烟草行业作为国民经济体系中重要的组成部分之一，加快推进行业数字化转型，充分发挥数据价值对行业发展的叠加作用，是烟草行业实现高质量发展，有力支撑国民经济的重要举措。当前，烟草行业已经形成了业务横线联通、上下级纵向贯通的基础现状。但随着数字化转型的深入推进，数据交换共享需求激增，进一步加大了行业敏感数据及个人隐私数据泄露的安全风险。因此，在安全合规的前提下，推进数据治理与应用，已成为烟草行业的重要任务。

(资料图)

2023年初，“全国烟草行业网络安全和信息化工作会议”在湖南长沙召开，会议指出“要切实筑牢行业大安全屏障，增强平台安全防控，突出数据安全保护，注重信创技术应用，强化网络意识形态安全，实现行业高质量发展和高水平安全的良性互动”，再次强调了确保数据安全的重要性。

全维度、全周期、全场景的数据安全设计思路

中孚信息（300659）以国家监管要求、行业标准规范、行业业务特性为基础，以满足合规监管要求及切实提升数据安全能力为目标，针对业务开发、业务测试、业务运维、业务应用、共享交换、要素流通等业务场景，综合考虑组织、制度、技术、人员等多维度影响因素，覆盖数据采集、存储、传输、处理、交换、销毁全生命周期，通过管理体系保障、数据安全评估、安全策略规划、数据安全防护、数据安全运营5个关键步骤的实施，体系化完善数据安全建设并形成持续优化的安全能力。

“1+4+X”数据安全总体框架

中孚信息“1+4+X”数据安全架构：从数据安全治理角度出发，以业务系统的重要数据资产为核心，通过厘清数据资产，研判数据及其在流动过程中的风险问题，优化数据安全组织体系和管理体系，建立“端管边云脑”数据安全体系，实施全生命周期防护，并以防护与监管一体化为目标，打造数据安全态势感知平台，叠加数据安全运营服务，对数据安全态势全面监控、安全威胁实时预警、安全事件及时处置，最终建成自适应的数据安全体系，达到数据可见、风险可控、安全可护、资产可管的安全效果。

“1”即一个数据安全态势平台；

“4”即数据安全组织体系、数据安全管理体系、数据安全防护体系、数据安全运营体系4个数据安全体系；

“X”即多重安全能力，如数据资产梳理、数据分类分级、访问控制、隐写溯源、动静态脱敏、数据加密等多重数据安全能力。

数据安全建设内容

中孚信息以数据安全治理为基础理念，以DSMM等标准为依托，以风险管控为目标，从数据安全组织体系、管理体系、防护体系及安全运营体系四个维度进行数据安全建设方案的制定。

（一）数据安全组织体系

完善数据安全组织架构是明确数据安全 “谁来干”的关键。组织架构分为4层。

决策层：制定数据安全顶层规划，并对数据安全工作做出决策，指导管理层工作的开展。

管理层：负责数据安全治理体系建设工作。

执行层：负责具体数据安全治理工作的落地实施。

监督层：对管理层和执行层各自职责范围内的数据安全工作情况进行监督，并听取各方汇报，形成最终监督结论后同步汇报至决策层。

（二）数据安全管理体系

规范制度流程是统一数据安全意识与标准的关键，是明确数据安全“怎么干”的重要工作。

数据安全管理制度文件可分为四个层面，一、二级文件作为上层的管理要求，应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读，用于指导具体业务场景的具体工作。

（三）数据安全防护体系

制定数据安全建设方案是落实数据安全工作“干什么”的关键。基于组织全量数据发现、敏感数据识别、数据分类分级以及数据安全风险评估等前置服务，依据组织面临的风险问题，以敏感数据为核心，从信任基础、数据全生命周期防护、态势感知等三方面进行技术方案制定。

一是围绕密码应用、身份授权与管理，夯实信任基础；

二是通过安全沙箱、DLP、API审计、数据库加密、数据库静态/动态脱敏、数据库防火墙、数据库审计、电子文档安全管理等多技术组合或复用，强化数据全生命周期安全防护；

三是打造数据安全态势感知平台，对数据安全现状和风险进行实时监测预警，有效提升安全事件响应能力。

（四）数据安全运营体系

数据安全运营服务是保障和验证数据安全工作“干的如何”的重要支撑。将安全咨询服务、数据安全资产勘探、数据安全风险评估、数据安全检查、安全测试、攻防对抗、安全培训等安全运营能力渗透在数据安全建设的各个环节，形成资产梳理、底账建立、风险识别、组织完善、制度规范、体系定制、能力培养、运营持续的资产管理闭环，深度参与客户数据安全体系规划建设。

通过上述方案与服务的实施，可显著提升敏感数据识别与定位、数据分类分级、数据风险分析、数据安全审计稽核、数据资产生命周期监测、数据资产热度分析、数据安全运营管理、用户与实体数据访问监测等能力，一站式解决了数据资产管理与应用过程、漏洞信息、运行事件、安全事件、网络行为等安全风险与合规问题。

当前，中孚信息已服务多个省市级烟草行业单位，将数据安全与烟草行业、等保2.0标准深度融合，打造覆盖数据全生命周期的“端管边云脑”的数据安全体系，持续沉淀具有烟草行业特征的分析预测模型，为客户提供精准的深度安全分析、用户实体分析、风险预测等综合能力，并通过驻场运营或自运营持续保障数据安全，确保高风险事件得到及时告警、排查和处置，构建“事前防范、事中监测、事后响应”的安全能力闭环，助力烟草行业“大安全”战略的加快推进。

关键词：