万物互联时代数据安全保护与保密问题思考
文|邹旭鹏  史纪强  彭英  宋建
万物互联时代数据安全保护与保密问题思考
2022年中考是哪一天
一、引言
随着5G 商用、云计算、移动网络、卫星通信以及多种传感设备的广泛应用,人、机、物三元世界的高度融合,世界已经步入万物互联时代。互联产生了数量庞大、种类众多、时效性强的数据信息, 也同时将人类带入了大数据时代。技术进步给信息和数据的共享提供了极大的便利。大量的数据信息在网络中传播和分享,数据和信息的传播成本急剧降低,传播范围和速度急速扩大,由此对数据和信息安全也造成了诸多问题,数据泄密导致人身伤害和财产安全的事件频频发生。
当前,数据已经成为生产要素,在市场上发挥重要作用。十九届四中全会《关于坚持和完善中国特社
会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》中提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素,由市场评价贡献、按贡献决定报酬的机制。”,将数据视为国家基础战略性资源,首次在正式文件中提及数据可作为生产要素按贡献参与分配。中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》中也强调加快培育数据要素市场。数据安全显得愈加重要,数据的保护和保密工作成为企业的重要工作之一。
二、数据保密现状
中国石化集团的数字化战略中强调,开发利用数据资产资源,把数据变成生产资料。中国石化集团董事长张玉卓也提出,“高质量开发利用数据资产资源,中国
石化不光生产油气,更生产数据,要思考如何用好数据,把数据变成生产资料。”2020年中国石化信息化工作要点也要求:加快数字化转型顶层设计,全面谋划推进集团公司数字化转型的整体规划和行动计划。数字化转型以创新创效为核心,工作重点是以平台化的数据治理为核心,形成数据资产,通过数据资产实现创新创效。围绕数字化转型发展,按照“数据+ 平台+应用”模式推进信息化建设。并大力推进石化智云工业互联网平台建设,利于数据积累、形成集团级数据资产。
数据泄密关乎个人、企业及国家安全。个人方面,2016年8月21日,刚接到大学录取通知书的山东临沂市高三毕业生徐玉玉接到电话,被告人陈文辉等人以发放助学金的名义,骗走了徐玉玉全部学
费9900元,徐玉玉在报警回家的路上猝死。企业信息泄露方面,华住旗下酒店泄露,内容涉及大量个人入住酒店信息,主要为姓名、身份证信息、手机号、卡号等,约5亿条公民信息。有卖家在网络上将数据标价8个比特币,当时约等于人民币35万元,数据泄露涉及到1.3亿人的个人信息及。国家秘密泄露方面,力拓公司胡士泰等人通过拉拢收买中国钢铁生产单位内部人员,刺探窃取了中国国家秘密,对中国国家经济安全和利益造成重大损害,5年时间累计损失达7000亿之多。
2019年3月,Facebook 数亿用户密码在数据库内以明文形式存储,其内部员工具有访问这些用户密码的权限。这一漏洞将导致大约2亿到6亿用户账号信息被泄露。环球易购旗下跨境电商网站Gearbest 有数百万用户
信息和订单泄露,包括用户姓名、地址、电话号码、邮件及订单产品信息等。
2019年10月,美国知名图形图像和排版软件生产商Adobe 旗下一处数据库被发现未采取安全措施,任何人皆可通过网络对其进行访问。这一漏洞导致750万Adobe 用户信息泄露。
企业数据安全涉及到“内忧”与“外患”两个方面。如图1所示,企业数据安全的外部泄密风险主要有黑客网络攻击、病毒木马入侵、设备报废丢失、商业窃取、业务协同共享等几个反面,占泄密风险的15%。内部泄密风险主要是有意主动泄密、无意被动泄密、商业间谍窃密、保管不当泄密、意识淡薄泄密等几个方面,占泄密风险的85%。由此可见,企业信息安全风险,“内忧”已远远高于“外患”!
三、数据保密技术
经过近十年的长期研究,对于涉密数据文件失泄密风险梳理及识别,我国已形成了一套符合国内现状的技术体系,包括电子文件加密技术、应用系统保护技术、安全U 盘保护技术、文件加密授权技术和流程管控技术等。
目前,数据保密常用的技术防护手段主要有三种,分别是囚笼型,枷锁型和识别型。
(一)囚笼型
囚笼型防护手段重点关注敏
感、机密数据的隔离、分级、分域,其核心理念是采用隔离手段,构建安全隔离容器,实现安全与效率的有效平衡。主要的技术手段是采取物理或逻辑隔离手段,构建一个相对封闭的数据使用环境或容器,使数据拿不出去,从而达到数据防护的目的。实现原理如图2所示。本防护手段具有安全级别较高的优势,但是也存在数据流转不方便,降低了业务和办公效率
等缺点。(二)枷锁型
法拉利250gto枷锁型防护手段重点关注敏感、机密数据内容的分类、加密、授权与管理,其核心理念是提供内容源
头级纵深防御能力,杜绝恶意行为。枷锁型防护技术手段主要是利用密码学技术,从数据的源头出发,通过对数据加密、权限访问控制等技术来保护数据的安全。具有较高的安全级别,与囚笼型相比,效率稍有提高。缺点是采用一刀切的方法,对所有文档加密保护,对于经常与外部有大量数据往来的人员,影响工作效率;解密后的重要文档无法提供防护;敏感信息文档外发也无法进行监测。
(三)识别型
识别型防护手段重点关注敏感、机密数据的存放、使用以及常规泄漏行为的管理,其核心理念是可发现、可识别、可管理,提供共性管控能力。主要技术手段是利用机器学习技术,对终端用户对外发送的
敏感信息进行识别、检测、防护。其优势是针对敏感数据进行防护,效率高。但是也存在以下几点劣势,如安全级别最低,数据本身无任何防护措施;数据外发无法准确定位发送给具体人员,无法有效溯源。识别型防护手段的主要实现原理如图3所示。
商业公司的保密措施一般不会单纯地采用一种方式,往往结合自己的实际情况,采用多数据保护
方法。如华润置地公司的商业秘密
保护措施分为管控和审计两个方
图1. 数据安全的“内忧”和“外患”
图2. 囚笼型防护原理
面。管控方面通过“建围墙,修保险柜”,对敏感信息超范围流转管控,避免批量泄露,保护办公终端中的敏感信息。审计方面通过敏感信息流转保留痕迹,过程可以追查审计,形成“火炉原则”效应,建立员工对防泄密管理的敬畏心态。华润置地商业秘密保护措施如图4所示。
四、油田商业秘密保护
胜利油田作为大型国有企业,一直十分重视商业秘密的保护工作。《中国石化专有技术管理办法》中规定了专有技术(技术秘密)保密措施,从涉密人员管理、涉密载体管理、密级标识等方面进行了严格规定。明确要求各企业按照《中国石化保密工作管理办法》执行商业秘密保护措施。依照中国石化总部的要求,胜利油田建设完善了
自己的商业秘密保护制
度体系与责任体系。但
是,目前中国石化总部
和油田尚未统一出台加
密保护手段,商业秘密
保护实操性不强。
与国家秘密不同,
商业秘密特别是科技类
商业秘密,全部产生于
基层,应用于基层。保藉的拼音和组词
护工作必须依靠基层人
员在实际工作中亲力亲
为。但在油田保密制度落地执行方面,基层员工“不会保,不想
保,不敢保”现象突出。不会保就是虽然
《中国石化专有技术管理办法》《中国石化
商业秘密保护管理规定》均有要求,但是基
层员工没有手段执行,集团公司对直属企业
尚未出台技术手段,因此不知道如何去保
密。不想保就是油田缺少对保密工作进行鼓
励表彰的数据支撑,科研人员保密工作的好
与坏缺少数据分析于统计,无法界定,日常
科研缺乏保密积极性。不敢保是说保密管理
涉及责任,尽责免责机制不健全,因此员工
普遍存在“多一事不如少一事”思想,担心定密事项太多反倒容易追究保密责任。
计算机 考研
有些企业(如华润、华为等)核心研发部门,采用严格保密手段:工作场所需要上缴通讯设备,工作环境和外界物理隔离,数据和实验基于私有云环境等。大多企业的商业秘密保密仅是在管理层面上做制度要求,或者采用部分技术手段,缺少“定密管理、涉密人员管理、网络安全管理”一整套制度与措施紧密结合的商业秘密保护体系。胜利油田的科研生产处于相对开放的工作环境。科技类商业秘密的
保护既要符合保密工作的要求,又要兼顾科研生产效率和技术交流共享的需要,难以复制其他企业保密方法。
胜利油田结合科研实践和保密制度,研发了“胜利油田电子文件保险柜”,实现了分解式闭环化油田特有
图3. 识别型防护
图4. 华润置地商业秘密保护措施
作者单位:邹旭鹏  中国石化胜利石油管理局有限公司综合管理部
火炬之光2联机平台
史纪强、彭英、宋建  中国石化胜利油田分公司物探研究院
商业秘密保护管理模式,初步形成了具有油田自身特的商业秘密管理与防护体系。“电子文件保险柜”能够无缝对接上级保密制度要求,不影响科研业务流程和效率,符合油田科研生产实际,利于领导干部保密责任落实,便于员工实际操作使用,节约项目运维成本投入,实现泄密事件溯源追责。
“电子文件保险柜”实现了“定密与保密同绑定,数据与责任同传递”。用户登录电子保险柜,首先需要在线签订“保密责任书”,然后才能把文件导入电子保险柜进行加密和定密。用户之间传递文件,需要通过电子保险柜安全传递,也就是定密先保密,传密先定密,从而实现了“定密与保密同绑定”。
“电子文件保险柜”中保密部门与科技部门通过配置科研项目与项目组成员信息,确保“有密可定,有密
梅兰芳和孟小冬必定”。项目组成员使用“电子文件保险柜”,实现“有密能保,有密必保”。保密部门与科技部门能够做到“守土有责,守土尽责”。通过“电子文件保险柜”传递文件和数据,同样传递的是保密责任,从而实现了科技人员的“尽责免责”,达到了“数据与责任同传递”。
五、数据保密思考与展望
信息安全技术体系是利用各种安全技术构建立体安全防御体系,作为安全管理和运行的落实的重要支撑。实
现全面的数据保密,需要从多维度考虑,主要包括四个维
图5. 数据全生命周期分级管控框架
度:身份认证、访问控制、内容安全、监控审计。保密工作应该贯穿商业秘密全生命周期,包括形成阶段安全、存储阶段安全、流转阶段安全、应用阶段安全、脱密阶段安全、销毁阶段安全,全面形成商业秘密安全“城防图”。数据全生命周期分级管控框架如图5所示。
六、结束语
万物互联时代,网络提供便利的共享途径,同时也降低了数据泄密的成本,商业秘密保护的形势更加严峻。胜利油田依托“电子文件保险柜”,推广商业秘密保护技术,通过技术手段落实《中国石化集团商业秘密保护暂行规定》和《中国石化知识产权保护规定》,为油田商业秘密保护制度的实施提供了有效工具,实现了分解式闭环化油田特有商业秘密保护管理模式,初步形成了具有油田自身特的商业秘密管理与防护体系,实现科研与保密、制度与措施高效统一,能够有力地保护油田商业秘密,避免秘密泄露带来的财产损失,维护企业发展稳定。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。