摘要：伴隨管理信息化和大數(shù)據(jù)在各行業(yè)的應(yīng)用和快速發(fā)展，建設(shè)行業(yè)從業(yè)人員檔案數(shù)據(jù)管理也由信息時代向數(shù)據(jù)時代轉(zhuǎn)變。數(shù)據(jù)來源于多方面，且呈爆炸式增長。對數(shù)據(jù)安全管理是針對數(shù)據(jù)全流程的管理，包含數(shù)據(jù)采集、存儲、使用、加工、傳輸、查詢、公開等。建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)具有開放性，才能為行業(yè)數(shù)據(jù)應(yīng)用和數(shù)據(jù)分析拓路賦能。同時，從業(yè)人員檔案數(shù)據(jù)又具有私密性，對數(shù)據(jù)泄露和敏感信息竊取等安全保護提出了更大的挑戰(zhàn)。因此，確保建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)安全管理，對于大數(shù)據(jù)背景下推動建設(shè)行業(yè)信息化發(fā)展、智能建造、智慧城市、智慧工地等的發(fā)展和信息安全都具有重要意義。

關(guān)鍵詞：大數(shù)據(jù)；數(shù)據(jù)安全；電子檔案

引言

建設(shè)行業(yè)信息管理系統(tǒng)的快速發(fā)展和互聯(lián)網(wǎng)、大數(shù)據(jù)的廣泛應(yīng)用，使相關(guān)數(shù)據(jù)的安全性變得越來越重要，各個業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全已經(jīng)成為主管部門關(guān)注的熱點。從業(yè)人員檔案數(shù)據(jù)是關(guān)聯(lián)所有業(yè)務(wù)系統(tǒng)的主線，包含在培訓(xùn)考核、證書使用、工作經(jīng)歷、工資發(fā)放、安全生產(chǎn)等各個環(huán)節(jié)中。所以，人員檔案數(shù)據(jù)既具有保密性，又具有開放性。作為保密性要求，須確保檔案數(shù)據(jù)不被泄露，不被盜用；作為開放性要求，須確保檔案數(shù)據(jù)可供各業(yè)務(wù)系統(tǒng)查詢使用，產(chǎn)生價值。因此，為確保從業(yè)人員檔案數(shù)據(jù)安全，加強安全管理措施勢在必行。

1. 威脅數(shù)據(jù)安全因素分析

數(shù)據(jù)安全包括數(shù)據(jù)本身安全和數(shù)據(jù)防護安全。數(shù)據(jù)本身安全，指采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強身份認證等；數(shù)據(jù)防護安全，指采用現(xiàn)代信息存儲手段對數(shù)據(jù)進行主動防護，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。本研究側(cè)重關(guān)注通過數(shù)據(jù)訪問身份驗證、數(shù)據(jù)加密訪問、數(shù)據(jù)管理制度建立等方面解決數(shù)據(jù)本身安全。通過技術(shù)手段和管理制度保護數(shù)據(jù)資產(chǎn)，以防止偶然或未授權(quán)者對數(shù)據(jù)的惡意泄露、修改和破壞，從而導(dǎo)致數(shù)據(jù)的不完整、不可靠或失去價值。威脅數(shù)據(jù)安全的因素很多，主要表現(xiàn)為以下常見因素：一是系統(tǒng)使用和系統(tǒng)運維管理體制不健全，人為因素導(dǎo)致數(shù)據(jù)泄漏或被篡改；二是因系統(tǒng)漏洞造成系統(tǒng)被攻擊，通過漏洞植入病毒竊取數(shù)據(jù)；三是系統(tǒng)使用者和管理員保密意識薄弱，在數(shù)據(jù)查詢和數(shù)據(jù)應(yīng)用中缺乏安全保密意識[1]。

1.1 數(shù)據(jù)安全管理重要性

世界著名密碼技術(shù)與安全技術(shù)專家惠特菲爾德·迪菲提出，“數(shù)據(jù)量越大，安全保障的重要性就越大”。數(shù)據(jù)安全是任何政府部門和企業(yè)都必須十分重視的問題[2]。針對建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)，既要對外實現(xiàn)數(shù)據(jù)公開，更好地服務(wù)于從業(yè)人員、培訓(xùn)機構(gòu)和用人單位，支撐建設(shè)行業(yè)其他業(yè)務(wù)系統(tǒng)和管理系統(tǒng)對從業(yè)人員信息數(shù)據(jù)的需求，便于數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計、管理和數(shù)據(jù)更新，又要對數(shù)據(jù)保密，做到數(shù)據(jù)非本人不能查詢、下載和使用，非本人授權(quán)不能查閱，禁止數(shù)據(jù)的盜用和篡改[3]。所以，做好數(shù)據(jù)安全管理是大數(shù)據(jù)時代的重要任務(wù)之一。

1.2 制度不健全或管理不規(guī)范

根據(jù)系統(tǒng)使用規(guī)范要求，須建立《數(shù)據(jù)安全管理制度》，并要求管理人員一人一賬號一密鑰，分角色、分權(quán)限、分時段對系統(tǒng)和數(shù)據(jù)管理，要求定期更新管理員賬號及密碼?，F(xiàn)有很多業(yè)務(wù)系統(tǒng)并未做到專人專戶，且未實現(xiàn)登錄賬號與設(shè)備綁定，步步操作實時記錄，出現(xiàn)數(shù)據(jù)泄漏和篡改時無法追溯。同時，造成數(shù)據(jù)安全的隱患還包括利用職權(quán)之便無意識泄漏后臺數(shù)據(jù)。根據(jù)系統(tǒng)運維規(guī)范要求，須單獨建立《系統(tǒng)運維管理制度》，要求運維技術(shù)人員簽訂《數(shù)據(jù)安全保密協(xié)議》，并根據(jù)運維工作需要，申請開通運維服務(wù)權(quán)限和數(shù)據(jù)管理權(quán)限。然而在部分系統(tǒng)運維過程中，為了節(jié)約時間成本和人工成本，技術(shù)人員直接訪問數(shù)據(jù)庫并接觸到核心數(shù)據(jù)，在數(shù)據(jù)未備份情況下即操作數(shù)據(jù)庫，或?qū)浞莺蟮臄?shù)據(jù)隨意存儲，導(dǎo)致核心數(shù)據(jù)、保密數(shù)據(jù)被轉(zhuǎn)載和復(fù)制，因無安全意識造成數(shù)據(jù)泄漏嚴重。

1.3 網(wǎng)絡(luò)安全威脅情況

網(wǎng)絡(luò)結(jié)構(gòu)不安全：互聯(lián)網(wǎng)是由眾多局域網(wǎng)組成的巨大的網(wǎng)絡(luò)結(jié)構(gòu)，當(dāng)一臺主機與互聯(lián)網(wǎng)中任一臺主機進行通信時，兩者之間的信息傳遞通常需要經(jīng)過多臺機器進行多重轉(zhuǎn)發(fā)。在信息傳遞的過程中，竊取數(shù)據(jù)的不法分子利用先進的技術(shù)手段攔截信息，就能接觸到數(shù)據(jù)包，如圖1所示，也證明互聯(lián)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)本身存在不安全性。

欺騙性網(wǎng)站威脅：在B/S架構(gòu)的業(yè)務(wù)系統(tǒng)中，利用瀏覽器訪問系統(tǒng)數(shù)據(jù)并操作系統(tǒng)是基本方式。然而，普通用戶和從業(yè)人員并未意識到存在的安全問題，或許正在訪問的網(wǎng)站已被不法分子篡改。例如：不法分子將用戶訪問網(wǎng)頁的URL跳轉(zhuǎn)到指定服務(wù)器，當(dāng)用戶在網(wǎng)頁中輸入身份信息、賬號信息或者執(zhí)行操作時，便可得到從業(yè)人員真實身份信息[4]。

系統(tǒng)漏洞及病毒威脅：入侵者借助業(yè)務(wù)系統(tǒng)漏洞、監(jiān)管不力等因素，通過系統(tǒng)漏洞訪問系統(tǒng)核心數(shù)據(jù)，將惡意程序偽裝成游戲、工具、廣告等誘使用戶打開。當(dāng)用戶操作后，該程序就能直接侵入用戶電腦，隱藏在計算機系統(tǒng)中進行破壞，入侵者可隨意篡改用戶計算機參數(shù)，通過控制用戶計算機竊取用戶硬盤中的核心數(shù)據(jù)。

1.4 保密意識薄弱現(xiàn)狀

大數(shù)據(jù)時代，用戶在數(shù)據(jù)采集和數(shù)據(jù)應(yīng)用過程中，對數(shù)據(jù)敏感程度和重要等級缺乏判斷，對信息安全保密意識薄弱。當(dāng)一些業(yè)務(wù)系統(tǒng)非必要采集用戶信息時，很多用戶會不假思索，根據(jù)系統(tǒng)提示一步步錄入并提交身份信息及核心數(shù)據(jù)[5]。同時，系統(tǒng)管理人員或后臺管理人員在數(shù)據(jù)查閱和數(shù)據(jù)應(yīng)用過程中，隨意授權(quán)他人使用自己專屬賬號和密碼，甚至發(fā)送帶有保密數(shù)據(jù)而未打碼隱藏的截圖，也可能導(dǎo)致核心數(shù)據(jù)外泄或被篡改。

2. 信息安全管理思路

基于建設(shè)領(lǐng)域從業(yè)人員電子檔案大數(shù)據(jù)的管理業(yè)務(wù)需求，以及檔案數(shù)據(jù)面臨的數(shù)據(jù)安全問題，很難實現(xiàn)僅依靠技術(shù)解決所有風(fēng)險。同時，安全風(fēng)險在不同時期是動態(tài)變化的，應(yīng)對思路也需要從技術(shù)、管理、運維等多維度解決，并且針對不同時期數(shù)據(jù)安全管理需求側(cè)重點不同，加強相關(guān)側(cè)重點數(shù)據(jù)安全的管理。保障從業(yè)人員檔案數(shù)據(jù)的機密性、完整性和可用性，通過系統(tǒng)架構(gòu)或網(wǎng)絡(luò)層次劃分，從物理層安全、數(shù)據(jù)層安全到應(yīng)用層安全，仍然是需要解決的問題。因此，在應(yīng)對建設(shè)領(lǐng)域從業(yè)人員檔案數(shù)據(jù)安全管理問題時，須整體考慮，通盤規(guī)劃，基于業(yè)務(wù)需求，采用多層面、全方位的解決方案來應(yīng)對。

2.1 加強數(shù)據(jù)訪問和接入安全限制

實施最嚴格的數(shù)據(jù)訪問和數(shù)據(jù)接入控制策略。制定控制策略的意義是從訪問源頭劃分安全訪問區(qū)和身份鑒權(quán)識別，根據(jù)其他業(yè)務(wù)系統(tǒng)對人員檔案數(shù)據(jù)需求的內(nèi)容，制定分門別類的安全策略。如圖2所示，防火墻和交換機上的ACL均可實現(xiàn)訪問控制功能，通過在訪問源頭或訪問端口制定安全策略[6]。校驗出入方向的數(shù)據(jù)包，檢查具體操作方式，確認數(shù)據(jù)包轉(zhuǎn)發(fā)的合法性。通過身份鑒權(quán)和數(shù)據(jù)加密方式提供其他系統(tǒng)接入對接接口，實現(xiàn)數(shù)據(jù)查詢和數(shù)據(jù)接入。數(shù)據(jù)在網(wǎng)絡(luò)中以密文方式傳輸，接收后的數(shù)據(jù)再解密處理。解密過程須應(yīng)用相同類型的加密設(shè)備與密鑰才能對密文解密，可有效避免數(shù)據(jù)攔截或數(shù)據(jù)截取后被利用。同時，加強從業(yè)人員檔案數(shù)據(jù)網(wǎng)絡(luò)出口異常流量監(jiān)測和分析，對異常流量及時預(yù)警和定位，降低和消除異常流量對數(shù)據(jù)安全的影響。

2.2 建立安全管理制度并切實落實

最新研究數(shù)據(jù)表明，網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件中約有60%是人為因素造成，其中屬于管理失誤高達70%以上，在這類安全問題中約95%是可以通過科學(xué)、合理的管理方式來避免的。雖然一直強調(diào)信息安全是“三分技術(shù)、七分管理”，但在日常工作中卻往往忽視了管理的重要性，管理制度未建立和管理流程未執(zhí)行是主要因素[6]。系統(tǒng)運行管理、維護和系統(tǒng)開發(fā)等崗位職責(zé)、權(quán)限劃分不清，導(dǎo)致數(shù)據(jù)安全管理松懈。須加強數(shù)據(jù)分類、分級管理，按照“誰主管、誰負責(zé)，誰運營、誰負責(zé)”的原則，確保從業(yè)人員檔案數(shù)據(jù)的安全。因此，數(shù)據(jù)安全管理制度真正建立和管理制度嚴格執(zhí)行，已經(jīng)成為影響數(shù)據(jù)安全的重要因素之一。

管理制度真正建立是指建立的管理制度高度符合已有業(yè)務(wù)系統(tǒng)使用和運維，符合該系統(tǒng)、該部門數(shù)據(jù)管理要求。不能借用他人的管理制度或制定不切實際的管理制度。管理制度的制定應(yīng)從技術(shù)層面、系統(tǒng)使用層面和運維層面等多角度分析制定，管理辦法也應(yīng)該隨著業(yè)務(wù)系統(tǒng)發(fā)展不斷更新和創(chuàng)新。管理制度嚴格執(zhí)行是指在管理制度制定后，要嚴格根據(jù)管理制度要求劃分角色權(quán)限，切實按照管理制度落實系統(tǒng)開發(fā)、系統(tǒng)使用和系統(tǒng)運維等工作，嚴禁在管理制度執(zhí)行過程中形式化、打折扣。同時，須建立管理制度執(zhí)行情況定期抽查和評審機制，對未按照管理制度執(zhí)行的行為堅決抵制和嚴肅處理。

2.3 規(guī)范系統(tǒng)運維和加大經(jīng)費投入

根據(jù)系統(tǒng)運維規(guī)范要求，須單獨建立《系統(tǒng)運維管理制度》，并且要求運維技術(shù)人員簽訂《數(shù)據(jù)安全保密協(xié)議》，分配運維專屬賬號和運維權(quán)限，適時開通賬號功能權(quán)限及數(shù)據(jù)權(quán)限功能，做好運維日志實時記錄及管理。運維技術(shù)人員在系統(tǒng)運維過程中接觸到核心數(shù)據(jù)，須根據(jù)運維管理制度中標準流程及時做好數(shù)據(jù)備份，對備份文件加密存儲至指定服務(wù)器。同時，應(yīng)在運維的服務(wù)器或數(shù)據(jù)庫上建立網(wǎng)絡(luò)流量監(jiān)管預(yù)警機制，防止運維過程中數(shù)據(jù)被轉(zhuǎn)載和復(fù)制，造成數(shù)據(jù)泄露。加大運維專項經(jīng)費投入，須引進專業(yè)信息技術(shù)人才和網(wǎng)絡(luò)安全軟、硬件設(shè)備，對現(xiàn)有網(wǎng)絡(luò)不安全因素排查，對系統(tǒng)漏洞掃描、動態(tài)評估，及時有效管理、漏洞修復(fù)和系統(tǒng)升級改造。采用多重防火墻技術(shù)，防止用戶內(nèi)外網(wǎng)隨意訪問帶來的惡意程序，對網(wǎng)絡(luò)內(nèi)、外部的所有活動日志實時記錄和監(jiān)控。

2.4 提升網(wǎng)絡(luò)安全和數(shù)據(jù)保密教育

目前，普通用戶和管理人員對網(wǎng)絡(luò)安全和數(shù)據(jù)安全認知處于初級狀態(tài)，習(xí)慣性地把信息安全理解為“電腦中毒”“網(wǎng)絡(luò)擁堵”等問題，簡單采用安裝殺毒軟件修復(fù)漏洞、清理垃圾的方法解決，對數(shù)據(jù)資產(chǎn)和數(shù)據(jù)安全所面臨的威脅認知不夠。而普通用戶對個人隱私信息保護意識嚴重不足，身份證信息、證書信息、賬號信息等，隨意呈現(xiàn)或出借給他人使用，造成從業(yè)人員檔案數(shù)據(jù)嚴重泄漏，數(shù)據(jù)安全堪憂。

因此，應(yīng)該加強所有系統(tǒng)使用者的數(shù)據(jù)安全和保密意識宣傳培訓(xùn)工作。一方面，加強網(wǎng)絡(luò)信息安全管理人員的責(zé)任意識、安全意識和信息技術(shù)專業(yè)能力，確保管理人員知曉威脅網(wǎng)絡(luò)信息安全的各種因素和應(yīng)對措施，為提高網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理奠定基礎(chǔ)；另一方面，加強核心數(shù)據(jù)安全保密意識宣傳，讓系統(tǒng)使用者、數(shù)據(jù)接入者、數(shù)據(jù)訪問者都能清楚認知數(shù)據(jù)價值和數(shù)據(jù)保密的重要性，以及數(shù)據(jù)泄漏后會導(dǎo)致的嚴重后果。

結(jié)語

總而言之，從業(yè)人員檔案數(shù)據(jù)安全管理需要長期堅持和不斷創(chuàng)新，威脅數(shù)據(jù)安全的因素較多，尤其是新技術(shù)誕生造成系統(tǒng)漏洞或管理制度未落實等因素。因此，系統(tǒng)使用者和管理者都應(yīng)該充分認識到數(shù)據(jù)安全管理和數(shù)據(jù)資產(chǎn)保密的重要性，采取強化網(wǎng)絡(luò)信息安全管理和數(shù)據(jù)安全管理的有效措施，以此保證各業(yè)務(wù)系統(tǒng)運行安全和人員檔案數(shù)據(jù)安全。

參考文獻：

[1]祁琪.淺析大數(shù)據(jù)時代下政府部門加強網(wǎng)絡(luò)信息安全的措施[J].數(shù)字技術(shù)與應(yīng)用，2020，38（5）：172-173.

[2]宋芝美.解讀大數(shù)據(jù)時代企業(yè)管理中信息安全研究的現(xiàn)狀與展望[J].中國新通信，2020，22（16）：139.

[3]楊啟飛.大數(shù)據(jù)時代國內(nèi)信息安全研究：現(xiàn)狀、趨勢與反思[J].情報科學(xué)，2021， 39（2）：178-184.

[4]徐濱，代玉敏.計算機及網(wǎng)絡(luò)信息安全管理問題淺析[J].電腦與電信，2018，No. 261（6）：44-46.

[5]黨振興.大數(shù)據(jù)時代個人信息安全現(xiàn)狀與保護[J].重慶交通大學(xué)學(xué)報（社會科學(xué)版），2022，22（4）：14-22.

[6]周煜.大數(shù)據(jù)信息安全研究[J].信息記錄材料，2020，21（11）：150-151.

作者簡介：羅鵬，本科，中級工程師，研究方向：數(shù)據(jù)安全。