宋楠 仇道霞

摘  要：为进一步提升信息安全水平，山东烟草运用现代化技术手段识别现有信息系统数据安全风险，探索解决数据泄漏、弱口令、敏感隐私数据泛滥等数据安全问题，制定针对性的管理措施和安全防护策略，确保数据的完整性、可用性、保密性和可靠性，提升了山东烟草数据安全防护水平。

关键词：烟草;数据安全;基本实践;数据分类;成熟度模型

中图分类号：TP309      文献标识码：A 文章编号：2096-4706（2020）01-0129-06

Abstract：In order to further improve the level of information security，Shandong tobacco uses modern technology to identify the data security risks of the existing information system，explore and solve data security problems such as data leakage，weak password，proliferation of sensitive privacy data，and formulate targeted management measures and security protection strategies to ensure the integrity，availability，confidentiality and reliability of data，which improves Shandong tobacco data security protection level.

Keywords：tobacco;data secutiry;base practices;data classificaion;maturity model

0  引  言

随着山东烟草信息化程度越来越高，积累了大量的数据资源，业务种类繁多，横向涉及卷烟营销、专卖管理、烟叶管理、企业管理等各个业务领域，纵向贯穿省、市、县（区）等多个层级，数据呈现出数据量大、复杂性高、多样性强等特点，对安全性保护、规范性管理、技术架构升级改造等提出了新的要求和挑战。全系统数据资源开放共享程度越来越高，数据安全问题也日益突出，如个人信息泄露事件层出不穷、敏感数据泛滥成灾、数据管理权责不清、数据保护措施不足等。如何更好地使用和保护数据资源，解决数据安全面临的各类挑战，成为当前亟待解决的重要问题。山东烟草立足识别数据安全风险隐患，着力从数据的全生命周期（采集、存储、传输、使用、提供、销毁）开展数据安全方案研究探索，着力解决数据的完整性、保密性、完整性、可用性等安全问题，设计完善数据安全防护策略，提高数据安全防护水平。

1  数据安全发展趋势

随着大数据、云计算等新兴技术的蓬勃发展，数据资源共享变得更加方便、快捷，但同时也带来了一些安全隐患，如企业泄密事件层出不穷、个人信息过度收集屡禁不止、敏感隐私数据泛滥成灾等。放眼全球，各国都把数据安全上升到国家战略的高度，把数据安全治理、隐私保护当作首要任务来抓。

欧盟议会于2018年5月25日通过了GDPR[1]《通用数据保护条例》新规。新的条例完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民（欧洲经济区公民）数据的公司存储和管理个人数据的方式。GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响，同时重塑欧盟的组织机构处理隐私和数据保护的方式，从个人数据权利的法律归属上，设定了“个人数据”“数据主体”和“数据主体权利”以及采取了严格的全球个人隐私保护要求。

2018年1月18日，美国联邦贸易委员会[2]（Federal Trade Commission，FTC）发布了《隐私与数据安全保护工作报告（2017）》即《Privacy & Data Security Update（2017）》。FTC对公司提出实质性保护和程序性保护两个要求，即不仅要注重数据安全保护方式内在的合理性与安全性，也要将数据安全保护作为公司的例行工作和日常事项，还提出企业所收集的用户信息应当满足“最小化的密切联系原则”，即机构收集的信息以实现服务目的为限。

2017年《网络安全法》正式实施，不仅将网络安全上升到国家战略的高度，更明确指出网络运营商关于个人信息保护的责任，数据安全已经成为网络安全的重要保证。在信息时代，数据资源已经成为一个企业的重要资产，无论从资产保护的角度，还是从《網络安全法》等法律法规要求的角度，都要求我们加强对数据资源的安全保护。

2  山东烟草数据安全挑战

随着我国信息化水平的不断提高，烟草行业也在向信息化方向高速迈进。在加快信息化建设的同时，烟草行业所面临的数据安全问题也日益增加，数据泄露、黑客攻击、第三方恶意软件等问题正无时无刻地威胁着烟草行业的数据安全，因此烟草行业必须进行数据安全建设。需要从管理、技术、人员等多个层面整体提高数据安全。

山东烟草由于资金、管理、技术、人员等多重因素影响，也存在着一定的数据安全问题。其中，现阶段较为突出的问题集中在：数据资产不清、敏感数据不明、敏感数据防护有缺陷、管理制度不完善、安全从业人员安全水平不足、数据接触人员安全意识不足、安全应急体系不完善、缺乏科学有效的数据治理方法等。

3  山东烟草数据安全探索思路

山东烟草在进行数据安全探索的过程中，针对以上数据安全风险，提出的数据安全对策和思路是：以数据安全能力成熟度模型与数据生命周期相结合，通用安全DSCMM[3]（框架、技术、方案）为数据治理指导原则。结合山东烟草的特点规划适合山东烟草的数据安全解决方案。

3.1  数据安全能力成熟度模型

数据安全能力成熟度模型（如图1所示）是一套数据安全建设中的系统化框架，是围绕数据的生命周期，结合业务需求以及监管法规的要求，持续不断提升数据安全能力，从而形成的以数据为核心的安全框架。

3.2  数据生命周期安全

围绕数据生命周期，提炼出现有数据环境下，以数据为中心，针对数据生命周期各阶段建立的相关数据安全过程域体系，定义了数据生命周期中的交个阶段，如图2所示。

（1）数据产生：新的数据产生或现有数据内容发生显著改变或更新的阶段;

（2）数据存储：非动态数据以任何数字格式进行物理存储的阶段;

（3）数据使用：组织在内部针对动态数据进行的一系列活动的组合;

（4）数据传输：数据在组织内部从一个实体通过网络流动到另一个实体的过程;

（5）数据共享：数据经由组织与外部组织及个人产生交互的阶段;

（6）数据销毁：利用物理或者技术手段使数据永久或临时性不可用的过程。

根据数据生命周期各阶段安全（如图3所示）要求，结合山东烟草数据安全特点，整理出近期数据安全治理要解决的重点内容，包括：数据资产梳理、敏感数据识别、数据分级分类、数据资产安全检测、数据资产安全加固、数据监控与溯源、数据加密防护、数据分发脱敏、数据安全管理制度、数据权限加固、人员安全培训和数据安全应急响应等。

4  山东烟草数据安全基本实践

山东烟草数据安全实践以解决上述问题为目标，下面将详细论述采用何种方法解决上述问题。

4.1数据资产梳理

资产梳理是解决敏感数据安全问题的必要手段。数据资产梳理可以帮助管理人员了解数据资产的规模、分布情况和使用场景，从而根据不同场景下的数据安全需求建立有针对性的安全防御手段。

山东烟草借助专业的梳理工具，对业务系统中的数据库进行了快捷、高效的数据资产梳理工作，获得了清晰、直观的数据资产分布情况。梳理的内容包括：

（1）数据库数量、类型、版本及详细信息;

（2）确认数据资产分布情况及数量，精确到字段、行数;

（3）梳理数据库账户信息及账户对资产的访问权限。

梳理完毕后，将梳理结果进行汇总，形成数据资产清单，部分结果如图4所示。梳理后的结果将作为后续数据安全建设的依据，为规划数据安全方案提供参考。

4.2  敏感數据识别

敏感数据识别是要发现系统中的敏感数据。在数据梳理的基础上，在有限的识别范围内，通过对敏感数据特征的分析，提炼出一套山东烟草的敏感数据特征库。利用特征库快速找出系统中的敏感数据，为后续数据分类分级奠定数据特征基础。山东烟草敏感数据特征示例如图5所示。

4.3  数据分级分类

数据分级分类是将识别后的敏感数据进行筛选，根据数据的价值、重要程度分门别类，为不同级别的数据提供不同程度的安全防护。山东烟草依据的分级原则如下：

（1）信息外泄或披露不会造成商誉损失，不会造成经济损失;

（2）信息外泄或披露会造成轻微商誉损失，不会造成经济损失;

（3）信息外泄或披露会造成商誉损失，会造成经济损失，或存在轻微经营风险;

（4）信息外泄或披露会造成严重商誉损失，会造成严重经济损失，或存在严重经营风险。

4.4  数据资产安全检测

为了进一步明确山东烟草数据库安全所面临的问题，采用数据库安全检测工具对数据库进行安全扫描。扫描的安全问题包括：数据库漏洞、配置缺陷、危险代码、缺省口令、审计情

况、补丁状态等一系列安全问题的情况以及修复建议。图6是风险分布-检测项类型图，即Oracle数据库存在的安全隐患综合图。数据管理员根据修复建议，对数据库问题进行了漏洞整 改、数据库版本升级、口令强化、关闭不必要用户等修复工作。

4.5  数据资产安全加固

升级数据库或系统配置是提高数据安全性的常见手段。但是山东烟草存在复杂的应用体系以及海量的数据，升级时必须进行全适应测试，以防止业务异常问题出现，会耗费极大的人力和财力。因此，为了提高效率，同时保证数据库的安全性，采用了带有虚拟补丁功能的数据库防火墙产品。

数据库防火墙能够解决数据漏洞、错误配置、恶意代码等多种数据库安全问题。虚拟补丁（如图7所示）不需要升级、重启数据库，就可以达到防护数据库遭到漏洞、恶意代码攻击的问题，是一种适用于山东烟草数据安全现状的有效方法。

4.6  数据监控与溯源

审计系统能够自动化监控用户行为，及时发现针对数据库的攻击行为，阻断风险操作。当安全问题发生后，还能根据审计日志追本溯源，便于责任追查。对于数据库监控审计系统，要求能做到以下几点：

（1）报表类型：日报、周报、月报、专项报表等;

（2）报表内容：风险分布状况、客户端统计分析、语句统计分析、性能状况等;

（3）统计图展现形式：柱形图、曲线图、双轴折线图等。

数据库审计如图8所示，审计产品能够检测到高危操作，并以图标的形式直观地展现出来。

4.7  数据加密防护

数据加密是数据防护的最后一道防线。数据加密的目的是即便数据泄露，也能保障数据不被识别或恶意利用。我们从应用层、网关层、交换基层、数据库层、主机层等多个层面进行了数据加密方案的论证和实验，最终发现数据库层加密最适合烟草行业的业务场景。

其他层面的数据加密要么会导致应用的大幅改造，要么会导致业务性能下降超过20%，这些都是难以接受的。而数据库层加密对性能影响较低，是目前最佳的数据加密解决方案。

4.8  数据分发脱敏

数据安全的一个关键点是保障流动中数据的安全。数据的价值来自共享和分发。分发必须符合一定的规范，对不同类型的数据采用不同的脱敏方案后，再实施分发。山东烟草基于自身数据特征和分发场景形成了一套标准的数据分发规范，详细规范了不同类型数据的脱敏规则。具体数据脱敏规则如图9所示。

4.9  数据权限加固

数据资产自身虽然提供了一定的权限体系，但这些权限体系在权限的细粒度上存在问题。导致很多能接触到数据的数据操作者，可能成为数据泄露的潜在风险。为了兼顾实时性和安全性，我们采用动态脱敏技术。使不同权限的数据操作人员，看到的数据形态，特征各不相同。保障了数据在操作过程中不出现泄露的问题。具体数据权限加固如图10所示：授权用户可以看到真实数据值，而非授权用户A只能看到遮蔽后的部分值，而采用不同策略的非授权用户B则会看到仿真数据。但库中存储的是真实数据，利用动态脱敏技术及保障了原始数据存储安全，同时又有效避免了数据在操作过程中被泄露的风险。

4.10  数据安全管理制度

数据安全实践必定是技术和管理相结合，制定合理的数据安全管理制度非常重要。我们参考《ISO27001-2013信息安全管理体系要求》，将管理制度分为四级进行建立，如图11所示。

一级管理制度文件为方针政策、二级管理制度文件为制度规范、三级管理制度文件为操作明细、四级管理制度文件为基础模板。除一级文件外，其他级别的文件在制定的时候具有唯一上级，同级文档内容不能重复，最终形成树状结构。

4.10.1  一级文件

由决策层指导编制并发布，明确数据安全工作的总体方针和纲要，确定开展数据安全工作的目标和基本原则，主要内容包括：数据安全相关责任的划分、数据安全工作的范围、决策机制以及数据安全工作技术路线。

4.10.2  二级文件

在总体方针的框架下，形成基于数据场景的制度规范，如数据安全管理规范（通用规范）、数据共享管理规范、数据资产管理规范等。二级文件要明确相关角色的权利和义务，面向相关对象（包括人、应用、工具）提出要求。

4.10.3  三级文件

基于二级文件提出的要求，形成具体的执行文件，如脱敏规范、审批流程、审计日志规范等，三级文件是指导技术落地的基础。

4.10.4  四级文件

四级文件是基础辅助类文件，一般都是由三级文件在執行过程中产生或沉淀而来，例如：数据权限申请模板、脱敏申请模板、流程审批模板等。

4.11  人员安全培训

人为因素一直是数据安全研究的重点内容，数据从产生到使用，每个环节都离不开人的影响。因此，有必要对管理人员进行数据安全培训，加强运维人员、管理人员、普通用户的安全意识以降低人为因素的影响。根据实际经验来看，培训应当从以下两方面入手。

4.11.1  意识培养和培训

根据接触数据的人员实际情况和需求，对有关人员进行意识培养和应急技能培训，以便能达到数据安全运营的基本要求，最终达到数据安全运营的贯彻、实施、执行和维护。例如：针对数据操作人员，重点在于安全意识的培训、安全事件教育等。针对运维人员则是在思想培训的基础上要做大量数据安全运营的技能培训。

4.11.2  定期做应急演练与总结

运维人员应该定期开展应急演练，来提高应对突发事件的能力。应急演练过程如下：

应急演练前，运维人员应明确演练的范围和演练项目，熟悉应急演练环境，制订详细的应急演练方案，准备应急演练环境并测试，并要对参加演练人员进行演练前培训。

正式演练时，其他运行和实施小组人员将配合用户完成全程演练工作，并随时准备对突发事件进行处置。

演练完成后，运维人员应进行演练工作汇报，总结演练，形成针对不同情况的应急响应方案。

应至少每半年组织一次安全应急演练工作，如大规模病毒爆发、安全设备故障等，并生成总结报告表。

4.12  数据安全应急响应

数据安全建设一个长期持续的过程，需要在组织内持续性地落实数据安全的相关制度和流程，并基于组织的业务变化和技术发展不断地调整和优化。要想做好数据运营，关键在于应急管理。应急管理应包含以下两方面内容。

4.12.1  应急响应目标

建立应急组织机构和工作机制，确保在重点时期、安全事件高发期的数据安全保障工作的顺利实施，当面对重大数据安全事故时具备应对手段;要确保在应急组织的协调下，能够高效有序地开展数据安全运营工作;要具有完善的应急机制和应急预案，从而在应急状态下对业务应用进行有效支撑，满足业务连续性要求，防止业务中断。

（1）工作目标。1）建立应对应急事件的快速高效、分工明确、责任到人、常备不懈的应急组织及保障体系;2）建立应对应急事件防范、指挥、处置体制和机制，提高处理和解决应急事件的响应能力;3）通过规范应急事件的等级分类，确定不同等级应急事件的启动程序，明确各部门的职责和权利;4）尽快消除事件影响，尽可能减少事故造成的人员和财产损失。

（2）工作原则。数据安全运营应急管理工作应坚持以下原则：坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主，预防与应急相结合;坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量，共同做好安全事件的预防和处置工作。

4.12.2  应急响应流程

（1）明确组织机构。为加数据安全运营保障工作，有效应对信息安全突发事件，应明确安全应急指挥、响应、处置职责，应建立相应的组织体系，负责领导、协调、处理应急响应工作和突发紧急安全事件。应急保障临时小组框架如图12所示。

（2）应急事件分级。安全事件是指由于人为因素、软硬件缺陷或故障、自然灾害等，对云平台网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。

应急保障组织应根据安全事件的危害和损失的程度，对安全事件进行分级，参照《国家网络安全事件应急预案》（中网办发文〔2017〕4号）中对网络安全事件的分级方式，将安全事件分为A、B、C、D四级，分别对应特别重大安全事件、重大安全事件、较大安全事件、一般安全事件。事件定级要求如下：

A级：核心应用服务器、核心数据库服务器、核心数据备份设备、核心业务系统、核心数据库故障或宕机。此类信息系统故障涉及全业务系统范围，超过两个小时以上，严重影响工作的正常进行。

B级：核心应用服务器设备、核心数据库服务器设备、核心数据备份设备、核心业务、核心数据库系统故障或宕机。此类信息系统故障涉及到全业务系统范围，在二个小时之内，严重影响工作的正常进行。

C级：单个系统软件（包含数据库中的一个节点，集群中的一个应用端口）、单个业务系统故障，超过二个小时以上，影响部分工作的正常进行。

D级：单个系统软件、单个业务系统，无法使用超过30分钟以上，影响业务范围较小。

（3）应急处置。应急处置流程如图13所示，由于突发事件发生的位置、影响和时间是不可预知的，应急组织要求能够灵活应对这种不确定性因素。遵循“分级响应”的原则设置应急响应机构。这种分级响应的机制可以最大限度地利用有限资源满足全网全平台的应急响应需求，强调不同等级的风险用相应的资源来应对，明确设置每一等级相应的处置负责人和资源投入，确保快速有效地处置突发事件。

（4）调查与评估。特别重大网络安全事件由应急办组织，应急处置组进行调查处理和总结评估，并按程序上报。重大及以下网络安全事件由應急处置组自行组织调查处理和总结评估，其中重大网络安全事件相关总结调查报告报应急办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。信息安全事件应急处置工作结束后，信息安全处置组在三个工作日内对事件处置过程和结果详细记录在事件报告单中，并将事件总结报告进行备案，归档保存。

（5）安全事件报告表。所有信息安全事件应填写安全事件报告表。

5  结  论

山东烟草开创性地把熟度模型与数据生命周期相结合，形成了特色的数据安全治理思路。山东烟草不光有数据治理思路，更有治理决心、整体规划和短期目标以及实践能力。在做了大量实践调研的基础上，针对数据资产梳理、敏感数据识别、数据分级分类、数据资产安全检测、数据资产安全加固、数据监控与溯源、数据加密防护、数据分发脱敏、数据安全管理制度、数据权限加固、人员安全培训和数据安全应急响应等棘手问题，提出解决方案。但相信随着数据安全形势的发展变化，还会出现新的挑战，在不断深入实践的过程中也会有新的安全问题出现。我们山东烟草人一定会迎难直上，披荆斩棘，不断面对新的安全挑战，不断征服新的安全挑战。

参考文献：

[1] 欧洲联盟.通用数据保护条例[S/OL].（2018-05-25）.https：//baike.baidu.com/item/%E9%80%9A%E7%94%A8%E6%95%B0%E6%8D%AE%E4%BF%9D%E6%8A%A4%E6%9D%A1%E4%BE%8B/22616576？fr=Aladdin.

[2] 美国联邦贸易委员会.2017年隐私与数据安全保护工作报告 [A/OL].（2018-01-18）https：//www.useit.com.cn/thread- 18230-1-1.html

[3] 全国信息安全标准化技术委员会（SAC/TC 260）.信息安全技术 数据安全能力成熟度模型：GB/T 37988-2019 [S].北京：中国标准出版社，2019.

作者简介：宋楠（1982-），男，汉族，山东济南人，主任科员，高级工程师，硕士，研究方向：软件工程;仇道霞（1973-），女，汉族，山东济南人，副主任科员，高级工程师，硕士，研究方向：软件工程。