淺析企業(yè)數(shù)據(jù)防泄密安全項(xiàng)目相關(guān)體系 企業(yè)數(shù)據(jù)信息安全技術(shù)在業(yè)內(nèi)的興起也已經(jīng)歷了近十年的發(fā)展,從概念的提出、技術(shù)的雛形到實(shí)現(xiàn)�����、到層出不窮的安全需求��,完善的技術(shù)解決方案��。
越來越發(fā)現(xiàn)����,不同用戶在安全需求上的差異之大。
其解決思路是:基于風(fēng)險(xiǎn)驅(qū)動���,以數(shù)據(jù)為中心�,分析企業(yè)的管理模式和業(yè)務(wù)流程��,在不同的數(shù)據(jù)應(yīng)用場景中采用不同的技術(shù)����,并在此基礎(chǔ)上整合所需的安全組件和現(xiàn)有業(yè)務(wù)系統(tǒng)�����,提供針對性的解決方案����,改進(jìn)和規(guī)范企業(yè)的數(shù)據(jù)風(fēng)險(xiǎn)管理體系��。
本文如何按企業(yè)的需求��,保護(hù)核心資產(chǎn)展開討論����,具體分為三部分:安全評估�����、風(fēng)險(xiǎn)分析���、風(fēng)險(xiǎn)治理�����。
一��、數(shù)據(jù)安全評估要清楚認(rèn)識到企業(yè)自身的數(shù)據(jù)安全現(xiàn)狀,必須有一套清晰的評估方法�����。
可提供三點(diǎn)評估方法供大家參考�����。
1. 數(shù)據(jù)保密意識是否具備����?
2. 數(shù)據(jù)保密措施是否缺乏?
3. 數(shù)據(jù)保密制度是否健全�����?評估一家企業(yè)的數(shù)據(jù)安全現(xiàn)狀���,必須以人為本��。
企業(yè)領(lǐng)導(dǎo)是否有數(shù)據(jù)保密意識�?員工是否能遵守保密制度����?這都是關(guān)鍵����。
企業(yè)領(lǐng)導(dǎo)和員工具備良好的保密意識,輔之健全措施和制度��,能大大提升企業(yè)核心資產(chǎn)的信息安全。
當(dāng)然����,這與企業(yè)的信息化程度以及數(shù)據(jù)是否以電子文檔形式存在也有關(guān)系的。
目前���,國內(nèi)外的信息安全管理標(biāo)準(zhǔn)的核心要點(diǎn)都是圍繞技術(shù)和制度展開說明的�。
以BMB-17為例����,技術(shù)方面主要從物理安全、網(wǎng)絡(luò)安全���、主機(jī)系統(tǒng)安全���、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面來評估企業(yè)的安全現(xiàn)狀,其中應(yīng)用安全和數(shù)據(jù)安全是其所強(qiáng)調(diào)的核心部分��,也是評估企業(yè)保密工作情況的重要參考點(diǎn)����。
制度上,包括機(jī)房管理制度�����、計(jì)算機(jī)使用制度、人員管理制度�����、信息資產(chǎn)安全管理制等各方面的安全制度�,都是企業(yè)需要考慮的。
從大型制造業(yè)來看�����,企業(yè)管理層對如何平衡技術(shù)和管理制度方面往往不知所措��。
參考建議��,即從生產(chǎn)經(jīng)營的各個(gè)角度和途徑尋找薄弱點(diǎn)�����,然后給予技術(shù)和制度上的改進(jìn)����。
二�、數(shù)據(jù)安全風(fēng)險(xiǎn)分析數(shù)據(jù)不同的表現(xiàn)形式���、不同的運(yùn)行機(jī)理將產(chǎn)生不同的風(fēng)險(xiǎn)點(diǎn)。
1���、敏感數(shù)據(jù)的表現(xiàn)形式多樣化��。
企業(yè)內(nèi)使用的數(shù)據(jù)可以歸納為五類��,業(yè)務(wù)類(客戶資料���、財(cái)務(wù)報(bào)表、交易數(shù)據(jù)����、分析統(tǒng)計(jì)數(shù)據(jù));行政類(市場宣傳計(jì)劃�����,采購成本����、合同定單、物流信息�����、管理制度等);機(jī)要類(公文���、統(tǒng)計(jì)數(shù)據(jù)��、機(jī)要文件��,軍事情報(bào)�、軍事地圖)�����;科研類(調(diào)查報(bào)告�����、咨詢報(bào)告���、招投標(biāo)文件�����、專利���、客戶資產(chǎn)、價(jià)格���;設(shè)計(jì)類��,包括設(shè)計(jì)圖���、設(shè)計(jì)方案、策劃文案等)��。
現(xiàn)今企業(yè)的敏感數(shù)據(jù)存在的形式再也不僅僅是文檔��。
在業(yè)務(wù)系統(tǒng)中流轉(zhuǎn)的數(shù)據(jù)��,在服務(wù)器中共享的數(shù)據(jù)����,在個(gè)人存儲中保存的數(shù)據(jù),在設(shè)計(jì)軟件中展現(xiàn)的數(shù)據(jù)����,在郵件中正文信息及附件中涵帶的數(shù)據(jù),交付第三方的信息等��。
2、敏感數(shù)據(jù)的風(fēng)險(xiǎn)差異化���。
保密數(shù)據(jù)以不同的應(yīng)用方式��,呈現(xiàn)出不同的應(yīng)用形態(tài)���。
任何一個(gè)企業(yè)內(nèi)部無論它的機(jī)構(gòu)怎么樣,均可以把它分成五個(gè)基本環(huán)境:
一��、內(nèi)部核心數(shù)據(jù)部門�����,像研發(fā)部����、設(shè)計(jì)部等,風(fēng)險(xiǎn)高度集中�;
二、內(nèi)部的辦公區(qū)域��,比如財(cái)務(wù)�����、銷售、行政機(jī)構(gòu)等�,僅需要適當(dāng)?shù)姆婪叮?/p>
三、服務(wù)器區(qū)域�����,數(shù)據(jù)的存在方式以及訪問的權(quán)限需明確���;
四、經(jīng)常移動辦公的人員�,安全并須兼顧便捷;
五���、數(shù)據(jù)需要交換到的外部機(jī)構(gòu)����,數(shù)據(jù)的嚴(yán)格可控�。
為了保證數(shù)據(jù)不被惡意獲取,這些都是應(yīng)該注意非常重要的應(yīng)用場景����。
3、數(shù)據(jù)安全風(fēng)險(xiǎn)分析。
敏感數(shù)據(jù)在不同使用環(huán)節(jié)的應(yīng)用過程中�����,在數(shù)據(jù)的產(chǎn)生��、存儲�、應(yīng)用、交換等環(huán)節(jié)中均存在被泄密的風(fēng)險(xiǎn)���。
因此數(shù)據(jù)風(fēng)險(xiǎn)的評估��、系統(tǒng)整合���、體系的建立與合理的使用都將是考慮因素。
三����、數(shù)據(jù)安全風(fēng)險(xiǎn)治理面對前面提到的種種風(fēng)險(xiǎn),企業(yè)該如何避開這些風(fēng)險(xiǎn)�?將企業(yè)面臨的數(shù)據(jù)泄露風(fēng)險(xiǎn)降到最低?這將是涉及到對風(fēng)險(xiǎn)的管控和治理��。
要做好企業(yè)風(fēng)險(xiǎn)治理���,首先必須明確目標(biāo)�,這個(gè)目標(biāo)就是將企業(yè)信息泄露風(fēng)險(xiǎn)降到可接受水平。
之所以這樣講���,是因?yàn)楸WC信息的絕對安全是不存在的�,索尼PSN泄密事件已經(jīng)讓大家深刻的認(rèn)識到這一點(diǎn)���。
其次�����,就是要分析企業(yè)信息安全盲點(diǎn),包括技術(shù)上和制度上的���,然后逐一消除這些盲點(diǎn)性�����。
那么如何將企業(yè)的信息泄露風(fēng)險(xiǎn)降低到可接受水平���,并消除企業(yè)可能存在的信息安全管控盲點(diǎn)?針對核心的敏感數(shù)據(jù)區(qū)����,也是數(shù)據(jù)生成的核心地帶�����;數(shù)據(jù)的產(chǎn)生使命是為了被使用���。
舉例一張?jiān)O(shè)計(jì)圖紙,可能需要被打印���、傳輸給上級���、交付給生產(chǎn)、生產(chǎn)后產(chǎn)品的測試數(shù)據(jù)等等����,數(shù)據(jù)會通過不同的途徑以各種形態(tài)流轉(zhuǎn)在多個(gè)業(yè)務(wù)系統(tǒng)環(huán)節(jié)中。
這樣����,在方案中,要保證數(shù)據(jù)的整個(gè)生命周期的安全���,需要在數(shù)據(jù)產(chǎn)生的時(shí)候就開始�����。
第一�����、要保證數(shù)據(jù)產(chǎn)生的環(huán)境安全�����,除了提供數(shù)據(jù)泄密風(fēng)險(xiǎn)防護(hù)的基本產(chǎn)品組件以外��,需要考慮與管理的聯(lián)動�,例如邊界防護(hù)的防火墻、統(tǒng)一審計(jì)的日志管理�、第三方的身份認(rèn)證等的聯(lián)動���;
第二�����、保證數(shù)據(jù)的使用可控����,每個(gè)數(shù)據(jù)本身將有所屬身份及使用權(quán)限,誰可以使用���、如何使用�����、使用的周期等�,不僅僅要有嚴(yán)格的控制���,更需要有科學(xué)的管理設(shè)置�����,例如我們增加了審批流程以及不同審批結(jié)果的響應(yīng)方式���;
第三、保證數(shù)據(jù)必要的通道安全�,如需要交付給第三方的數(shù)據(jù),如何交付�����?交付后如何受控�����?需要與數(shù)據(jù)使用的各種業(yè)務(wù)系統(tǒng)聯(lián)動管理,我們提供應(yīng)用保護(hù)系統(tǒng)�,確保數(shù)據(jù)可以準(zhǔn)確并受控的到達(dá)數(shù)據(jù)使用者手中;
第四�、在現(xiàn)代化的管理企業(yè)中,企業(yè)的文化���、保密的思想���、管理的制度都應(yīng)是防護(hù)體系的一環(huán),需要設(shè)置對應(yīng)的合理��、高可執(zhí)行的管理體系�。
根據(jù)用戶關(guān)注的數(shù)據(jù)風(fēng)險(xiǎn)差異,應(yīng)用場景的不同而提供多元化的解決方案���,在方案中所有體系既獨(dú)立,又可以互相組合形成更完整的解決方案�,同時(shí)也能夠提供優(yōu)良的擴(kuò)展性,為集團(tuán)或者跨行業(yè)單位提供基于不同應(yīng)用的數(shù)據(jù)保密解決方案��。
