(jù)泄漏嚴(yán)重。

1.3 網(wǎng)絡(luò)安全威脅情況

網(wǎng)絡(luò)結(jié)構(gòu)不安全：互聯(lián)網(wǎng)是由眾多局域網(wǎng)組成的巨大的網(wǎng)絡(luò)結(jié)構(gòu)，當(dāng)一臺主機(jī)與互聯(lián)網(wǎng)中任一臺主機(jī)進(jìn)行通信時(shí)，兩者之間的信息傳遞通常需要經(jīng)過多臺機(jī)器進(jìn)行多重轉(zhuǎn)發(fā)。在信息傳遞的過程中，竊取數(shù)據(jù)的不法分子利用先進(jìn)的技術(shù)手段攔截信息，就能接觸到數(shù)據(jù)包，如圖1所示，也證明互聯(lián)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)本身存在不安全性。

欺騙性網(wǎng)站威脅：在B/S架構(gòu)的業(yè)務(wù)系統(tǒng)中，利用瀏覽器訪問系統(tǒng)數(shù)據(jù)并操作系統(tǒng)是基本方式。然而，普通用戶和從業(yè)人員并未意識到存在的安全問題，或許正在訪問的網(wǎng)站已被不法分子篡改。例如：不法分子將用戶訪問網(wǎng)頁的URL跳轉(zhuǎn)到指定服務(wù)器，當(dāng)用戶在網(wǎng)頁中輸入身份信息、賬號信息或者執(zhí)行操作時(shí)，便可得到從業(yè)人員真實(shí)身份信息[4]。

系統(tǒng)漏洞及病毒威脅：入侵者借助業(yè)務(wù)系統(tǒng)漏洞、監(jiān)管不力等因素，通過系統(tǒng)漏洞訪問系統(tǒng)核心數(shù)據(jù)，將惡意程序偽裝成游戲、工具、廣告等誘使用戶打開。當(dāng)用戶操作后，該程序就能直接侵入用戶電腦，隱藏在計(jì)算機(jī)系統(tǒng)中進(jìn)行破壞，入侵者可隨意篡改用戶計(jì)算機(jī)參數(shù)，通過控制用戶計(jì)算機(jī)竊取用戶硬盤中的核心數(shù)據(jù)。

1.4 保密意識薄弱現(xiàn)狀

大數(shù)據(jù)時(shí)代，用戶在數(shù)據(jù)采集和數(shù)據(jù)應(yīng)用過程中，對數(shù)據(jù)敏感程度和重要等級缺乏判斷，對信息安全保密意識薄弱。當(dāng)一些業(yè)務(wù)系統(tǒng)非必要采集用戶信息時(shí)，很多用戶會不假思索，根據(jù)系統(tǒng)提示一步步錄入并提交身份信息及核心數(shù)據(jù)[5]。同時(shí)，系統(tǒng)管理人員或后臺管理人員在數(shù)據(jù)查閱和數(shù)據(jù)應(yīng)用過程中，隨意授權(quán)他人使用自己專屬賬號和密碼，甚至發(fā)送帶有保密數(shù)據(jù)而未打碼隱藏的截圖，也可能導(dǎo)致核心數(shù)據(jù)外泄或被篡改。

2. 信息安全管理思路

基于建設(shè)領(lǐng)域從業(yè)人員電子檔案大數(shù)據(jù)的管理業(yè)務(wù)需求，以及檔案數(shù)據(jù)面臨的數(shù)據(jù)安全問題，很難實(shí)現(xiàn)僅依靠技術(shù)解決所有風(fēng)險(xiǎn)。同時(shí)，安全風(fēng)險(xiǎn)在不同時(shí)期是動態(tài)變化的，應(yīng)對思路也需要從技術(shù)、管理、運(yùn)維等多維度解決，并且針對不同時(shí)期數(shù)據(jù)安全管理需求側(cè)重點(diǎn)不同，加強(qiáng)相關(guān)側(cè)重點(diǎn)數(shù)據(jù)安全的管理。保障從業(yè)人員檔案數(shù)據(jù)的機(jī)密性、完整性和可用性，通過系統(tǒng)架構(gòu)或網(wǎng)絡(luò)層次劃分，從物理層安全、數(shù)據(jù)層安全到應(yīng)用層安全，仍然是需要解決的問題。因此，在應(yīng)對建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)安全管理問題時(shí)，須整體考慮，通盤規(guī)劃，基于業(yè)務(wù)需求，采用多層面、全方位的解決方案來應(yīng)對。

2.1 加強(qiáng)數(shù)據(jù)訪問和接入安全限制

實(shí)施最嚴(yán)格的數(shù)據(jù)訪問和數(shù)據(jù)接入控制策略。制定控制策略的意義是從訪問源頭劃分安全訪問區(qū)和身份鑒權(quán)識別，根據(jù)其他業(yè)務(wù)系統(tǒng)對人員檔案數(shù)據(jù)需求的內(nèi)容，制定分門別類的安全策略。如圖2所示，防火墻和交換機(jī)上的ACL均可實(shí)現(xiàn)訪問控制功能，通過在訪問源頭或訪問端口制定安全策略[6]。校驗(yàn)出入方向的數(shù)據(jù)包，檢查具體操作方式，確認(rèn)數(shù)據(jù)包轉(zhuǎn)發(fā)的合法性。通過身份鑒權(quán)和數(shù)據(jù)加密方式提供其他系統(tǒng)接入對接接口，實(shí)現(xiàn)數(shù)據(jù)查詢和數(shù)據(jù)接入。數(shù)據(jù)在網(wǎng)絡(luò)中以密文方式傳輸，接收后的數(shù)據(jù)再解密處理。解密過程須應(yīng)用相同類型的加密設(shè)備與密鑰才能對密文解密，可有效避免數(shù)據(jù)攔截或數(shù)據(jù)截取后被利用。同時(shí)，加強(qiáng)從業(yè)人員檔案數(shù)據(jù)網(wǎng)絡(luò)出口異常流量監(jiān)測和分析，對異常流量及時(shí)預(yù)警和定位，降低和消除異常流量對數(shù)據(jù)安全的影響。

2.2 建立安全管理制度并切實(shí)落實(shí)

最新研究數(shù)據(jù)表明，網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件中約有60%是人為因素造成，其中屬于管理失誤高達(dá)70%以上，在這類安全問題中約95%是可以通過科學(xué)、合理的管理方式來避免的。雖然一直強(qiáng)調(diào)信息安全是“三分技術(shù)、七分管理”，但在日常工作中卻往往忽視了管理的重要性，管理制度未建立和管理流程未執(zhí)行是主要因素[6]。系統(tǒng)運(yùn)行管理、維護(hù)和系統(tǒng)開發(fā)等崗位職責(zé)、權(quán)限劃分不清，導(dǎo)致數(shù)據(jù)安全管理松懈。須加強(qiáng)數(shù)據(jù)分類、分級管理，按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)”的原則，確保從業(yè)人員檔案數(shù)據(jù)的安全。因此，數(shù)據(jù)安全管理制度真正建立和管理制度嚴(yán)格執(zhí)行，已經(jīng)成為影響數(shù)據(jù)安全的重要因素之一。

管理制度真正建立是指建立的管理制度高度符合已有業(yè)務(wù)系統(tǒng)使用和運(yùn)維，符合該系統(tǒng)、該部門數(shù)據(jù)管理要求。不能借用他人的管理制度或制定不切實(shí)際的管理制度。管理制度的制定應(yīng)從技術(shù)層面、系統(tǒng)使用層面和運(yùn)維層面等多角度分析制定，管理辦法也應(yīng)該隨著業(yè)務(wù)系統(tǒng)發(fā)展不斷更新和創(chuàng)新。管理制度嚴(yán)格執(zhí)行是指在管理制度制定后，要嚴(yán)格根據(jù)管理制度要求劃分角色權(quán)限，切實(shí)按照管理制度落實(shí)系統(tǒng)開發(fā)、系統(tǒng)使用和系統(tǒng)運(yùn)維等工作，嚴(yán)禁在管理制度執(zhí)行過程中形式化、打折扣。同時(shí)，須建立管理制度執(zhí)行情況定期抽查和評審機(jī)制，對未按照管理制度執(zhí)行的行為堅(jiān)決抵制和嚴(yán)肅處理。

2.3 規(guī)范系統(tǒng)運(yùn)維和加大經(jīng)費(fèi)投入

根據(jù)系統(tǒng)運(yùn)維規(guī)范要求，須單獨(dú)建立《系統(tǒng)運(yùn)維管理制度》，并且要求運(yùn)維技術(shù)人員簽訂《數(shù)據(jù)安全保密協(xié)議》，分配運(yùn)維專屬賬號和運(yùn)維權(quán)限，適時(shí)開通賬號功能權(quán)限及數(shù)據(jù)權(quán)限功能，做好運(yùn)維日志實(shí)時(shí)記錄及管理。運(yùn)維技術(shù)人員在系統(tǒng)運(yùn)維過程中接觸到核心數(shù)據(jù)，須根據(jù)運(yùn)維管理制度中標(biāo)準(zhǔn)流程及時(shí)做好數(shù)據(jù)備份，對備份文件加密存儲至指定服務(wù)器。同時(shí)，應(yīng)在運(yùn)維的服務(wù)器或數(shù)據(jù)庫上建立網(wǎng)絡(luò)流量監(jiān)管預(yù)警機(jī)制，防止運(yùn)維過程中數(shù)據(jù)被轉(zhuǎn)載和復(fù)制，造成數(shù)據(jù)泄露。加大運(yùn)維專項(xiàng)經(jīng)費(fèi)投入，須引進(jìn)專業(yè)信息技術(shù)人才和網(wǎng)絡(luò)安全軟、硬件設(shè)備，對現(xiàn)有網(wǎng)絡(luò)不安全因素排查，對系統(tǒng)漏洞掃描、動態(tài)評估，及時(shí)有效管理、漏洞修復(fù)和系統(tǒng)升級改造。采用多重防火墻技術(shù)，防止用戶內(nèi)外網(wǎng)隨意訪問帶來的惡意程序，對網(wǎng)絡(luò)內(nèi)、外部的所有活動日志實(shí)時(shí)記錄和監(jiān)控。

2.4 提升網(wǎng)絡(luò)安全和數(shù)據(jù)保密教育

目前，普通用戶和管理人員對網(wǎng)絡(luò)安全和數(shù)據(jù)安全認(rèn)知處于初級狀態(tài)，習(xí)慣性地把信息安全理解為“電腦中毒”“網(wǎng)絡(luò)擁堵”等問題，簡單采用安裝殺毒軟件修復(fù)漏洞、清理垃圾的方法解決，對數(shù)據(jù)資產(chǎn)和數(shù)據(jù)安全所面臨的威脅認(rèn)知不夠。而普通用戶對個(gè)人隱私信息保護(hù)意識嚴(yán)重不足，身份證信息、證書信息、賬號信息等，隨意呈現(xiàn)或出借給他人使用，造成從業(yè)人員檔案數(shù)據(jù)嚴(yán)重泄漏，數(shù)據(jù)安全堪憂。

因此，應(yīng)該加強(qiáng)所有系統(tǒng)使用者的數(shù)據(jù)安全和保密意識宣傳培訓(xùn)工作。一方面，加強(qiáng)網(wǎng)絡(luò)信息安全管理人員的責(zé)任意識、安全意識和信息技術(shù)專業(yè)能力，確保管理人員知曉威脅網(wǎng)絡(luò)信息安全的各種因素和應(yīng)對措施，為提高網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理奠定基礎(chǔ)；另一方面，加強(qiáng)核心數(shù)據(jù)安全保密意識宣傳，讓系統(tǒng)使用者、數(shù)據(jù)接入者、數(shù)據(jù)訪問者都能清楚認(rèn)知數(shù)據(jù)價(jià)值和數(shù)據(jù)保密的重要性，以及數(shù)據(jù)泄漏后會導(dǎo)致的嚴(yán)重后果。

結(jié)語

總而言之，從業(yè)人員檔案數(shù)據(jù)安全管理需要長期堅(jiān)持和不斷創(chuàng)新，威脅數(shù)據(jù)安全的因素較多，尤其是新技術(shù)誕生造成系統(tǒng)漏洞或管理制度未落實(shí)等因素。因此，系統(tǒng)使用者和管理者都應(yīng)該充分認(rèn)識到數(shù)據(jù)安全管理和數(shù)據(jù)資產(chǎn)保密的重要性，采取強(qiáng)化網(wǎng)絡(luò)信息安全管理和數(shù)據(jù)安全管理的有效措施，以此保證各業(yè)務(wù)系統(tǒng)運(yùn)行安全和人員檔案數(shù)據(jù)安全。

參考文獻(xiàn)：

[1]祁琪.淺析大數(shù)據(jù)時(shí)代下政府部門加強(qiáng)網(wǎng)絡(luò)信息安全的措施[J].數(shù)字技術(shù)與應(yīng)用，2020，38（5）：172-173.

[2]宋芝美.解讀大數(shù)據(jù)時(shí)代企業(yè)管理中信息安全研究的現(xiàn)狀與展望[J].中國新通信，2020，22（16）：139.

[3]楊啟飛.大數(shù)據(jù)時(shí)代國內(nèi)信息安全研究：現(xiàn)狀、趨勢與反思[J].情報(bào)科學(xué)，2021， 39（2）：178-184.

[4]徐濱，代玉敏.計(jì)算機(jī)及網(wǎng)絡(luò)信息安全管理問題淺析[J].電腦與電信，2018，No. 261（6）：44-46.

[5]黨振興.大數(shù)據(jù)時(shí)代個(gè)人信息安全現(xiàn)狀與保護(hù)[J].重慶交通大學(xué)學(xué)報(bào)（社會科學(xué)版），2022，22（4）：14-22.

[6]周煜.大數(shù)據(jù)信息安全研究[J].信息記錄材料，2020，21（11）：150-151.

作者簡介：羅鵬，本科，中級工程師，研究方向：數(shù)據(jù)安全。