大数据集中管控系统建设及安全保障

2015-08-07总后勤部直属供应保障局董建锋解放军61660部队刘丽丽二炮后勤信息中心高强

信息安全与通信保密 2015年6期

总后勤部直属供应保障局董建锋解放军61660部队刘丽丽二炮后勤信息中心高强

大数据集中管控系统建设及安全保障

总后勤部直属供应保障局董建锋解放军61660部队刘丽丽二炮后勤信息中心高强

针对大数据实施集中管控是大数据环境下信息安全技术防护体系的重要组成部分，也是信息安全综合管控的主要手段，能够有效提升大数据安全综合防御能力。集中管控系统是利用计算机信息系统、网络安全技术，对信息系统中产生的大数据实施集中存储、加密保护、授权使用、精确控制、全程审计的信息管理系统。

大数据集中管控

目前我国已建成且运行良好的集中管控系统大多运行在办公网络上，管控对象是办公网络的计算机终端和存放在网络系统中的大数据。

当前，各单位信息化程度越来越高，业务系统复杂多样，为确保大数据的安全，不仅要管理日常的电子文档，而且需要对各类信息系统进行统一的集中管控，因此集中管控的实施范围应当包括各类数据文档集中管控和重要信息系统集中管控等。

由于信息系统所采用技术机制不同，其设备在功能实现上会有差异，在部署方式上也存在明显区别。例如，有的系统采用“现有办公终端＋专用软件”的基于终端的管控方式，有的则采用服务器集中计算的方式。前者能够充分利用现有设备，无需改变用户现有办公习惯，但维护工作量较大；后者利用服务器端资源进行计算，现有办公终端仅作为输入输出设备使用，客户端更轻量化，部署更为灵活，但对服务器端的资源配置要求较高。建设单位应当结合实际，针对不同技术机制分别设计权重，综合考评。

大数据集中管控系统的安全保护主要体现在身份认证和加密存储上，由于各厂商采用的技术各有不同，研发实力不等，对行业或建设单位定义的特殊接口不一定能够完全支持。选型时，应充分结合本单位业务特点和实际需求，确定加密机制后，再选择支持的集中管控技术和厂商。

对日常工作产生和处理的大数据进行集中管控，是典型的集中管控场景之一，其核心要求是集中存储，控制重要数据的物理分布范围，防止用户无意识造成重要数据的泄露以及恶意人员故意窃密的风险。针对上述目标的设计实现要秉承“以用户为中心、以数据为核心”理念，在安全保密基础上，提升办公效率，促进大数据的利用。

1）以用户为中心。集中管控的操作使用应为用户熟悉的界面风格，文件（夹）目录组织不变，应用程序照用。用户间的交互要方便快捷，可共享数据并设置权限。各种审批流程可自定义，有审批提醒、进度提示、已读未读提示方便用户了解进度。

2）以数据为核心。大数据是涉密信息的载体，集中管控的权限控制与数据绑定，权限与敏感数据紧耦合。用户的公私文件要管理方便，用户私人文档区个人管理并具有最高权限，公共数据可统一管理、授权使用，方便归档和调阅使用。

各类业务信息系统在开发过程中主要强调根据业务需求进行数据封装和流程设计，由于数据环境复杂，数据量庞大，在数据封装和流程设计上存在较大的安全风险。因此，在进行数据集中管控项目建设时，应当充分考虑各类重要信息系统的特点，可从业务流程或数据本身的角度，也可从运维管理和保密管理的角度，进行整合管理。具体建设内容主要从如下几个方面设计和考虑：

1）基本环境不改。在大数据集中管控系统的用户使用环境是安全可控的基础上，还需确保该环境能够不改变原有文档处理流程、业务系统使用，尽可能的做到“不改变部署、不改变使用、不改变管理”，最大程度降低大数据集中管控推行难度。

2）业务数据整合。大数据集中管控下的用户工作文档和信息系统能够有机交互，不影响便捷性。信息系统后台的数据，若以文档形式保存，应当能够通过集中管控系统的接口，实现统一的数据安全存储，从而建立起整体的用户数据进出管理关口。

3）统一账号管理。应当以身份认证系统为基础，建立数据调用者账号的统一管理，即大数据集中管控系统提供接口，面向各信息系统提供统一的账号同步推送和单点登录管理。一是当用户发生变动时，管理员无需单独设置每个信息系统，极大提高运维效率。二是能够提升用户身份的安全性，增强各信息系统之间的业务一致性，便于推动统一业务平台的建立。

4）统一授权管理。基于大数据集中管控系统建立面向不同信息系统的统一授权管理，管理员可以通过统一的管理入口，实现对用户功能的统一管理。

5）统一审计管理。由大数据集中管控系统提供统一接口，各信息系统将本系统的操作记录统一汇总，实现跨系统的用户行为综合审计。

管控的组织实施与步骤方法

大数据集中管控项目建设应当坚持确保信息安全与促进信息有效利用、严格保密管理与方便日常工作、立足现实需求与兼顾长远发展相结合的原则，采取统筹规划、需求牵引、科学论证、强力推进的方法，在准备工作充分、方案设计合理的前提下，严密组织，分步实施各阶段建设任务。

1.前期准备阶段

大数据集中管控系统建设组织实施要做好相关政策规范等文件的学习研究工作，根据要求做好各部门的职责任务和具体分工。例如系统建设要在各级信息安全管理组织机构指导下，由信息安全和信息化建设等部门负责实施。

首先要做好前期宣贯工作，宣贯主要目的是消除用户对系统建设可能存在的抵触情绪，为集中管控系统建设提供有利的舆论、政策和技术环境。其次要做好网络基础环境准备工作，集中管控一般依托办公网络进行建设，与其他涉密网络连接时，应当采取严格的逻辑隔离和安全防护措施。要纳入大数据集中管控的单位网络条件不具备的，应提前整改网络，涉及到用房、用电、制冷、电磁屏蔽、网络安全防护等应提前做好准备工作。

2.流程设计和方案编制阶段

（1）业务流程设计

主要通过分析大数据环境、业务系统及工作流程，研究设计在部署大数据集中管控后的整体业务流程，探索建立简明规范的实施步骤、工作模式和应急处理机制。特别要甄别出不适合纳入集中管控范围内的特殊终端和业务应用，并针对特殊情况拟定出相应的管理办法。

（2）基本方案编制

基本方案要结合本单位实际情况进行编制，依据本单位的用户规模、现有基础等情况，产品层面重点从硬件设备、软件系统方面进行设计；实施层面重点从人员组织、实施计划、培训保障等方面进行编制；使用层面重点从售后服务保障、应急问题处理、容灾备份演练等方面进行编制。基本方案要满足单位需要、符合建设规范要求基础上，尽可能的统一。例如大数据集中管控项目专用交换机、服务器、存储单元等关键设备要采取硬件冗余以防止单点故障；要提供保证大数据集中管控服务不间断的其他措施（如双机热备、不间断电源等）。

（3）前瞻方案编制

大数据集中管控系统建设是一项长期工程，随着信息化的深入推广会不断产生新情况、新问题。立足现有信息化基础编制的建设方案，在推行国产自主可控技术时应有完善的过渡方案。例如，同一套集中管控系统服务器端既应能支持Windows系统，又能支持国产操作系统；应当支持不对服务器端做任何改变的前提下，客户端能够从Windows操作系统转到国产桌面操作系统。

3.建设实施阶段

大数据集中管控项目建设期要依据建设方案完成相关软硬件系统部署，并根据需要完成用户数据导入、强制登录、部分功能确定及调整、管理员及用户的培训、系统容灾备份演练等工作。

（1）数据导入和强制登录

大数据集中管控软硬件环境建成运行后要将用户现有涉密电子文档逐步迁移到集中管控系统上，实现集中存储。此工作可以分批分部门逐步开展，首先是先行迁移技术条件较好、学习和适应能力强的部门，能够带动和培训其它部门。有些终端需要开机就强制进入集中管控平台时，也可分批分部门开展。

（2）功能调整

大数据集中管控系统功能调整也是建设阶段的一项重要内容，比较典型的工作有与特定应用系统的对接（例如单点登录修改、业务数据整合等）、基于文档流转或特殊操作的审批流程的调整。功能调整有助于基于集中管控系统的多用户协同工作模式的建立，并显著提升工作效率。

（3）系统培训

大数据集中管控系统建设涉及到所有系统使用人员，做好管理员和用户培训是能否有效管理大数据的重要因素。对于规模比较大的单位，建议设立并培训下级管理员进行分级管理，以减轻上级管理者的压力。

（4）应急备份

建设部门在集中管控部署时应当做好充分的备份和应急恢复方案，并在系统正式使用前进行容灾备份演练。

集中管控效果及运行机制建设

1.系统建设效果

大数据集中管控系统建成后，落实了关于“推行网络化办公，强制对敏感数据实施集中存储，严格访问控制，严格授权共享，严控移动计算、存储设备使用，逐步实现数据脱敏、终端不存敏感数据”的要求，符合数据安全管理的精神，通过技术管控手段强化安全意识，能够为提高信息安全防护能力打下良好基础。

2.运行保障机制

为保证大数据集中管控系统运行效果，应结合相关标准规范的要求，设置清晰的管理组织架构，研究建立相应的管理制度，包括日常管理维护机制、定期检查和应急处理机制、纠正与预防改进机制等。通过建立科学合理的信息安全制度和工作机制，形成齐抓共管、健康有序的工作局面。

各单位需要明确专职人员负责集中管控系统的日常管理工作，并由信息安全主管部门统一管理，系统的日常管理要实现分权制约，防止出现超级管理员。大数据集中管控的基础网络平台维护一般由网络建设管理部门负责，密码设备维护由密码管理部门负责。在全单位信息安全、信息化部门职责分工基础上，可另设多级管理员负责本部门的常规维护保障，管理的职责仅限于审批流程、数据信息存储空间大小管理等上级管理者不方便维护的非敏感操作。

3.配套管理制度

大数据集中管控系统建成后，必须制定相应的配套管理制度，辅以定期检查，达到积极预防、确保稳定和及时恢复的目的。相关的配套制度编制成册，分发给相关人员使用。一般的配套制度有：《大数据集中管控系统使用管理规定》、《数据用户身份证书管理制度》、《大数据集中管控应急管理预案》等。