作者: 程威 | 2018-06-20 09:32

物业信息化安全建设与敏感数据安全保护

本期专题：2018年4月20日至21日，全国网络安全和信息化工作会议召开，中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化委员会主任习近平在会上强调，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。

物业管理服务涉及千家万户。顺应信息化潮流，物业管理行业已经采用了种类繁多的网络信息技术，不仅掌握了巨量的个人用户信息，还掌控着价值庞大的物业楼宇运行信息。无论是实体资产还是虚拟资产，如何采取有效措施保障这些资产的安全，也是物业管理的分内之事和当务之急。

物业管理行业在信息化建设方面的行业特性和所面临的安全形势

《网络安全法》已在我国公布实行，将网络安全建设提到法制建设层面。物业管理信息化系统作为物业服务相关的基础软件，并关系到大众的具体生活与个人隐私信息，肩负客户敏感数据安全保护的责任义不容辞，也责无旁贷。

物业管理信息化系统的数据库中，记录了民众的基本信息，如手机号、姓名、家庭住址，而且在居民享受物业服务时，还涉及身份证号、银行卡号的关联。而这些数据信息，在一线的技术员工日常运营时都是可能实时接触的，如何在不影响软件的易用性和运营的方便性的同时，加强对数据安全的保护，对物业服务企业和物业信息化系统解决方案供应商提出了严峻的挑战。

整体防护与局部防护并重

安全必须以体系化、标准化的方式进行。我们在对敏感数据保护时，必须以整体的安全标准指导安全的方向，再跟进局部的方向进行解决方案设计和优化实践落地。

根据多年物业信息化建设过程中积累的安全整体把控经验，结合国家等级保护三级要求，与PCI DSS支付卡数据的国际标准，本文提出如下(图1)信息安全体系方案，此方案已在多个信息化项目实例中完成落地实践。

图1 物业信息安全体系结构

通过三层结构(图1)，“宪法层面”定义总体安全策略，为物业服务企业信息化体系的信息安全提供指导思想与安全期望;中间层从运维和开发层面，界定安全具体流程标准;底层从应用、数据、系统、网络四个具体技术方向，实现安全落地。

现从数据安全方向，给出我们的探索路径。

敏感数据的分类分级

敏感数据按照数据属性一般可分为六类：用户数据、组织数据、群组数据、通讯数据、支付数据、公共数据。每类数据详细情况如下表1所示。

敏感数据按用户对数据的保护诉求划分为五大敏感级别，数据内容敏感级别评级由数据安全员、数据所属业务的管理员共同评级，级别越高，机密性越强。如果数据同时满足多个敏感级别，则以敏感程度最高的级别为准。

敏感数据的五个级别如下：

一级敏感数据：可在系统内明文直接使用，可在线批量导出数据到本地但需审批，邮件发送时必须加密，销毁时高级格式化即可。

二级敏感数据：可在系统内明文直接使用或遮蔽使用，不允许线上批量导出，经审批后可导入到其他系统，销毁时需低级格式化。

三级敏感数据：在系统内需遮蔽使用，不允许导出到本地，经审批后可导入到其他系统，不允许脱离系统使用，销毁时需低级格式化五次以上。

四级敏感数据：在系统内需遮蔽或密文使用，尽量不显示，不允许个人获取，不允许导出到本地，系统间需单次单向加密提取，只允许单次调用，不允许批量提取，销毁时需粉碎存储介质。

五级敏感数据：不允许输入，不允许显示，不允许提取，只允许特定功能单次单向加密提取，不允许存储，也无需销毁。

手机无线门禁技术包含大量用户敏感信息，需提高相应信息安全等级（必应）

敏感数据防护在业务数据生命周期中的实施方法

敏感数据防护从业务数据生命周期6个阶段进行实施，业务数据生命周期组成如下：

·数据展现：指业务数据按产品设计等需求，需要在应用前端显示业务数据字段内容。

·数据提取：指组织与外部组织因数据使用等需求，从系统或者数据库获取数据。

·数据传输：指数据在组织内部或外部从一个实体通过网络流动到另一个实体的过程。

·数据使用：指组织在内部或外部针对动态数据进行一系列活动的组合或调用读取。

·数据存储：指非动态数据以任何数字格式进行物理存储的阶段。

·数据销毁：指利用物理或者技术手段使数据永久或临时性的不可用的过程。

物业软件中敏感数据的安全防护

敏感数据在系统层面的安全防护

对处理敏感数据的业务系统，应采取必要的安全技术手段，重点防护：

1、使用防火墙进行web过滤，防止数据泄露、大数据下载;

2、敏感数据在业务系统之间交互，应严格限制交互双方的权限;

3、内部管理系统应使用双因素认证，严格限制操作人员;

4、业务系统在设计阶段，敏感数据的字段命名，应统一参数名，保证业务日志、系统日志、数据库字段设计时的一致性;

5、敏感数据在业务使用过程中，必须考虑可遮蔽性;

6、处理敏感数据的业务流程，上线必须经过安全审核、安全测评;

7、使用基线加固的应用服务器软件;

8、必须定期进行系统、数据库、中间件、应用层的漏洞扫描，升级安全补丁，防止系统被攻击和入侵。

敏感数据的提取与使用，必须进行严格授权管理，申请记录永久保存，同时，运维支撑部门应该做到：

1、对数据库与敏感数据相关的服务器，加强安全监控，完善告警分析与应急响应流程;

2、生产环境日志与配置，只允许授权的运维与安全人员进行配置与查看，研发与运营人员不得登录服务器查看日志和操作数据库查询敏感数据。

公安机关等公权力部门调取资料时应有严格的制度规范并得到贯彻执行（淄博市公安局）

敏感信息泄露防护要求

因工作需要提取以文件形式存在的敏感信息时，应从技术手段上防止其被泄密。可以采用防泄密技术手段包括文档安全加密、终端安全管理、服务器安全加密、敏感信息监控等。主要措施如下：

1、透明的文档加密解密;

2、基于用户角色或主机的文档授权，限制被授权的特定用户或终端才能打开受控文档，未被授权的人或终端无法打开文档;

3、实现文档权限控制(阅读、编辑、复制、拖放、打印、保存、另存为、阅读时间、打印次数及文档有效期等);

4、应在服务器端统一安装防病毒软件，限制移动存储介质的使用，限制无线网络的使用;

5、防止通过移动硬盘、U盘、光驱、软驱等外设途径泄密;

6、防止通过网络打印、本地打印等途径泄密;

7、防止通过截屏、录像等途径泄密(如以隐秘屏幕水印方式锁定员工ID);

8、在办公网内，对传输客户信息，可在网络或终端侧进行敏感信息监控：(1)对通过QQ、MSN、飞信、电子邮件、HTTP等网络途径泄密客户信息进行监控;(2)对监控到的批量传输客户信息的行为进行预警;(3)通过呼叫中心(及移动呼叫中心)对员工与客户的沟通进行录音监控。

敏感数据防护方案开展实例

用户敏感信息流传在物业软件的方式，可以是用户或者运营人员录入，以文件形式导入，或从第三方接口导入。对软件中直接的显示的信息，我们根据数据安全生命周期进行落地方案展示。

总体设计图如图2。

图2 物业信息安全总体设计图

以管理规范的形式要求，明确数据安全标准。划分基本角色如下：

数据拥有者——用户、物业软件公司管理层;确认数字的敏感等级和保护要求，同时负责审核数据的行政使用。

数据使用者——软件工程师、运营人员;对数据进行正常使用，业务系统内操作等。

数据管理员——DBA;负责数据的实际操作，导入、提取、查询等。

数据安全管理员——安全工程师;负责数据安全措施的确认与防护。

数据安全审计员——负责对数据生命周期内的关键操作进行审计，并对数据后期的运维和SQL代码进行安全审计。

以上所有角色，配置AB角，并签署保密协议。

在数据生命周期的如下关键操作时，必须三员在场：

1、在数据产生阶段，如使用离线方式，必须在审计员的监督下，对原始文件进行删除;

2、敏感数据入库，通过堡垒机;

3、敏感数据销毁;

4、敏感数据提取。

对敏感数据的行政审批，均需数据拥有者或代理机构的高层经理进行签字确认，如进行提取、销毁、导出传递等。第三方对敏感数据的提取与审查，如网安、保密局等，具体行政审批流程以《网络安全法》的具体流程而定。

API接口使用时，采用防篡改、重放措施，加入密码盐与时间戳，并对信息进行签名，防止进行批量爬行获取敏感信息。使用WAF对敏感数据的Web交互进行攻击防护，防止信息泄露;

使用防火墙限制只有许可的IP、端口才可以访问数据库及后台API接口;

离线操作使用堡垒机审计;使用数据库审计设备，对用户身份信息加强审计。姓名、身份证进行实名认证时，使用加密机和密钥系统控制数据的加解密交互。具体的防护细则示例如下：

·姓名

二级敏感数据

示例原数据：刘涛

展现：明文展示，如：刘涛;但需经过自身账号或管理员账号认证。

提取：需审批，不可线上批量(10条以上)获取，可线下方式批量获取。

传输：SSL/TLS加密通道进行传输。

使用：可导出到统一接口授权使用，不可导到本地机器。

存储：使用单独设备;服务器端可明文存储。App客户端可加密缓存。

销毁：低级格式化消除。

·手机号

二级敏感数据

示例原数据：13800000000

展现：可明文展示;需登录。

提取：需审批，不可线上批量(10条)获取，可线下方式批量获取。

传输：SSL/TLS加密通道进行传输。

使用：可导出到统一接口授权使用，不可导到本地机器。

存储：使用单独设备;服务器端可明文存储。App客户端可加密缓存。

销毁：低级格式化消除。

·身份证

四级敏感数据

示例原数据：412345678900000000

展现：前端有展现需求时，显示前4位，后2位明文，中间打星掩码如：4123************00。

提取：不可以被个人获取。

传输：使用HTTPS、SSL/TLS加密通道进行传输，身份证号数据本身使用AES256加密。

使用：不得脱离系统使用。

销毁：粉碎。

员工安全保密工作的贯彻

安全意识培养

需要提升一线员工自身的信息安全意识和知识水平，并使其主动参与公司的信息安全保障工作。在日常工作中如发现可疑的异常情况或系统或服务中已发现或疑似的安全弱点或技术薄弱点，应及时向上级主管或安全管理员汇报，并尽量避免将未经证实的情况和信息随意扩散。

日常工作中，以各种形式存在的信息和用以生成、获取、处理、传递、存储信息的软、硬件设施，以及保障软硬件资产正常运行的各种辅助设备都属于公司及用户的信息资产，员工在使用这些信息资产的过程中负有相应的安全责任。

因此，建立法律法规意识，培养员工在日常工作中，自觉遵守国家法规法令和公司各类信息安全相关的规章制度，包括与信息安全相关的管理规范、技术标准、行为规范和指南等，确保员工的行为符合国家相关法律法规的要求，符合本公司内控要求。

员工基本行为守则

对员工基本行为守则进行经验总结，我们给出了“九要”、“六不要”的核心要求对员工进行宣导。

九要

1、个人电脑要开启防病毒或安全防护软件，且至少每周进行一次病毒查杀

2、使用U盘、光盘、软盘等移动介质前要进行病毒查杀，尽量减少终端上使用移动介质。

3、在网络上发布公司内部资料前，要经领导审核。

4、通过移动存储介质复制公司敏感信息文件前，要经领导审核。

5、进入任何放置公司重要信息处理设备的安全区域(如公司数据中心机房、档案室)前，要经领导审核并登记。

6、与任何外部人员交换公司敏感信息前，要经领导审核。

7、携带摄影、视频、声频、移动存储或其他记录设备(包括带有摄像头的手机)进入和参观放置公司重要信息的管制区域，要经领导审核。

8、发现信息安全事件，要及时上报。

9、公司业务数据、客户数据、重要文件/文档资料要注意保密。

六不要

1、不要泄露个人用户口令，以及打听或猜测他人用户口令。

2、不要将敏感电子信息文件直接放置于办公电脑系统桌面。

3、不要利用公司的敏感信息资料与外部人员进行利益交换行为或其他泄密行为。

4、不要在公共场合谈论公司的敏感信息。

5、不要将重要数据资料/文件资料储存/放置在办公桌面。

6、不要制造、传播病毒，或在公司网络内从事违反国家法律法规、危害公司利益的事情。

总结

综上所述，物业服务企业的信息安全，应该由信息化部门(结合信息化解决方案供应商的能力)为主责方来建设，重点是信息安全方案和制度体系的建设。但是所有参与建设和使用信息化系统的业务部门、员工都有责任共同维护信息化系统的安全体系，保障所制定的安全制度和安全防范措辞落实到位。只有全员参与、全员严防死守，才能切实保障信息安全，让企业信息化成果真正为企业发展和服务业主提供正向的价值。

关键性数据设备必须使用防火墙等安全措施（北京斯玛特物业）

（作者单位：思源软件实施运维部）

原载于《现代物业·新业主》2018年5期