【 摘 要 】 论文从信息安全管理和安全技术角度出发，根据安徽省烟草行业的实际情况，以数据保护目标为驱动，以业务安全评估为方法，对企业数据泄漏的保护建设进行探讨。通过对企业信息安全建设的不同发展阶段总结，提出从企业“盲目自信”到“卓越运营”的不同过程中，数据保护建设可采取的不同目标和可操作的具体措施。最后，通过案例说明数据保护落实过程的经验。

【 关键词 】 数据保护；数据安全；数据防泄漏

【 Abstract 】 This article from the information safety management and technical point of view， according to the actual situation of the tobacco industry in Anhui Province， to protect the data target driven， to business safety assessment method of enterprise data leakage protection and construction were discussed. Through different stages of the construction of enterprise information security development summary， proposed from the enterprise "blind faith" to the "operation excellence" of the different processes， data protection and construction can take different goal and the specific measures. Finally， through the case that empirical data protection implementation process.

【 Keywords 】 data protection；data security；data leakage prevention

1 引言

近几年中国烟草对信息安全的重视程度越来越高，以各类会议的形式多次讨论信息安全实施工作，也曾多次下发有关信息安全文件指各省市的信息安全工作，并且近年频发的各种信息安全事件、数据拖库、业务数据泄露等不同程度的数据泄露事件再次给各企业敲响警钟，数据安全已危及到企业的生存发展。企业如何做好数据保护工作成为企业信息安全发展道路上一个尖锐的话题。

对于烟草行业来说，核心数据安全也是安全工作面临的重要方向，安徽省烟草公司当前的位置处于何处？应如何保护数据安全进行数据安全建设？如何缩小数据安全建设与成熟体系方案的差距？这些问题是安徽省烟草公司在数据保护建设中的重要思考点。

2 企业数据保护目标

安徽省烟草公司进行数据安全建设的前提是，必须明确数据保护的目标。数据保护目标可以从管理角度、技术角度分别识别，同时结合烟草行业不同发展阶段的信息安全需求而定。行业应该具有坚定的决心，力争实现数据保护工作三年内达到行业内中等水平，五年内步入领先行列的建设目标。

经过省公司实际的数据安全防护工作，结合行业特性总结了适合烟草行业的数据安全建设的基本过程与目标：识别开、管理全、防护住、监测出、追踪到。如图1所示。

3 行业数据保护建设发展阶段定位

在清楚定位烟草行业当前所处的信息安全保障能力成长阶段后，就要根据烟草行业当前的实际情况，选择数据保护建设的最适合途径。经过省公司近几年的数据安全建设，现分别从管理和技术两方面进行数据安全建设讨论，通过分析将落实途径分为盲目自信、认知、改进、卓越运营等阶段，同时落实数据保护工作。

3.1 数据安全建设管理层面的落实途径

盲目自信阶段：没有进行数据安全建设工作。

认知阶段：配合技术手段对数据安全建设的基础工作做好，然后进行数据识别管理。

改进阶段：再次进行数据识别管理，同时对防护策略进行完善，对重点工作和重点防护内容进行安全检测。

卓越运营阶段：在数据已经识别的基础上，深入各项数据安全管理工作。

3.2 技术方面的落实途径

盲目自信阶段：对基础的边界安全防护已经进行了初步的安全防护，并且已经对内网区域进行了重点区域重点防护，区域隔离的安全措施。

认知阶段：了解数据安全工作重要性，通过深化安全体系策略，加强访问控制策略等技术手段对数据安全进行安全加固，并且通过终端防护（DLP）、加密存储等技术手段对数据进行安全防护。

改进阶段：不断完善上述基本安全防范措施，引入专业的数据加密存储系统和部署全局的数据模糊化处理系统，实现由基本数据保护转向专业数据保护的里程碑。

卓越运营阶段：完善基本安全防范措施，继续深化专业数据保护，采用数据水印、数据干扰码等前沿技术落实技术目标。

4 数据保护建设的资源条件和差距规划

对于烟草行业来说，各个省公司决心进行数据保护建设，在树立明确的目标、清楚的定位了落实途径后，还需要了解当前自身具备的条件和树立目标与当前的差距在哪里。

4.1 当前具备的资源条件

对于其他行业的企业中，在企业的网络安全与信息安全建设中，都会采用一些传统的安全防护措施。而在根据烟草行业的实际情况，数据保护建设依然要从这些基础措施做起，充分利用这些现有的安全防护措施，最大化的减少成本的投入，才是最佳的建设思路。

4.2 当前条件与目标的差距规划

数据安全建设工作是一个长期的安全防护过程，不是一蹴而就的短暂工作。因此，安徽省公司必须制定切实可行的行动规划，按照管理和技术两方面的落实途径，逐步开展。

5 数据保护建设方法实践

面对严峻的数据库安全挑战，以及法规遵从的要求，安徽省烟草公司迫切需要能够切实解决上述难题的数据安全解决方案。此方案具备几个特点。

（1）审计与定位。即数据库访问行为需全面的审计与记录，审计日志的要素要尽量全面而详细、兼容各种数据库访问协议、支持三层数据库部署环境中的各种中间件，方便管理员全面掌握数据库访问情况，并且能够准确地进行参数关联、能够准确地把后端数据库的SQL操作与前端Web应用的用户进行关联，便于管理员对所有的数据库访问进行精准定位、责任到人。

（2）分析与告警。此方案应具备高效分析的特点，即在海量日志中能够快速检索，帮助管理员快速检索、聚焦到关键的访问日志上并且进行数据库访问审计的同时，能够有效识别针对数据库漏洞的各种攻击行为、有效区分SQL注入与正常的访问，全面降低数据库安全风险。

因此数据安全防护建设方法从几个方面进行实践与建设。

（1）数据的分级分类。

首先，需要对现有系统内数据信息进行分级分类，明确要保护的数据对象，并非所有的数据都是要保护的。数据的分级分类可以结合自身业务从“数据价值”和“敏感程度”两个角度思考。

（2）数据生命周期的流程梳理。

通过分析数据生命周期的各流程数据操作交互活动和数据存在状态，能够更准确的识别数据的每个细节。如图2所示。

（3）数据泄露的风险评估。再次，在清楚数据的每个细节后，既要对每个流程活动进行数据泄露的风险评估工作。通过评估的方法能够更全面、客观、准确的找到风险点，为提出解决方案奠定理论基础。

6 结束语

烟草行业的数据保护建设需要经过详细的分析，然后循序渐进的开展，通过本文对数据安全防护工作的分析与实践，从建设理论到实践过程为烟草行业的数据保护工作提供了参考，希望各个省烟草公司根据自身业务特点与安全防护现状加强数据安全防护建设工作。

参考文献

[1] [英]维克托·迈尔-舍恩伯格.大数据时代[M].浙江：浙江人民出版社，2013.01.

[2] 张尼，胡坤.大数据安全技术与应用[M].北京：人民邮电出版社，2014.5.

[3] 涂子沛.大数据[M].广西：广西师范大学出版社，2012.07.

作者简介：

辛友顺（1971-），男，安徽合肥人，毕业于合肥工业大学，工学硕士；主要研究方向和关注领域：信息化、网络安全。