基于业务流程数据敏感级别的电网企业数据安全研究

刘玉婷，周 靖，苏永东，徐浩平

（1.云南电网有限责任公司，云南昆明 650217；2.安永会计师事务所，广东广州 510000）

0 引言

数据作为企业的核心资产，国内外大量案例表明敏感数据的泄漏会对企业利益带来巨大损害，包括客户流失、核心技术丢失、事件曝光而造成声誉受损、法律问题和经济赔偿等。根据专业数据防护研究机构统计，全球企业平均每400封邮件就有1封包含敏感数据；每50份网络传输文件就有一分包括敏感数据；每2个USB就有一个包含敏感信息；企业平均每年为数据泄漏付出720万美元的损失；而每丢失或失窃一条客户记录，处理数据丢失事件所需的诉讼、客户通知和调解、数据重建、调查以及员工工作时间的成本大约为200美元，丢失企业核心知识产权、合约等损失的成本则远远超过这数字[1]。为了降低日益突显的数据泄漏风险以及危害，如何通过适当的手段对企业敏感数据进行数据防泄漏保护（Data Loss Prevention），已成为各大企业、机构刻不容缓的课题。

伴随对信息系统的依赖性的增加，电网企业的数据量、数据的重要性日益增大，随之增大的还有数据泄漏风险。作为拥有大量关键核心数据的龙头国企，数据泄漏对于电网企业而言不单单是经济损失，更有可能影响到国家机密，导致灾难性的伤害。保证各类敏感业务数据在产生、传输、存储和销毁的全生命周期中不会被泄露，已成为电网企业信息化建设过程中的迫切需求和需要思考的问题[2]。

1 电网企业数据安全现状

虽然目前国内外厂家已经基于不同用户需求开发出了数据防泄漏产品，电网企业也制定了初步的数据分类分级制度和管控策略，但是电网企业在实施数据安全工作的过程普遍存在信息资产识别不充分、方法落地难，DLP设备策略的制定不够客观和充分，数据生命周期安全管控措施缺乏等问题[3]。信息安全建设更多的考虑了硬件和软件的安全，而忽视了人员、数据、文档、服务、无形资产等重要对象。

在技术层面，没有完整的对电网企业的数据进行调查和梳理，识别出电网企业需要防护的敏感数据，DLP策略的制定仅仅依靠产品的内定策略和技术人员的主观决定，并在使用的过程中进行不断的调整。

在管理层面，电网企业现有的数据安全工作更多的是在企业层面对数据进行宏观的分类分级，没有深入到特定业务部门对数据进行有针对性的细分，导致业务部门对数据安全感知度不高，信息中心对数据敏感程度把握不够，数据防泄漏工作的效果有限。

例如：电网企业在数据生命周期安全管理中普遍存在以下现象，未制定敏感数据采集管理要求；未及时销毁或安全保存纸质的更新表单；未对敏感数据的外发做严格的限定和明确的保护要求；第三方维护人员存在共用账号、账号权限过大等现象；测试数据未充分脱敏；未明确数据回收和销毁管理流程；存在未对离职或者转岗人员数据进行回收和销毁的情况。给电网企业数据安全工作带来了极大的挑战。

2 基于业务流程的数据防泄漏

电网企业数据的产生、流转、存储、消亡和电网企业的各个业务流程息息相关，数据的泄漏等安全风险也存在与业务流程的各个节点当中，因此研究电网数据的生命周期安全必须从业务流程的研究开始，从业务流程梳理、数据生命周期识别、数据安全风险评估、数据分类分级、数据分类分级管控等环节开展数据防泄漏工作[4]。具体有如下三个关键点：

（1）数据安全防护解决方案的实施不是一个独立的产品部署项目，而是电网企业整体信息安全风险管理体系中的重要一环，需要与整体信息安全管理策略、制度和业务流程相一致。

（2）数据泄漏防护体系需要与电网企业业务紧密配合，需要深入识别和深刻理解关键业务部门的涉密数据与工作流程，及对制定有效的管控策略并部署。

（3）只有提高电网企业管理层、业务人员对数据安全防护重要性的认知，以获得业务部门的充分配合、必要的资源以及管理层的支持，才能有效的推行数据防泄漏工作。

基于电网企业在实施数据防泄漏工作的过程中遇到的难题和挑战，在充分认识电网企业实施数据防泄漏工作的成功要素后，提出了基于业务流程的数据防泄漏解决方案，主要包括如下4个实施阶段。

2.1 数据安全现状调研

针对电网企业信息安全环境进行深入调研，以得出数据分级方法以及数据分级分类指引；对数据流转进行审计记录数据流转不当事件。

咨询调研

（1）业务流程调研：通过访谈、工作组形式与业务部门一同整理流程，识别流程中产生何种数据、数据的存储方式、数据的流程方向、不同存储位置的访问权、数据的生命周期，编制成业务流程图和对应的数据流程图，分析流程在设计、运行等方面存在的现状，特别是对流程中的关键控制点。

（2）业务流程穿行测试：对业务流程进行穿行测试，尤对业务流程产生的数据、数据流转，以确保调研结果的完整性和准确性。

通过咨询调研，梳理出业务流程涉及数据如表1所示。

（3）数据流转审计

在一定的时间区间内，通过技术手段（监控软件等）对网络数据、即使通信数据、邮件、文档打印、文档操作、全网数据六方面进行监控，对前步骤识别的关键数据全生命周期的数据流转活动进行检测审计，识别是否存在关键数据泄漏事件、风险以及泄漏程度，为下一阶段风险评估作数据准备。

2.2 数据安全风险评估

运用科学的方法和手段，系统地分析电网企业数据所面临的威胁及其相关环境存在的脆弱性，评估数据泄密事件一旦发生可能造成的危害程度。为了全面识别电网企业当前的数据安全风险，从流程管理和安全技术两个方面对安全风险进行评定。

数据安全控制点调研：通过对数据流转环节和运维安全环节的控制点调研，识别电网企业在数据安全控制方面存在的不足和风险。

泄密事件分析：通过数据流转监控所收集的数据，对其进行分析可发现在业务流程中部分用户的文档操作可能涉及泄密事件或恶意损坏公司重要文件的动作。对这一系列的行为进行分析，并与相关用户、主管领导通过沟通，获取用户正常的工作行为，从而获取真实性。在确认行为后对行为的危害进行分析，并提出解决方案[5]。

表1 业务流程数据

流程脆弱性分析：在现状调研阶段，通过各种形式了解完业务流程后，对业务流程的流向、流程节点构成、流程安全控制进行分析，找出流程中可能存在的数据泄漏风险点。最后汇总流程风险点并与IT、内审、业务部门领导进行沟通确认，以保证风险发现完整真实[5]。

2.3 基于电网数据属性的数据分类分级

（1）分类分级理论

数据分级策略制定：编制好业务流程图以及数据流程图后，与相关业务部门合作，通过访谈、问卷调查，采用先进技术识别（如特殊位置的文件检索；基于内容的关键字，数据类型架构识别）等方式，协助相关业务部门根据下列因素对流程涉及的数据进行分级分类，识别不同数据的类别、重要性以及合适的访问权限。考虑因素包括（但不限于）：

1）数据是否受法律法规限制；

2）内部数据的相对价值；

3）对用户和业务合作伙伴的直接影响；

4）对品牌和声誉的潜在影响；

5）丧失竞争优势的可能性；

（2）分类分级标准制定

根据相关流程实际情况以及数据识别结果，建立数据分级分类策略。

数据分类分级：根据电网行业特性，电网的分级分类应主要参考“等保”、“保密法”、“行业最佳实践”要求进行[6]。

（3）分级数据赋值：

一级：3.8≦K≦4.0 二级：3≦K＜3.8 三级：1.8≦K＜3 四级：K＜1.8

（4）通过多个维度评估数据涉密等级：

将根据文档的“业务类型”，“影响范围、对象”，“损失影响”三个维度对文档进行打分，评估数据密级。数据密级得

K=业务类型得分×30%+影响范围、对象得分×20%+损失影响预估得分×50%

表2 文档数据涉密等级评估维度

2.4 数据分类分级管控

在整个数据的生命周期中都必须进行安全防护，以降低所有可能威胁公司数据安全事件发生的可能性，总体策略如下：

（1）数据的生成策略

①数据作者必须按照数据分级细则、数据分级管控标准对数据进行标识，注明数据所有人；

②纸质数据的应确保在指定的机器、授权的业务流程中产生并按照标准保存；

1）数据的保存：

①数据作者或保管人必须将数据按照数据分级管控标准保存在特定的位置，或按照数据分级管控标准对保存的介质进行安全控制；

②各部门对“二级”以上数据应建立统一的存储点进行保存；

2）数据的传递：

①数据作者、保管者在发送数据前，必须按照管数据分级控标准为数据选择正确的传输保护措施；

②若数据使用加密传输，则加密对象与密钥应分别传递；

③各部门、应用系统应采用统一的数据传输出口，或指定一名数据外发的负责人员，避免过多出口带来的风险；

④“二级”以上数据不应出现在邮件正文中，数据传递应尽量使用附件操作；

⑤传递接收人必须保障接收数据的安全；

⑥文件在投递前必须使用公司信封密封，再通过物流公司信封封装；

⑦“二级”以上数据在传递前必须获得对应的授权。

（2）数据的使用策略

①“二级”以上数据在使用前（包括获取、导入、导出和再加工）必须获得对应的授权，审批申请内容应参考；

②在未征得所有人授权之前，不得将敏感数据或其部分再次共享给其他非授权人员；

③原始数据加工后的，应在保证业务需要情况下尽可能进行脱敏处理；

④数据在使用完毕后应及时删除或销毁

（3）数据的销毁策略

①数据所有者定期对敏感数据的时效性进行审阅；

②数据的所有者、管理者、使用者应对已失效的数据按照管控标准要求进行销毁；

③原则上，数据被传送给取数需求方后，获取数据的计算机应及时删除数据；

④对于不再使用的介质，需要进行彻底销毁，并填写销毁记录[7]。

以往的数据防安全研究方向着重点是使用何种工具对一般信息进行保护，保护层面广，但缺乏深度，只是对信息安全方方面面提供基础保护。同时，一般数据安全建设容易忽略了业务部门的需求及企业真正的业务需要，导致数据安全保护效果不足或者过度，影响业务的正常运转及企业的利益。

3 结语

本文研究方法着重点是对电网企业数据进行全方位保护，从数据的价值、业务流程入手，了解业务需求，数据的关键性、评估数据面临的风险与危害，从而构建与业务流程吻合、数据安全管理与数据安全技术双层面的全面数据防护体系。将数据保护与业务紧密结合，形成的安全模型极高的针对性、显著的防护效果以及实施可行性。研究的结果也能为以后规划目标清晰的信息安全建设项目提供实践经验。通过对业务部门数据进行调研，数据分类分级（数据属性赋值/数据等级计算），根据数据类别和等级对数据生命周期进行管控，结合后期DLP产品的实施，形成数据防泄漏工作的闭环，在数据防泄漏的各阶段形成标准化、规范化的文档，大大提升数据防泄漏工作的效率。本次对试点部门业务数据的防泄漏工作进行研究，可为后期数据防泄漏工作的推广和DLP产品策略的制定提供参考经验和理论支撑。

［1］路少龙.浅谈电力企业计算机数据的安全保护［J］.数字技术与应用，2011（9）：246.

［2］陆海龙.数据安全存储系统的研究与实现［D］.上海：复旦大学，2010：33.

［3］彭维平.基于可信平台的数据泄漏防护关键技术研究［D］.北京：北京邮电大学，2011：26-27.

［4］冯建云，张月琴.内网安全信息防泄漏系统的开发与实现 ［J］.电脑开发与应用，2010，23（7）：31-33，39.

［5］张孝，王珊，彭朝晖.基于安全策略的一种数据保护方法及实现技术［J］.计算机科学，2007，34（2）：122-123.

［6］刁俊峰.软件安全中的若干关键技术研究［D］.北京：北京邮电大学，2007：5-8.

［7］赵勇，刘吉强，韩臻.信息泄露防御模型在企业内网安全中的应用［J］.计算机研究与发展，2007（05）：761-767.