建设领域从业人员档案数据安全管理研究

摘要：伴随管理信息化和大数据在各行业的应用和快速发展，建设行业从业人员档案数据管理也由信息时代向数据时代转变。数据来源于多方面，且呈爆炸式增长。对数据安全管理是针对数据全流程的管理，包含数据采集、存储、使用、加工、传输、查询、公开等。建设领域从业人员档案数据具有开放性，才能为行业数据应用和数据分析拓路赋能。同时，从业人员档案数据又具有私密性，对数据泄露和敏感信息窃取等安全保护提出了更大的挑战。因此，确保建设领域从业人员档案数据安全管理，对于大数据背景下推动建设行业信息化发展、智能建造、智慧城市、智慧工地等的发展和信息安全都具有重要意义。

关键词：大数据；数据安全；电子档案

引言

建设行业信息管理系统的快速发展和互联网、大数据的广泛应用，使相关数据的安全性变得越来越重要，各个业务系统数据安全已经成为主管部门关注的热点。从业人员档案数据是关联所有业务系统的主线，包含在培训考核、证书使用、工作经历、工资发放、安全生产等各个环节中。所以，人员档案数据既具有保密性，又具有开放性。作为保密性要求，须确保档案数据不被泄露，不被盗用；作为开放性要求，须确保档案数据可供各业务系统查询使用，产生价值。因此，为确保从业人员档案数据安全，加强安全管理措施势在必行。

1. 威胁数据安全因素分析

数据安全包括数据本身安全和数据防护安全。数据本身安全，指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等；数据防护安全，指采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。本研究侧重关注通过数据访问身份验证、数据加密访问、数据管理制度建立等方面解决数据本身安全。通过技术手段和管理制度保护数据资产，以防止偶然或未授权者对数据的恶意泄露、修改和破坏，从而导致数据的不完整、不可靠或失去價值。威胁数据安全的因素很多，主要表现为以下常见因素：一是系统使用和系统运维管理体制不健全，人为因素导致数据泄漏或被篡改；二是因系统漏洞造成系统被攻击，通过漏洞植入病毒窃取数据；三是系统使用者和管理员保密意识薄弱，在数据查询和数据应用中缺乏安全保密意识[1]。

1.1 数据安全管理重要性

世界著名密码技术与安全技术专家惠特菲尔德·迪菲提出，“数据量越大，安全保障的重要性就越大”。数据安全是任何政府部门和企业都必须十分重视的问题[2]。针对建设领域从业人员档案数据，既要对外实现数据公开，更好地服务于从业人员、培训机构和用人单位，支撑建设行业其他业务系统和管理系统对从业人员信息数据的需求，便于数据查询、数据统计、管理和数据更新，又要对数据保密，做到数据非本人不能查询、下载和使用，非本人授权不能查阅，禁止数据的盗用和篡改[3]。所以，做好数据安全管理是大数据时代的重要任务之一。

1.2 制度不健全或管理不规范

根据系统使用规范要求，须建立《数据安全管理制度》，并要求管理人员一人一账号一密钥，分角色、分权限、分时段对系统和数据管理，要求定期更新管理员账号及密码。现有很多业务系统并未做到专人专户，且未实现登录账号与设备绑定，步步操作实时记录，出现数据泄漏和篡改时无法追溯。同时，造成数据安全的隐患还包括利用职权之便无意识泄漏后台数据。根据系统运维规范要求，须单独建立《系统运维管理制度》，要求运维技术人员签订《数据安全保密协议》，并根据运维工作需要，申请开通运维服务权限和数据管理权限。然而在部分系统运维过程中，为了节约时间成本和人工成本，技术人员直接访问数据库并接触到核心数据，在数据未备份情况下即操作数据库，或对备份后的数据随意存储，导致核心数据、保密数据被转载和复制，因无安全意识造成数据泄漏严重。

1.3 网络安全威胁情况

网络结构不安全：互联网是由众多局域网组成的巨大的网络结构，当一台主机与互联网中任一台主机进行通信时，两者之间的信息传递通常需要经过多台机器进行多重转发。在信息传递的过程中，窃取数据的不法分子利用先进的技术手段拦截信息，就能接触到数据包，如图1所示，也证明互联网的网络结构本身存在不安全性。

欺骗性网站威胁：在B/S架构的业务系统中，利用浏览器访问系统数据并操作系统是基本方式。然而，普通用户和从业人员并未意识到存在的安全问题，或许正在访问的网站已被不法分子篡改。例如：不法分子将用户访问网页的URL跳转到指定服务器，当用户在网页中输入身份信息、账号信息或者执行操作时，便可得到从业人员真实身份信息[4]。

系统漏洞及病毒威胁：入侵者借助业务系统漏洞、监管不力等因素，通过系统漏洞访问系统核心数据，将恶意程序伪装成游戏、工具、广告等诱使用户打开。当用户操作后，该程序就能直接侵入用户电脑，隐藏在计算机系统中进行破坏，入侵者可随意篡改用户计算机参数，通过控制用户计算机窃取用户硬盘中的核心数据。

1.4 保密意识薄弱现状

大数据时代，用户在数据采集和数据应用过程中，对数据敏感程度和重要等级缺乏判断，对信息安全保密意识薄弱。当一些业务系统非必要采集用户信息时，很多用户会不假思索，根据系统提示一步步录入并提交身份信息及核心数据[5]。同时，系统管理人员或后台管理人员在数据查阅和数据应用过程中，随意授权他人使用自己专属账号和密码，甚至发送带有保密数据而未打码隐藏的截图，也可能导致核心数据外泄或被篡改。

2. 信息安全管理思路

基于建设领域从业人员电子档案大数据的管理业务需求，以及档案数据面临的数据安全问题，很难实现仅依靠技术解决所有风险。同时，安全风险在不同时期是动态变化的，应对思路也需要从技术、管理、运维等多维度解决，并且针对不同时期数据安全管理需求侧重点不同，加强相关侧重点数据安全的管理。保障从业人员档案数据的机密性、完整性和可用性，通过系统架构或网络层次划分，从物理层安全、数据层安全到应用层安全，仍然是需要解决的问题。因此，在应对建设领域从业人员档案数据安全管理问题时，须整体考虑，通盘规划，基于业务需求，采用多层面、全方位的解决方案来应对。

2.1 加强数据访问和接入安全限制

实施最严格的数据访问和数据接入控制策略。制定控制策略的意义是从访问源头划分安全访问区和身份鉴权识别，根据其他业务系统对人员档案数据需求的内容，制定分门别类的安全策略。如图2所示，防火墙和交换机上的ACL均可实现访问控制功能，通过在访问源头或访问端口制定安全策略[6]。校验出入方向的数据包，检查具体操作方式，确认数据包转发的合法性。通过身份鉴权和数据加密方式提供其他系统接入对接接口，实现数据查询和数据接入。数据在网络中以密文方式传输，接收后的数据再解密处理。解密过程须应用相同类型的加密设备与密钥才能对密文解密，可有效避免数据拦截或数据截取后被利用。同时，加强从业人员档案数据网络出口异常流量监测和分析，对异常流量及时预警和定位，降低和消除异常流量对数据安全的影响。

2.2 建立安全管理制度并切实落实

最新研究数据表明，网络安全和数据安全事件中约有60%是人为因素造成，其中属于管理失误高达70%以上，在这类安全问题中约95%是可以通过科学、合理的管理方式来避免的。虽然一直强调信息安全是“三分技术、七分管理”，但在日常工作中却往往忽视了管理的重要性，管理制度未建立和管理流程未执行是主要因素[6]。系统运行管理、维护和系统开发等岗位职责、权限划分不清，导致数据安全管理松懈。须加强数据分类、分级管理，按照“谁主管、谁负责，谁运营、谁负责”的原则，确保从业人员档案数据的安全。因此，数据安全管理制度真正建立和管理制度严格执行，已经成为影响数据安全的重要因素之一。

管理制度真正建立是指建立的管理制度高度符合已有业务系统使用和运维，符合该系统、该部门数据管理要求。不能借用他人的管理制度或制定不切实际的管理制度。管理制度的制定应从技术层面、系统使用层面和运维层面等多角度分析制定，管理办法也应该随着业务系统发展不断更新和创新。管理制度严格执行是指在管理制度制定后，要严格根据管理制度要求划分角色权限，切实按照管理制度落实系统开发、系统使用和系统运维等工作，严禁在管理制度执行过程中形式化、打折扣。同时，须建立管理制度执行情况定期抽查和评审机制，对未按照管理制度执行的行为坚决抵制和严肃处理。

2.3 规范系统运维和加大经费投入

根据系统运维规范要求，须单独建立《系统运维管理制度》，并且要求运维技术人员签订《数据安全保密协议》，分配运维专属账号和运维权限，适时开通账号功能权限及数据权限功能，做好运维日志实时记录及管理。运维技术人员在系统运维过程中接触到核心数据，须根据运维管理制度中标准流程及时做好数据备份，对备份文件加密存储至指定服务器。同时，应在运维的服务器或数据库上建立网络流量监管预警机制，防止运维过程中数据被转载和复制，造成数据泄露。加大运维专项经费投入，须引进专业信息技术人才和网络安全软、硬件设备，对现有网络不安全因素排查，对系统漏洞扫描、动态评估，及时有效管理、漏洞修复和系统升级改造。采用多重防火墙技术，防止用户内外网随意访问带来的恶意程序，对网络内、外部的所有活动日志实时记录和监控。

2.4 提升网络安全和数据保密教育

目前，普通用户和管理人员对网络安全和数据安全认知处于初级状态，习惯性地把信息安全理解为“电脑中毒”“网络拥堵”等问题，简单采用安装杀毒软件修复漏洞、清理垃圾的方法解决，对数据资产和数据安全所面临的威胁认知不够。而普通用户对个人隐私信息保护意识严重不足，身份证信息、证书信息、账号信息等，随意呈现或出借给他人使用，造成从业人员档案数据严重泄漏，数据安全堪忧。

因此，应该加强所有系统使用者的数据安全和保密意识宣传培训工作。一方面，加强网络信息安全管理人员的责任意识、安全意识和信息技术专业能力，确保管理人员知晓威胁网络信息安全的各种因素和应对措施，为提高网络安全和数据安全管理奠定基础；另一方面，加强核心数据安全保密意识宣传，让系统使用者、数据接入者、数据访问者都能清楚认知数据价值和数据保密的重要性，以及数据泄漏后会导致的严重后果。

结语

总而言之，从业人员档案数据安全管理需要长期坚持和不断创新，威胁数据安全的因素较多，尤其是新技术诞生造成系统漏洞或管理制度未落实等因素。因此，系统使用者和管理者都应该充分认识到数据安全管理和数据资产保密的重要性，采取强化网络信息安全管理和数据安全管理的有效措施，以此保证各业务系统运行安全和人员档案数据安全。

参考文献：

[1]祁琪.浅析大数据时代下政府部门加强网络信息安全的措施[J].数字技术与应用，2020，38（5）：172-173.

[2]宋芝美.解读大数据时代企业管理中信息安全研究的现状与展望[J].中国新通信，2020，22（16）：139.

[3]杨启飞.大数据时代国内信息安全研究：现状、趋势与反思[J].情报科学，2021， 39（2）：178-184.

[4]徐滨，代玉敏.计算机及网络信息安全管理问题浅析[J].电脑与电信，2018，No. 261（6）：44-46.

[5]党振兴.大数据时代个人信息安全现状与保护[J].重庆交通大学学报（社會科学版），2022，22（4）：14-22.

[6]周煜.大数据信息安全研究[J].信息记录材料，2020，21（11）：150-151.

作者简介：罗鹏，本科，中级工程师，研究方向：数据安全。