(1国网甘肃省兰州供电公司 甘肃 兰州 730060 2国网甘肃省电力科学研究院 甘肃 兰州 730000)
摘要:数据安全问题伴随着信息化的发展日趋严重,它与企业的健康运营息息相关,然而,其中绝大部分安全和管理问题都来自终端。本文从分析当前热点数据泄露现象出发,结合电力企业数据保护特征和要求,从数据全生命周期保护要素出发,探讨终端数据保护平台的设计思路,大幅度减少人为因素造成的数据泄露,提高企业数据保护能力。
关键词:数据保护、终端安全、全生命周期
1 数据安全现状
随着信息技术的不断发展,数据泄露问题已经给个人、企业乃至政府的信息安全带来极大的挑战。数据泄露防护作为非常重要的企业数据安全防护措施,其需求与日剧增。当前,企业的机密数据已经成为企业市场竞争的重要砝码,如何保护公司机密数据安全也至关重要。而在信息时代,企业机密数据常常存储在单位的电脑上。因此,公司机密数据防泄密的实现,就需要直接保护电脑文件安全,防止公司数据泄露。本文以电力企业为研究背景,分析行业数据保护需求,探讨基于用户终端的数据保护平台的功能实现方式。
2 终端数据安全保护内容
所谓的数据安全,是指对数据的完整性、机密性、可用性进行保护。电力企业秘密包括商业秘密和工作秘密。商业秘密分为核心商业秘密、普通商业秘密。工作秘密是指公司在公务活动和内部管理中产生的,在一定时间内不宜对外公开,一旦泄露会影响公司正常经营管理秩序,给公司造成损害的事项和信息。譬如二次系统安全防护实施方案、通信系统的安全评估与安全漏洞分析报告、安全性评价报告、网络与信息系统安全防护方案及核心技术内容、公司系统省级及以上信息网络拓扑总图等都是核心商密。
电力企业商业秘密数据安全管理基本要求:实行依法规范、预防为主、突出重点、保障安全、便利工作的方针。
3 数据全生命周期安全需求分析
电力企业商业秘密生命周期分为四个阶段:形成阶段、流转与应用阶段、存储阶段、脱密及销毁阶段。
形成阶段。商业秘密形成阶段主要分为非结构化商业秘密数据形成阶段和结构化商业秘密数据形成阶段。应正确确立密级标识;应对服务器、应用系统、数据库中的商业秘密数据及载体等通过信息数据描述或标签等方式设置密级标识。
流转与应用阶段。商业秘密流转与应用阶段主要分为结构化数据流转阶段与非结构化数据流转阶段。结构化数据流转阶段为数据库表单数据的存取和利用;非结构化数据流转阶段包括商密数据在公司内部网络应用与传输阶段。
存储阶段数据安全。终端存储保护,应采用加密等技术措施,并对做读写访问控制。应启动访问控制措施,保护终端上的商业秘密数据不被非授权访问。存储在终端的商业秘密数据导出时应进行审批,并在系统中可审计。核心商密保密技术还应符合:终端上不准许存放与所涉及业务无关的核心商密数据,对核心商密数据应实现集中加密存储及细粒度使用权限控制。
脱密及销毁阶段。商业秘密脱密及销毁阶段主要包括信息系统中处理商业秘密数据的设备、存储介质以及商密数据本身等进行脱密或销毁。对于变更用途或不再使用的商业秘密数据载体,由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息。应对超过使用权限的外发商业秘密数据,执行自动销毁,以防超出知悉范围人员越权查阅商密数据。核心商密保密技术还应符合:对不再使用、报废等涉及核心商密的载体应采取物理销毁方式。
期刊文章分类查询,尽在期刊图书馆
4数据保护平台的实现模块
基于对商业秘密全生命周期的数据安全保护需求分析,以及常见威胁分析,设计统一数据保护平台。该平台包含四大功能模块:分析识别;授权控制;全面防护;全过程监控。
该平台能识别业务系统和终端的敏感信息,嵌入标记定位文件;自主对文件进行阅读、打印、转发等功能授权;实现敏感信息的跟踪,审计及传输的全过程,实现对敏感信息的监控;外发控制、水印保护、透明加解密。
内容识别:安全客户端根据关键字进行全盘内容识别,对包含敏感字的电子文档建立索引,列出关键文件列表,可对文件选择“加入白名单”、“外发”、“保护”、“粉碎”操作。
数据保护:实现基于国密SM4算法的文件加解密及U盘拷贝控制、打印控制、使用时间、打开次数控制。
外发控制:对于需要外发至外网的电子文档,生成为外发文件,并可选择设置文件访问口令,文件操作权限,文件过期后自动销毁,权限控制内容包括禁止另存、禁止打印、限制打开次数、限制文件有效时间、绑定MAC地址、打印水印。
安全监测:实现对已保护电子文档、建议保护电子文档及白名单文件的分析。
文件操作分析:实现对所有电子文档的创建、复制、移动、删除的安全监测分析。
敏感信息分析:实现对办公计算机敏感电子文档内容的监测分析。
受保护文件分析:实现对受保护电子文档的创建、复制、移动、传输、删除等全过程回溯。
监控分析:通过数据保护安全管理系统对数据全生命周期过程的监控,数据保护安全监控分析系统实现对敏感文件的信息分布状况、终端敏感操作、文件实时状态等全生命周期等监测,实现对所有的操作可追溯,并能对文件的全生命周期过程进行重现。
5 小结
企业信息化的大力建设,方便地实现了信息和数据共享,各类数据的使用在企业正常生产经营过程中无处不在发生,无论企业处于何种规模,都存在数据泄漏的风险,这些风险会让企业面临安全、知识产权、财产和隐私等多方面的威胁。本文以电力企业管理信息大区为研究背景,介绍的数据保护平台从数据全生命周期保护出发,通过对数据的分类、识别、检索、保护、监控和分析,建立终端数据全生命周期数据保护体系,从而大幅减少有意识或无意识的数据泄漏,提高企业数据保护能力。
参考文献:
[1] 刘金锁,从正海,韩勇.企业数据保护与防泄漏平台的设计与实现(J).计算机与现代化,2013(06)
[2] 周汉华.保守国家秘密法修改述评[J].法学家,2010(03)
[3] 章翔凌,王欢.信息化条件下国有企业秘密分类方法及管理模型.保密科学技术,2012(04)
[4] 郭硕.商业秘密认定的法律探索[J].法制博览.2017(12)
[5] 余文清,刘连泰.互联网时代下的数据保护[J].重庆师范大学学报(哲学社会科学版),2015(06)
论文作者:张琴1,赵金雄2
论文发表刊物:《科技研究》2018年8期
论文发表时间:2018/10/23
标签:数据论文; 商业秘密论文; 终端论文; 阶段论文; 文件论文; 生命周期论文; 企业论文; 《科技研究》2018年8期论文;