淺析企業數據防泄密安全項目相關體系 企業數據信息安全技術在業內的興起也已經歷了近十年的發展,從概念的提出���、技術的雛形到實現�、到層出不窮的安全需求�����,完善的技術解決方案����。
越來越發現,不同用戶在安全需求上的差異之大。
其解決思路是:基于風險驅動�����,以數據為中心�,分析企業的管理模式和業務流程,在不同的數據應用場景中采用不同的技術���,并在此基礎上整合所需的安全組件和現有業務系統,提供針對性的解決方案��,改進和規范企業的數據風險管理體系����。
本文如何按企業的需求,保護核心資產展開討論����,具體分為三部分:安全評估��、風險分析、風險治理���。
一、數據安全評估要清楚認識到企業自身的數據安全現狀,必須有一套清晰的評估方法���。
可提供三點評估方法供大家參考。
1. 數據保密意識是否具備�����?
2. 數據保密措施是否缺乏���?
3. 數據保密制度是否健全��?評估一家企業的數據安全現狀���,必須以人為本�����。
企業領導是否有數據保密意識�����?員工是否能遵守保密制度��?這都是關鍵。
企業領導和員工具備良好的保密意識,輔之健全措施和制度�����,能大大提升企業核心資產的信息安全���。
當然���,這與企業的信息化程度以及數據是否以電子文檔形式存在也有關系的��。
目前���,國內外的信息安全管理標準的核心要點都是圍繞技術和制度展開說明的���。
以BMB-17為例�����,技術方面主要從物理安全�����、網絡安全、主機系統安全���、應用安全和數據安全等五個方面來評估企業的安全現狀���,其中應用安全和數據安全是其所強調的核心部分��,也是評估企業保密工作情況的重要參考點�。
制度上�����,包括機房管理制度�、計算機使用制度�、人員管理制度、信息資產安全管理制等各方面的安全制度,都是企業需要考慮的���。
從大型制造業來看,企業管理層對如何平衡技術和管理制度方面往往不知所措�。
參考建議�,即從生產經營的各個角度和途徑尋找薄弱點��,然后給予技術和制度上的改進��。
二、數據安全風險分析數據不同的表現形式、不同的運行機理將產生不同的風險點��。
1�����、敏感數據的表現形式多樣化�����。
企業內使用的數據可以歸納為五類,業務類(客戶資料、財務報表、交易數據�����、分析統計數據)���;行政類(市場宣傳計劃�,采購成本��、合同定單�����、物流信息、管理制度等)�;機要類(公文��、統計數據、機要文件��,軍事情報��、軍事地圖)����;科研類(調查報告�、咨詢報告、招投標文件���、專利、客戶資產�、價格�����;設計類,包括設計圖���、設計方案�����、策劃文案等)��。
現今企業的敏感數據存在的形式再也不僅僅是文檔��。
在業務系統中流轉的數據,在服務器中共享的數據�,在個人存儲中保存的數據����,在設計軟件中展現的數據,在郵件中正文信息及附件中涵帶的數據�����,交付第三方的信息等�����。
2�、敏感數據的風險差異化�����。
保密數據以不同的應用方式����,呈現出不同的應用形態��。
任何一個企業內部無論它的機構怎么樣�����,均可以把它分成五個基本環境:
一、內部核心數據部門���,像研發部�����、設計部等���,風險高度集中��;
二、內部的辦公區域,比如財務�����、銷售、行政機構等,僅需要適當的防范;
三、服務器區域�����,數據的存在方式以及訪問的權限需明確�����;
四��、經常移動辦公的人員,安全并須兼顧便捷;
五��、數據需要交換到的外部機構����,數據的嚴格可控。
為了保證數據不被惡意獲取,這些都是應該注意非常重要的應用場景�����。
3�、數據安全風險分析�。
敏感數據在不同使用環節的應用過程中�,在數據的產生、存儲、應用、交換等環節中均存在被泄密的風險����。
因此數據風險的評估�、系統整合���、體系的建立與合理的使用都將是考慮因素���。
三�����、數據安全風險治理面對前面提到的種種風險����,企業該如何避開這些風險��?將企業面臨的數據泄露風險降到最低����?這將是涉及到對風險的管控和治理�。
要做好企業風險治理,首先必須明確目標����,這個目標就是將企業信息泄露風險降到可接受水平�����。
之所以這樣講�����,是因為保證信息的絕對安全是不存在的���,索尼PSN泄密事件已經讓大家深刻的認識到這一點����。
其次�,就是要分析企業信息安全盲點,包括技術上和制度上的�,然后逐一消除這些盲點性�����。
那么如何將企業的信息泄露風險降低到可接受水平,并消除企業可能存在的信息安全管控盲點�����?針對核心的敏感數據區����,也是數據生成的核心地帶;數據的產生使命是為了被使用�����。
舉例一張設計圖紙����,可能需要被打印�����、傳輸給上級����、交付給生產、生產后產品的測試數據等等��,數據會通過不同的途徑以各種形態流轉在多個業務系統環節中�����。
這樣��,在方案中,要保證數據的整個生命周期的安全��,需要在數據產生的時候就開始���。
第一�、要保證數據產生的環境安全,除了提供數據泄密風險防護的基本產品組件以外�,需要考慮與管理的聯動����,例如邊界防護的防火墻�����、統一審計的日志管理���、第三方的身份認證等的聯動�;
第二�����、保證數據的使用可控,每個數據本身將有所屬身份及使用權限,誰可以使用、如何使用��、使用的周期等�����,不僅僅要有嚴格的控制��,更需要有科學的管理設置,例如我們增加了審批流程以及不同審批結果的響應方式;
第三���、保證數據必要的通道安全,如需要交付給第三方的數據,如何交付����?交付后如何受控����?需要與數據使用的各種業務系統聯動管理��,我們提供應用保護系統��,確保數據可以準確并受控的到達數據使用者手中;
第四、在現代化的管理企業中�,企業的文化��、保密的思想、管理的制度都應是防護體系的一環,需要設置對應的合理、高可執行的管理體系。
根據用戶關注的數據風險差異����,應用場景的不同而提供多元化的解決方案�,在方案中所有體系既獨立����,又可以互相組合形成更完整的解決方案��,同時也能夠提供優良的擴展性�,為集團或者跨行業單位提供基于不同應用的數據保密解決方案��。
