劉玉婷，周 靖，蘇永東，徐浩平

（1.云南電網(wǎng)有限責(zé)任公司，云南昆明 650217；2.安永會計師事務(wù)所，廣東廣州 510000）

0 引言

數(shù)據(jù)作為企業(yè)的核心資產(chǎn)，國內(nèi)外大量案例表明敏感數(shù)據(jù)的泄漏會對企業(yè)利益帶來巨大損害，包括客戶流失、核心技術(shù)丟失、事件曝光而造成聲譽(yù)受損、法律問題和經(jīng)濟(jì)賠償?shù)?。根?jù)專業(yè)數(shù)據(jù)防護(hù)研究機(jī)構(gòu)統(tǒng)計，全球企業(yè)平均每400封郵件就有1封包含敏感數(shù)據(jù)；每50份網(wǎng)絡(luò)傳輸文件就有一分包括敏感數(shù)據(jù)；每2個USB就有一個包含敏感信息；企業(yè)平均每年為數(shù)據(jù)泄漏付出720萬美元的損失；而每丟失或失竊一條客戶記錄，處理數(shù)據(jù)丟失事件所需的訴訟、客戶通知和調(diào)解、數(shù)據(jù)重建、調(diào)查以及員工工作時間的成本大約為200美元，丟失企業(yè)核心知識產(chǎn)權(quán)、合約等損失的成本則遠(yuǎn)遠(yuǎn)超過這數(shù)字[1]。為了降低日益突顯的數(shù)據(jù)泄漏風(fēng)險以及危害，如何通過適當(dāng)?shù)氖侄螌ζ髽I(yè)敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)防泄漏保護(hù)（Data Loss Prevention），已成為各大企業(yè)、機(jī)構(gòu)刻不容緩的課題。

伴隨對信息系統(tǒng)的依賴性的增加，電網(wǎng)企業(yè)的數(shù)據(jù)量、數(shù)據(jù)的重要性日益增大，隨之增大的還有數(shù)據(jù)泄漏風(fēng)險。作為擁有大量關(guān)鍵核心數(shù)據(jù)的龍頭國企，數(shù)據(jù)泄漏對于電網(wǎng)企業(yè)而言不單單是經(jīng)濟(jì)損失，更有可能影響到國家機(jī)密，導(dǎo)致災(zāi)難性的傷害。保證各類敏感業(yè)務(wù)數(shù)據(jù)在產(chǎn)生、傳輸、存儲和銷毀的全生命周期中不會被泄露，已成為電網(wǎng)企業(yè)信息化建設(shè)過程中的迫切需求和需要思考的問題[2]。

1 電網(wǎng)企業(yè)數(shù)據(jù)安全現(xiàn)狀

雖然目前國內(nèi)外廠家已經(jīng)基于不同用戶需求開發(fā)出了數(shù)據(jù)防泄漏產(chǎn)品，電網(wǎng)企業(yè)也制定了初步的數(shù)據(jù)分類分級制度和管控策略，但是電網(wǎng)企業(yè)在實施數(shù)據(jù)安全工作的過程普遍存在信息資產(chǎn)識別不充分、方法落地難，DLP設(shè)備策略的制定不夠客觀和充分，數(shù)據(jù)生命周期安全管控措施缺乏等問題[3]。信息安全建設(shè)更多的考慮了硬件和軟件的安全，而忽視了人員、數(shù)據(jù)、文檔、服務(wù)、無形資產(chǎn)等重要對象。

在技術(shù)層面，沒有完整的對電網(wǎng)企業(yè)的數(shù)據(jù)進(jìn)行調(diào)查和梳理，識別出電網(wǎng)企業(yè)需要防護(hù)的敏感數(shù)據(jù)，DLP策略的制定僅僅依靠產(chǎn)品的內(nèi)定策略和技術(shù)人員的主觀決定，并在使用的過程中進(jìn)行不斷的調(diào)整。

在管理層面，電網(wǎng)企業(yè)現(xiàn)有的數(shù)據(jù)安全工作更多的是在企業(yè)層面對數(shù)據(jù)進(jìn)行宏觀的分類分級，沒有深入到特定業(yè)務(wù)部門對數(shù)據(jù)進(jìn)行有針對性的細(xì)分，導(dǎo)致業(yè)務(wù)部門對數(shù)據(jù)安全感知度不高，信息中心對數(shù)據(jù)敏感程度把握不夠，數(shù)據(jù)防泄漏工作的效果有限。

例如：電網(wǎng)企業(yè)在數(shù)據(jù)生命周期安全管理中普遍存在以下現(xiàn)象，未制定敏感數(shù)據(jù)采集管理要求；未及時銷毀或安全保存紙質(zhì)的更新表單；未對敏感數(shù)據(jù)的外發(fā)做嚴(yán)格的限定和明確的保護(hù)要求；第三方維護(hù)人員存在共用賬號、賬號權(quán)限過大等現(xiàn)象；測試數(shù)據(jù)未充分脫敏；未明確數(shù)據(jù)回收和銷毀管理流程；存在未對離職或者轉(zhuǎn)崗人員數(shù)據(jù)進(jìn)行回收和銷毀的情況。給電網(wǎng)企業(yè)數(shù)據(jù)安全工作帶來了極大的挑戰(zhàn)。

2 基于業(yè)務(wù)流程的數(shù)據(jù)防泄漏

電網(wǎng)企業(yè)數(shù)據(jù)的產(chǎn)生、流轉(zhuǎn)、存儲、消亡和電網(wǎng)企業(yè)的各個業(yè)務(wù)流程息息相關(guān)，數(shù)據(jù)的泄漏等安全風(fēng)險也存在與業(yè)務(wù)流程的各個節(jié)點當(dāng)中，因此研究電網(wǎng)數(shù)據(jù)的生命周期安全必須從業(yè)務(wù)流程的研究開始，從業(yè)務(wù)流程梳理、數(shù)據(jù)生命周期識別、數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)分類分級、數(shù)據(jù)分類分級管控等環(huán)節(jié)開展數(shù)據(jù)防泄漏工作[4]。具體有如下三個關(guān)鍵點：

（1）數(shù)據(jù)安全防護(hù)解決方案的實施不是一個獨立的產(chǎn)品部署項目，而是電網(wǎng)企業(yè)整體信息安全風(fēng)險管理體系中的重要一環(huán)，需要與整體信息安全管理策略、制度和業(yè)務(wù)流程相一致。

（2）數(shù)據(jù)泄漏防護(hù)體系需要與電網(wǎng)企業(yè)業(yè)務(wù)緊密配合，需要深入識別和深刻理解關(guān)鍵業(yè)務(wù)部門的涉密數(shù)據(jù)與工作流程，及對制定有效的管控策略并部署。

（3）只有提高電網(wǎng)企業(yè)管理層、業(yè)務(wù)人員對數(shù)據(jù)安全防護(hù)重要性的認(rèn)知，以獲得業(yè)務(wù)部門的充分配合、必要的資源以及管理層的支持，才能有效的推行數(shù)據(jù)防泄漏工作。

基于電網(wǎng)企業(yè)在實施數(shù)據(jù)防泄漏工作的過程中遇到的難題和挑戰(zhàn)，在充分認(rèn)識電網(wǎng)企業(yè)實施數(shù)據(jù)防泄漏工作的成功要素后，提出了基于業(yè)務(wù)流程的數(shù)據(jù)防泄漏解決方案，主要包括如下4個實施階段。

2.1 數(shù)據(jù)安全現(xiàn)狀調(diào)研

針對電網(wǎng)企業(yè)信息安全環(huán)境進(jìn)行深入調(diào)研，以得出數(shù)據(jù)分級方法以及數(shù)據(jù)分級分類指引；對數(shù)據(jù)流轉(zhuǎn)進(jìn)行審計記錄數(shù)據(jù)流轉(zhuǎn)不當(dāng)事件。

咨詢調(diào)研

（1）業(yè)務(wù)流程調(diào)研：通過訪談、工作組形式與業(yè)務(wù)部門一同整理流程，識別流程中產(chǎn)生何種數(shù)據(jù)、數(shù)據(jù)的存儲方式、數(shù)據(jù)的流程方向、不同存儲位置的訪問權(quán)、數(shù)據(jù)的生命周期，編制成業(yè)務(wù)流程圖和對應(yīng)的數(shù)據(jù)流程圖，分析流程在設(shè)計、運行等方面存在的現(xiàn)狀，特別是對流程中的關(guān)鍵控制點。

（2）業(yè)務(wù)流程穿行測試：對業(yè)務(wù)流程進(jìn)行穿行測試，尤對業(yè)務(wù)流程產(chǎn)生的數(shù)據(jù)、數(shù)據(jù)流轉(zhuǎn)，以確保調(diào)研結(jié)果的完整性和準(zhǔn)確性。

通過咨詢調(diào)研，梳理出業(yè)務(wù)流程涉及數(shù)據(jù)如表1所示。

（3）數(shù)據(jù)流轉(zhuǎn)審計

在一定的時間區(qū)間內(nèi)，通過技術(shù)手段（監(jiān)控軟件等）對網(wǎng)絡(luò)數(shù)據(jù)、即使通信數(shù)據(jù)、郵件、文檔打印、文檔操作、全網(wǎng)數(shù)據(jù)六方面進(jìn)行監(jiān)控，對前步驟識別的關(guān)鍵數(shù)據(jù)全生命周期的數(shù)據(jù)流轉(zhuǎn)活動進(jìn)行檢測審計，識別是否存在關(guān)鍵數(shù)據(jù)泄漏事件、風(fēng)險以及泄漏程度，為下一階段風(fēng)險評估作數(shù)據(jù)準(zhǔn)備。

2.2 數(shù)據(jù)安全風(fēng)險評估

運用科學(xué)的方法和手段，系統(tǒng)地分析電網(wǎng)企業(yè)數(shù)據(jù)所面臨的威脅及其相關(guān)環(huán)境存在的脆弱性，評估數(shù)據(jù)泄密事件一旦發(fā)生可能造成的危害程度。為了全面識別電網(wǎng)企業(yè)當(dāng)前的數(shù)據(jù)安全風(fēng)險，從流程管理和安全技術(shù)兩個方面對安全風(fēng)險進(jìn)行評定。

數(shù)據(jù)安全控制點調(diào)研：通過對數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)和運維安全環(huán)節(jié)的控制點調(diào)研，識別電網(wǎng)企業(yè)在數(shù)據(jù)安全控制方面存在的不足和風(fēng)險。

泄密事件分析：通過數(shù)據(jù)流轉(zhuǎn)監(jiān)控所收集的數(shù)據(jù)，對其進(jìn)行分析可發(fā)現(xiàn)在業(yè)務(wù)流程中部分用戶的文檔操作可能涉及泄密事件或惡意損壞公司重要文件的動作。對這一系列的行為進(jìn)行分析，并與相關(guān)用戶、主管領(lǐng)導(dǎo)通過溝通，獲取用戶正常的工作行為，從而獲取真實性。在確認(rèn)行為后對行為的危害進(jìn)行分析，并提出解決方案[5]。

表1 業(yè)務(wù)流程數(shù)據(jù)

流程脆弱性分析：在現(xiàn)狀調(diào)研階段，通過各種形式了解完業(yè)務(wù)流程后，對業(yè)務(wù)流程的流向、流程節(jié)點構(gòu)成、流程安全控制進(jìn)行分析，找出流程中可能存在的數(shù)據(jù)泄漏風(fēng)險點。最后匯總流程風(fēng)險點并與IT、內(nèi)審、業(yè)務(wù)部門領(lǐng)導(dǎo)進(jìn)行溝通確認(rèn)，以保證風(fēng)險發(fā)現(xiàn)完整真實[5]。

2.3 基于電網(wǎng)數(shù)據(jù)屬性的數(shù)據(jù)分類分級

（1）分類分級理論

數(shù)據(jù)分級策略制定：編制好業(yè)務(wù)流程圖以及數(shù)據(jù)流程圖后，與相關(guān)業(yè)務(wù)部門合作，通過訪談、問卷調(diào)查，采用先進(jìn)技術(shù)識別（如特殊位置的文件檢索；基于內(nèi)容的關(guān)鍵字，數(shù)據(jù)類型架構(gòu)識別）等方式，協(xié)助相關(guān)業(yè)務(wù)部門根據(jù)下列因素對流程涉及的數(shù)據(jù)進(jìn)行分級分類，識別不同數(shù)據(jù)的類別、重要性以及合適的訪問權(quán)限。考慮因素包括（但不限于）：

1）數(shù)據(jù)是否受法律法規(guī)限制；

2）內(nèi)部數(shù)據(jù)的相對價值；

3）對用戶和業(yè)務(wù)合作伙伴的直接影響；

4）對品牌和聲譽(yù)的潛在影響；

5）喪失競爭優(yōu)勢的可能性；

（2）分類分級標(biāo)準(zhǔn)制定

根據(jù)相關(guān)流程實際情況以及數(shù)據(jù)識別結(jié)果，建立數(shù)據(jù)分級分類策略。

數(shù)據(jù)分類分級：根據(jù)電網(wǎng)行業(yè)特性，電網(wǎng)的分級分類應(yīng)主要參考“等保”、“保密法”、“行業(yè)最佳實踐”要求進(jìn)行[6]。

（3）分級數(shù)據(jù)賦值：

一級：3.8≦K≦4.0 二級：3≦K＜3.8 三級：1.8≦K＜3 四級：K＜1.8

（4）通過多個維度評估數(shù)據(jù)涉密等級：

將根據(jù)文檔的“業(yè)務(wù)類型”，“影響范圍、對象”，“損失影響”三個維度對文檔進(jìn)行打分，評估數(shù)據(jù)密級。數(shù)據(jù)密級得

K=業(yè)務(wù)類型得分×30%+影響范圍、對象得分×20%+損失影響預(yù)估得分×50%

表2 文檔數(shù)據(jù)涉密等級評估維度

2.4 數(shù)據(jù)分類分級管控

在整個數(shù)據(jù)的生命周期中都必須進(jìn)行安全防護(hù)，以降低所有可能威脅公司數(shù)據(jù)安全事件發(fā)生的可能性，總體策略如下：

（1）數(shù)據(jù)的生成策略

①數(shù)據(jù)作者必須按照數(shù)據(jù)分級細(xì)則、數(shù)據(jù)分級管控標(biāo)準(zhǔn)對數(shù)據(jù)進(jìn)行標(biāo)識，注明數(shù)據(jù)所有人；

②紙質(zhì)數(shù)據(jù)的應(yīng)確保在指定的機(jī)器、授權(quán)的業(yè)務(wù)流程中產(chǎn)生并按照標(biāo)準(zhǔn)保存；

1）數(shù)據(jù)的保存：

①數(shù)據(jù)作者或保管人必須將數(shù)據(jù)按照數(shù)據(jù)分級管控標(biāo)準(zhǔn)保存在特定的位置，或按照數(shù)據(jù)分級管控標(biāo)準(zhǔn)對保存的介質(zhì)進(jìn)行安全控制；

②各部門對“二級”以上數(shù)據(jù)應(yīng)建立統(tǒng)一的存儲點進(jìn)行保存；

2）數(shù)據(jù)的傳遞：

①數(shù)據(jù)作者、保管者在發(fā)送數(shù)據(jù)前，必須按照管數(shù)據(jù)分級控標(biāo)準(zhǔn)為數(shù)據(jù)選擇正確的傳輸保護(hù)措施；

②若數(shù)據(jù)使用加密傳輸，則加密對象與密鑰應(yīng)分別傳遞；

③各部門、應(yīng)用系統(tǒng)應(yīng)采用統(tǒng)一的數(shù)據(jù)傳輸出口，或指定一名數(shù)據(jù)外發(fā)的負(fù)責(zé)人員，避免過多出口帶來的風(fēng)險；

④“二級”以上數(shù)據(jù)不應(yīng)出現(xiàn)在郵件正文中，數(shù)據(jù)傳遞應(yīng)盡量使用附件操作；

⑤傳遞接收人必須保障接收數(shù)據(jù)的安全；

⑥文件在投遞前必須使用公司信封密封，再通過物流公司信封封裝；

⑦“二級”以上數(shù)據(jù)在傳遞前必須獲得對應(yīng)的授權(quán)。

（2）數(shù)據(jù)的使用策略

①“二級”以上數(shù)據(jù)在使用前（包括獲取、導(dǎo)入、導(dǎo)出和再加工）必須獲得對應(yīng)的授權(quán)，審批申請內(nèi)容應(yīng)參考；

②在未征得所有人授權(quán)之前，不得將敏感數(shù)據(jù)或其部分再次共享給其他非授權(quán)人員；

③原始數(shù)據(jù)加工后的，應(yīng)在保證業(yè)務(wù)需要情況下盡可能進(jìn)行脫敏處理；

④數(shù)據(jù)在使用完畢后應(yīng)及時刪除或銷毀

（3）數(shù)據(jù)的銷毀策略

①數(shù)據(jù)所有者定期對敏感數(shù)據(jù)的時效性進(jìn)行審閱；

②數(shù)據(jù)的所有者、管理者、使用者應(yīng)對已失效的數(shù)據(jù)按照管控標(biāo)準(zhǔn)要求進(jìn)行銷毀；

③原則上，數(shù)據(jù)被傳送給取數(shù)需求方后，獲取數(shù)據(jù)的計算機(jī)應(yīng)及時刪除數(shù)據(jù)；

④對于不再使用的介質(zhì)，需要進(jìn)行徹底銷毀，并填寫銷毀記錄[7]。

以往的數(shù)據(jù)防安全研究方向著重點是使用何種工具對一般信息進(jìn)行保護(hù)，保護(hù)層面廣，但缺乏深度，只是對信息安全方方面面提供基礎(chǔ)保護(hù)。同時，一般數(shù)據(jù)安全建設(shè)容易忽略了業(yè)務(wù)部門的需求及企業(yè)真正的業(yè)務(wù)需要，導(dǎo)致數(shù)據(jù)安全保護(hù)效果不足或者過度，影響業(yè)務(wù)的正常運轉(zhuǎn)及企業(yè)的利益。

3 結(jié)語

本文研究方法著重點是對電網(wǎng)企業(yè)數(shù)據(jù)進(jìn)行全方位保護(hù)，從數(shù)據(jù)的價值、業(yè)務(wù)流程入手，了解業(yè)務(wù)需求，數(shù)據(jù)的關(guān)鍵性、評估數(shù)據(jù)面臨的風(fēng)險與危害，從而構(gòu)建與業(yè)務(wù)流程吻合、數(shù)據(jù)安全管理與數(shù)據(jù)安全技術(shù)雙層面的全面數(shù)據(jù)防護(hù)體系。將數(shù)據(jù)保護(hù)與業(yè)務(wù)緊密結(jié)合，形成的安全模型極高的針對性、顯著的防護(hù)效果以及實施可行性。研究的結(jié)果也能為以后規(guī)劃目標(biāo)清晰的信息安全建設(shè)項目提供實踐經(jīng)驗。通過對業(yè)務(wù)部門數(shù)據(jù)進(jìn)行調(diào)研，數(shù)據(jù)分類分級（數(shù)據(jù)屬性賦值/數(shù)據(jù)等級計算），根據(jù)數(shù)據(jù)類別和等級對數(shù)據(jù)生命周期進(jìn)行管控，結(jié)合后期DLP產(chǎn)品的實施，形成數(shù)據(jù)防泄漏工作的閉環(huán)，在數(shù)據(jù)防泄漏的各階段形成標(biāo)準(zhǔn)化、規(guī)范化的文檔，大大提升數(shù)據(jù)防泄漏工作的效率。本次對試點部門業(yè)務(wù)數(shù)據(jù)的防泄漏工作進(jìn)行研究，可為后期數(shù)據(jù)防泄漏工作的推廣和DLP產(chǎn)品策略的制定提供參考經(jīng)驗和理論支撐。

［1］路少龍.淺談電力企業(yè)計算機(jī)數(shù)據(jù)的安全保護(hù)［J］.數(shù)字技術(shù)與應(yīng)用，2011（9）：246.

［2］陸海龍.數(shù)據(jù)安全存儲系統(tǒng)的研究與實現(xiàn)［D］.上海：復(fù)旦大學(xué)，2010：33.

［3］彭維平.基于可信平臺的數(shù)據(jù)泄漏防護(hù)關(guān)鍵技術(shù)研究［D］.北京：北京郵電大學(xué)，2011：26-27.

［4］馮建云，張月琴.內(nèi)網(wǎng)安全信息防泄漏系統(tǒng)的開發(fā)與實現(xiàn) ［J］.電腦開發(fā)與應(yīng)用，2010，23（7）：31-33，39.

［5］張孝，王珊，彭朝暉.基于安全策略的一種數(shù)據(jù)保護(hù)方法及實現(xiàn)技術(shù)［J］.計算機(jī)科學(xué)，2007，34（2）：122-123.

［6］刁俊峰.軟件安全中的若干關(guān)鍵技術(shù)研究［D］.北京：北京郵電大學(xué)，2007：5-8.

［7］趙勇，劉吉強(qiáng)，韓臻.信息泄露防御模型在企業(yè)內(nèi)網(wǎng)安全中的應(yīng)用［J］.計算機(jī)研究與發(fā)展，2007（05）：761-767.