勘测设计行业数据信息泄露风险及保护措施探讨

茆荣珍，舒明星，金 巍

(1.安徽省水利水电勘测设计研究总院有限公司，安徽 合肥 230088；2.江苏敏捷科技股份有限公司，江苏 南京 210046；3.江苏敏捷科技股份有限公司，江苏 南京 210046)

0 引言

水利水电工程是国民经济和社会发展的基础和命脉，水利水电工程勘测设计具有周期长、复杂多样、协作要求高等特点。勘测设计行业拥有众多信息系统和水利水电工程控制系统，属于信息密集型行业。随着信息技术在工程勘测、设计、施工和运行管理等方面得到普遍应用，数据信息的安全性成为勘测设计行业面临的重要挑战。

针对勘测设计行业面临的核心技术泄密、数据信息随意篡改、电子文件残留等安全威胁，提出基于数据安全卫士系统的数据信息泄露防护整体解决方案。通过终端数据信息加密防护、数据信息安全外发控制、数据信息溯源水印等功能场景，提高勘测设计行业信息系统及终端数据安全防护能力。

1 数据信息泄露风险分析

1.1 数据信息泄露的原因及后果

近年来，随着大数据、物联网、协同设计、协同管理等先进信息技术的研究与发展，勘测设计行业在数字化建设中取得了跨越式发展。勘测设计行业的信息化建设体现在由简单的计算机辅助二维设计到BIM三维可视化设计的发展，互联网远程协同设计的发展也使信息化建设的进程加速[1]。在各种信息化系统的应用普及和新兴数字化产业的引领下，勘测设计行业数据信息不断积累，数据存储量呈指数级增长，各级勘测设计单位产生了海量的数据信息，如各类勘测设计数据信息、生产数据信息、档案数据信息等，这些数据在采集、存储、流转过程中存在较大的泄露安全隐患[2]。

分析数据信息泄露的主要原因，一方面勘测设计单位在与客户签订委托合同服务时，客户在合同条款中除了约定需提供纸质勘测设计成果外，还约定需提供电子勘测设计成果，大多数客户对接收的电子勘测设计成果缺乏统一保密管理，造成泄密。另一方面勘测设计行业内部对核心数据的使用没有进行有效管控，单位内部员工可以随意复制外发，造成核心数据泄露。

勘测设计单位在生产过程中经常发生泄密事件，大量客户资料和勘测设计数据、档案数据等敏感数据的信息泄漏，给客户带来了巨大的经济损失，同时也严重影响了勘测设计单位的社会声誉，阻碍了行业发展。

1.2 数据信息泄露的类型

1.2.1员工主动泄露数据信息

员工主动泄密已经成为当前勘测设计行业信息安全的首要问题。根据数据显示，目前泄密事件近80%的损失都是由单位内部员工不遵守管理制度，主动泄密导致[3]。

目前，勘测设计行业面临的员工主动泄密行为包括：员工将组织内部文档通过USB、网络、即时通讯、刻录等方式私自复制机密信息外带；员工擅自访问未经授权的数据，窃取他人账户和设备非法访问数据；员工配合他人跨安全域传输敏感数据；员工通过打印机、传真机等媒介转换泄露敏感数据信息并恶意传播和扩散泄密；员工为了交流便利，使用聊天工具对文档截图外发，外发图片没有标注任何标志信息，屏幕被截图发生泄密；员工对核心应用业务系统非安全接入及访问泄密等。

1.2.2被动泄露数据信息

被动泄密是指导致数据泄密的人在不知情或无意识的情况下发生的数据泄密隐患。在日益激烈的商业竞争中，被动泄密已成为数据泄密的一大隐患。

目前，勘测设计行业的被动泄密行为包括：工作中使用的笔记本电脑和USB存储设备丢失或被盗而导致的数据泄密；设备维修或废弃时引发的泄密；邮件或网络误操作或误发送引起的泄密；感染病毒或木马后引发数据泄密等。

另外，由于员工的保密意识薄弱，存储重要数据的机器和存储介质被随意移交给他人使用和共享，敏感数据保管不当也会被动地导致数据泄密。

1.2.3第三方泄露数据信息

第三方泄密是指将重要数据交付给合作伙伴、客户(业主)或其他关系密切人员后，因保管不当或故意分发所引起的第三方扩散泄密。随着信息技术发展，电子文件利用的便捷性优于纸质文件，客户(业主)在签订合同时约定勘测设计单位必须提交电子文件产品。勘测设计行业企业间协同设计、协同办公的工作模式，导致信息安全问题逐步显现[4]。

目前，勘测设计行业第三方泄密隐患主要包括：合作伙伴、外协人员接入内部网络非法获取敏感数据信息泄密；应用维护、开发人员访问系统后台及数据库非法获取敏感数据信息泄密；发送给客户、合作伙伴及其他关系密切人员的敏感数据保管不当，造成扩散失密；勘测设计委托服务合同、工程设计图纸以及科研、学术报告等资料在外部打印、复印、拷贝副本时泄密；应用系统、邮件服务器及数据中心由外部托管时被非法窃取泄密等。

1.2.4移动设备泄露数据信息

由于移动互联网的兴起，电子文档更多的在智能移动终端上使用和传播，给非法窃取行为提供了途径。

目前，勘测设计行业移动设备泄密隐患主要包括：在内部的重大会议或对外交流会议上，经常需要展示幻灯片文件，展示过程中存在屏幕被拍摄、拍照而导致信息外泄的事件；发送给客户的数据信息，被客户通过手机等移动设备不经意间二次泄露扩散等。

2 数据信息泄露解决方案

张晶姝[5]提出基于敏感信息监控的终端数据防泄漏系统来保护企业数据安全，但该系统对敏感数据识别准确性不高，存在数据安全漏洞。陈中祥[6]介绍了防火墙技术、加密与验证、口令和安全策略等技术，对于提高信息系统中的数据安全具有一定价值，但对企业中终端的非结构化数据安全风险未考虑全面。黄飞飞等[7]针对企业终端安全威胁介绍了访问控制技术、VPN技术、防病毒技术等，对企业终端进行安全保护，但未从数据本身出发，从源头保护数据安全。

分析研判勘测设计行业核心数据面临的管理问题及安全风险，针对文档安全和文档管理需求，在勘测设计行业应用数据安全卫士系统，从数据源头出发，对勘测设计单位拥有的各类电子文件进行全生命期的安全保护管理。

数据安全卫士系统是采用B/S和C/S相结合架构，由管理端和客户端组成的数据安全软件产品。系统管理端控制台可通过Web登陆的方式进行系统管理，管理端可配置安全管理策略并向客户端下发，客户端根据相关策略来执行相应的终端权限管理、文件加密保护、文件外发控制、添加文件水印等动作，适用于勘测设计单位各种类型数据文档的密级管理与安全保护需求。

2.1 数据安全卫士系统功能实现

2.1.1细粒度权限管理

通过数据安全卫士系统后台，根据勘测设计单位的组织机构层级对系统用户进行管理，包括创建用户、设置用户岗级、设定用户密级等。在系统中将用户密级分“内部”“秘密”“机密”“绝密”4个密级。根据勘测设计单位内实际用户的密级和岗级划分来更改系统内置的用户密级、岗级的值域范围。采用细粒度化的权限管控，每条权限可根据涉及角色的不同进行分拆或结合，采用RBAC基于角色的权限访问控制机制，将权限分配到角色，被赋予某个角色的用户才可使用该角色的权限，实现系统用户细粒度的权限管理。

2.1.2终端数据加密防护

(1)单位内部透明加密

通过数据安全卫士系统实时透明加密技术，解决勘测设计单位内部核心文档易泄密问题，可以不改变员工熟悉的操作模式，保证文件操作的安全性与便捷性。在办公环境中，所有机密数据都是加密的，文件在整个生命周期内自动加密，无需使用传统的密码输入和手动加密操作。无论文件如何存储或传输，都不会出现数据泄漏，一旦加密文件离开公司，文件无法使用。系统对文件加密强度高，难以通过暴力破解，用户无法通过文件改名、删除进程等非法手段躲过文件加密限制。

(2)部分终端采用智能模式

部分对外交互文件较频繁的用户终端，启用数据安全卫士系统的智能加密模式。在智能模式下，只对从核心应用系统中下载的文件自动加密保护，用户本地新建的文件不加密且能打开加密文件。用户可以正常使用指定格式加密文档，本地明文文档不受加密影响，拷贝密文内容至明文会感染加密。在保证了用户涉密数据的安全性同时，又满足了用户对非涉密数据不强制加密的要求。

(3)允许居家离线办公

因新冠疫情反复，勘测设计单位员工携带笔记本电脑居家办公经常发生。在这种情况下，可以根据勘测设计单位自身的管理要求，限制员工电脑中加密文件离线使用的时间。

通过设定系统离线策略，可以让电脑脱离系统网络运行，确保加密和解密操作正常，以便员工可以在家中或其他地方正常工作。员工离线策略是由管理人员进行授权，对客户端可设置成是否允许离线工作状态，能控制用户能否进行加密文件的离线使用，授权方式通过离线时间或到期日期控制。超出使用时间后，客户端会自动失效。

有些情况下，客户端离线时间无法掌控，系统可提供脱机时间延长策略，通过制作“时间策略包”，经邮箱或者即时通讯工具发送到离线电脑上，运行后即可获得再次授权的时间，保证在外工作正常进行。

(4)保证应用系统数据安全

针对勘测设计单位的各种业务系统(如OA、项目协同设计系统、档案管理系统、知识管理系统等)的文件集中存放在系统中，容易导致泄密，系统实现可应用系统数据安全管控，对勘测设计单位的B/S和C/S类系统服务器控制文件上传自动解密、下载落地加密、身份认证，实现服务器安全准入和明文存储，防止文档有意或无意的泄露。

针对B/S系统服务器，系统支持将B/S系统IP地址作为白名单和浏览器受控，上传密文自动解密；针对C/S系统服务器，数据安全卫士系统支持将系统客户端程序受控，上传密文自动解密，文件明文存储在系统服务器里。从应用系统中下载保存文件时，系统通过落地加密技术对下载文件自动加密。

另外，通过端口重定向技术，系统管理员可以指定安装了加密客户端且下发应用策略的电脑才能正常访问应用系统服务器。

2.1.3数据安全外发审批

需要对外发送的文件，勘测设计单位内普通员工必须通过解密外发审批流程来解密文件。系统后台灵活定义文件外发审批流程，单位内部的文件需要对外发送时，可以通过不同安全级别的内部审批流程控制，同时还可以对外发文件的操作或阅读权限进行控制。

通过数据安全卫士系统，可以配置文件外发审批流程的策略。当员工需要对外发送文件时，必须提交申请理由和申请文件，审批人按照审批规则执行同意或拒绝外发的审批操作。审批流程通过后，文件外发服务器自动处理文件，并将审批结果和处理好的文件反馈给申请人。

当需要外发的文件不能完全以明文外发而失去控制时，可以通过系统审批流程生成带权限的外发文件，权限包括：外发文件的打开次数控制、打开时间控制、编辑权限控制、打印权限控制和显示水印等。当外发文档的使用时间或次数用完以后，即文件失效，失效后的文件即使有多份拷贝，也无法打开。

2.1.4数据信息溯源水印

通过设置屏幕水印、打印水印、外发文件带水印等保护措施，对设备屏幕、涉密文档和纸质文件上打标记，可预防通过拍照、截图和打印等行为外泄敏感数据信息内容，有效解决数据信息泄密的溯源举证。当发生敏感数据信息外泄时，水印信息可提供溯源举证的效果，帮助勘测设计单位维护自身的知识产权，增强数据防御能力。

当系统启用屏幕水印策略后，用户对着屏幕拍摄加密文件或对屏幕截屏操作时可以起到版权保护的作用；同时，当拍照信息有意无意外泄时，为信息产品的归属提供完全和可靠的证据。通过系统策略配置，在电子文件和打印纸质文件中附着水印，不改变文件格式和内容，可以让用户明确文档的重要性，提高防泄密意识，也避免用户随意裁剪篡改文件，文档外泄后也能通过数据溯源系统进行举证定责。

2.1.5安全日志审计

对用户敏感数据信息的操作行为进行审计和记录日志，可增强对泄密事件的追溯能力，对勘测设计单位内部员工泄露敏感信息的行为起到告知警示作用，对触发安全规则的泄密行为进行预警，防止员工泄露单位的敏感信息，可以规范用户的内网办公行为。

通过数据安全卫士系统可以详细记录用户使用的各类日志，包括加解密、外发、打印等行为。日志管理员通过查看、汇总、审计各类操作日志，及时发现系统安全隐患。同时，通过操作日志审计可以对用户内网操作行为进行监管，包括安装软硬件、复制粘贴文件、收发邮件、浏览网页和使用移动存储外设外传文件等容易造成数据泄密的行为。

另外，把大数据技术应用到系统中，借助数据采集、分类、处理、分析等技术，对数据安全状态进行分析评价，并利用可视化技术，根据勘测设计单位的业务特点和需求关注点，可将安全态势数据以图形图像的方式进行综合展现。系统可以实时反馈组织数据安全整体运转状态，统计终端在线率、外发量、外发途径、外发文件类型，可疑用户top5和部门top10外发量统计，全局观察勘测设计单位内部数据安全态势。

2.2 数据安全卫士系统关键技术

2.2.1微服务架构

数据安全卫士系统采用微服务架构，无需中心节点提供复杂处理，可以为不同的平台构建相应应用程序，支持根据用例需求在不同的安装中以不同的规模布置并实施域，更灵活地响应业务变化。

在连接通道方面，微服务采用轻量级的通讯协议(如HTTP)和简单数据格式(如JSON)。在系统管理方面，微服务对系统拆分彻底，在多个层面实现对系统的分散管理：在业务层面，微服务聚焦细分业务领域，是对应业务规则的唯一入口，它把整体业务分割成一个个高内聚的小业务，简化业务之间依赖关系；在数据层面，微服务独占式访问对应的数据，服务和数据是一体的，把整体数据分割成一块块数据，数据块内部的表紧密相关，块间数据相关性弱；在物理资源层面，借助虚拟机和容器技术，将一台物理机切分为多套环境，对服务器资源更高效地利用。

2.2.2国密SM4算法

数据安全卫士系统采用国家密码局SM4算法，是一种分组密码算法。SM4算法将明文数据按固定长度进行分组，然后在同一密钥控制下逐组进行加密，从而将各个明文分组变换成一个等长的密文分组的密码。SM4加密算法和密钥扩展算法迭代轮数均为32轮，SM4加解密过程的算法相同但是轮密钥的使用顺序相反[8]。SM4算法有计算量小、加密速度快、加密效率高的特点。

2.2.3透明加密技术

数据安全卫士系统采用透明加密技术，通过监控文件上应用程序的操作，在程序读写文件时改变程序操作方式，使密文在读入内存时程序自动对密文进行解密，在写文件时又自动将明文加密写入，从而保证文件一直处于被加密的状态[9-10]。

在受保护程序读写文件的过程中，确保加密时间最早，解密时间最晚，尽量减少内存中明文信息的可访问路径，也减少病毒、木马窃取明文的机会。对于涉密进程运行中产生的文件，包括过渡文件、临时文件、导出文件等，均被自动加密。这样无论保存的文件名称是什么，转换的文件格式是什么，文件都会受到严格的加密保护，即使用文件恢复工具也无法获取加密文档的明文内容。

2.2.4数据自动分类技术

数据安全卫士系统利用数据自动分类技术，通过特征表示与提取、分类计算模型、特征选择等方法进行文本挖掘和数据信息检索，将数据划分到已知的一个或者多个类别集合中，实现数据信息过滤、自动安全等级划分、信息组织管理及定位、电子文档自动分类等功能。

2.2.5数据可视化技术

通过大数据可视化开源库的技术框架对系统进行二次研发与封装，创新了具有企业特色的数据可视化平台。数据可视化技术考虑平台响应速度、平台稳定性、易维护等问题，且与数据安全系统进行无缝融合，通过直接打点、网格、热力图、聚合等方式展示大量的点、线、面安全动态数据，全方位展示数据安全态势，提供高品质的用户体验[11-12]。

2.2.6数字水印技术

数字水印是一种通过数据嵌入和数据提取过程隐藏数据的安全技术。作为信息安全领域的一项重要安全手段，数字水印在版权保护、原始性认证等方面具有丰硕的研究成果[13]。在不同的应用背景下，数字水印的实现方法具有极大的多样性，但是也具有共同的基本模型。数字水印技术一般包括：水印预处理、轮廓波变换、边缘检测、图像分块、水印嵌入、水印提取和阈值选择等过程[14]。

3 数据信息泄露防护应用效果

基于数据安全卫士系统，以某一勘测设计单位为例，对其电子文件和纸质资料采取安全管控措施。

在这一案例中，系统通过开放的API接口，与项目协同设计系统集成，实现了加密、外发等功能在第三方应用系统的调用。文件在第三方应用系统走审批流程，流程完成后，通过调用加解密接口对文件进行加解密处理。同时，通过接口调用，实现了密文的在线预览、权限管理等功能。通过授信进程智能识别，系统拒绝非授信进程对文件进行修改，从而使勒索病毒不能对用户的重要文档进行加密，从文件根源上进行隔离保护，杜绝勒索病毒危害。

通过文档加密、解密审批、溯源水印、系统集成、日志审计等功能，数据安全卫士系统从源头上保证了该勘测设计单位文件的安全，确保了单位敏感数据在管理受控下安全使用，为该勘测设计单位各部门之间和上下游企业的高效协同提供安全平台，使协同设计数据全生命周期安全无泄漏，大大提高了该勘测设计单位技术创新水平和安全能力。

4 结语

在勘测设计行业中，为防止敏感数据泄密事件发生，本文提出的数据泄露防护解决方案以数据防泄密技术作为切入点，系统采用智能安全分析技术、操作系统内核技术、高强度加密算法，有效地解决了企业内部用户有意或者无意的数据泄漏问题，实现了电子文档的全生命周期管理，对保障勘测设计行业数据安全具有一定意义和价值。

针对勘测设计行业数据泄露问题，仅靠技术手段去防范是远远不够的。勘测设计单位在未来实际工作中，不仅要加强数据防泄露技术手段，更要贯彻执行数据安全管理制度，提升用户数据安全意识，严防数据泄露，共同守护勘测设计行业数据安全。