淺析企業(yè)數(shù)據(jù)防泄密安全項(xiàng)目相關(guān)體系 企業(yè)數(shù)據(jù)信息安全技術(shù)在業(yè)內(nèi)的興起也已經(jīng)歷了近十年的發(fā)展,從概念的提出�、技術(shù)的雛形到實(shí)現(xiàn)��、到層出不窮的安全需求��,完善的技術(shù)解決方案�。
越來(lái)越發(fā)現(xiàn)��,不同用戶在安全需求上的差異之大����。
其解決思路是:基于風(fēng)險(xiǎn)驅(qū)動(dòng)����,以數(shù)據(jù)為中心����,分析企業(yè)的管理模式和業(yè)務(wù)流程��,在不同的數(shù)據(jù)應(yīng)用場(chǎng)景中采用不同的技術(shù)��,并在此基礎(chǔ)上整合所需的安全組件和現(xiàn)有業(yè)務(wù)系統(tǒng),提供針對(duì)性的解決方案����,改進(jìn)和規(guī)范企業(yè)的數(shù)據(jù)風(fēng)險(xiǎn)管理體系��。
本文如何按企業(yè)的需求,保護(hù)核心資產(chǎn)展開討論��,具體分為三部分:安全評(píng)估��、風(fēng)險(xiǎn)分析�、風(fēng)險(xiǎn)治理�。
一、數(shù)據(jù)安全評(píng)估要清楚認(rèn)識(shí)到企業(yè)自身的數(shù)據(jù)安全現(xiàn)狀,必須有一套清晰的評(píng)估方法��。
可提供三點(diǎn)評(píng)估方法供大家參考�。
1. 數(shù)據(jù)保密意識(shí)是否具備?
2. 數(shù)據(jù)保密措施是否缺乏��?
3. 數(shù)據(jù)保密制度是否健全��?評(píng)估一家企業(yè)的數(shù)據(jù)安全現(xiàn)狀�,必須以人為本�。
企業(yè)領(lǐng)導(dǎo)是否有數(shù)據(jù)保密意識(shí)��?員工是否能遵守保密制度����?這都是關(guān)鍵��。
企業(yè)領(lǐng)導(dǎo)和員工具備良好的保密意識(shí)��,輔之健全措施和制度,能大大提升企業(yè)核心資產(chǎn)的信息安全。
當(dāng)然��,這與企業(yè)的信息化程度以及數(shù)據(jù)是否以電子文檔形式存在也有關(guān)系的��。
目前�,國(guó)內(nèi)外的信息安全管理標(biāo)準(zhǔn)的核心要點(diǎn)都是圍繞技術(shù)和制度展開說(shuō)明的����。
以BMB-17為例,技術(shù)方面主要從物理安全�、網(wǎng)絡(luò)安全�、主機(jī)系統(tǒng)安全�、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面來(lái)評(píng)估企業(yè)的安全現(xiàn)狀,其中應(yīng)用安全和數(shù)據(jù)安全是其所強(qiáng)調(diào)的核心部分,也是評(píng)估企業(yè)保密工作情況的重要參考點(diǎn)。
制度上��,包括機(jī)房管理制度�、計(jì)算機(jī)使用制度、人員管理制度、信息資產(chǎn)安全管理制等各方面的安全制度�,都是企業(yè)需要考慮的�。
從大型制造業(yè)來(lái)看��,企業(yè)管理層對(duì)如何平衡技術(shù)和管理制度方面往往不知所措�。
參考建議�,即從生產(chǎn)經(jīng)營(yíng)的各個(gè)角度和途徑尋找薄弱點(diǎn),然后給予技術(shù)和制度上的改進(jìn)。
二��、數(shù)據(jù)安全風(fēng)險(xiǎn)分析數(shù)據(jù)不同的表現(xiàn)形式�、不同的運(yùn)行機(jī)理將產(chǎn)生不同的風(fēng)險(xiǎn)點(diǎn)。
1、敏感數(shù)據(jù)的表現(xiàn)形式多樣化。
企業(yè)內(nèi)使用的數(shù)據(jù)可以歸納為五類,業(yè)務(wù)類(客戶資料、財(cái)務(wù)報(bào)表�、交易數(shù)據(jù)����、分析統(tǒng)計(jì)數(shù)據(jù))��;行政類(市場(chǎng)宣傳計(jì)劃,采購(gòu)成本�、合同定單�、物流信息�、管理制度等);機(jī)要類(公文����、統(tǒng)計(jì)數(shù)據(jù)�、機(jī)要文件��,軍事情報(bào)��、軍事地圖)����;科研類(調(diào)查報(bào)告�、咨詢報(bào)告、招投標(biāo)文件、專利、客戶資產(chǎn)��、價(jià)格��;設(shè)計(jì)類��,包括設(shè)計(jì)圖、設(shè)計(jì)方案、策劃文案等)��。
現(xiàn)今企業(yè)的敏感數(shù)據(jù)存在的形式再也不僅僅是文檔�。
在業(yè)務(wù)系統(tǒng)中流轉(zhuǎn)的數(shù)據(jù),在服務(wù)器中共享的數(shù)據(jù),在個(gè)人存儲(chǔ)中保存的數(shù)據(jù)�,在設(shè)計(jì)軟件中展現(xiàn)的數(shù)據(jù)����,在郵件中正文信息及附件中涵帶的數(shù)據(jù)����,交付第三方的信息等。
2、敏感數(shù)據(jù)的風(fēng)險(xiǎn)差異化����。
保密數(shù)據(jù)以不同的應(yīng)用方式,呈現(xiàn)出不同的應(yīng)用形態(tài)�。
任何一個(gè)企業(yè)內(nèi)部無(wú)論它的機(jī)構(gòu)怎么樣�,均可以把它分成五個(gè)基本環(huán)境:
一�、內(nèi)部核心數(shù)據(jù)部門,像研發(fā)部��、設(shè)計(jì)部等��,風(fēng)險(xiǎn)高度集中��;
二、內(nèi)部的辦公區(qū)域��,比如財(cái)務(wù)�、銷售、行政機(jī)構(gòu)等��,僅需要適當(dāng)?shù)姆婪叮?/p>
三��、服務(wù)器區(qū)域����,數(shù)據(jù)的存在方式以及訪問(wèn)的權(quán)限需明確�;
四、經(jīng)常移動(dòng)辦公的人員�,安全并須兼顧便捷����;
五��、數(shù)據(jù)需要交換到的外部機(jī)構(gòu)�,數(shù)據(jù)的嚴(yán)格可控����。
為了保證數(shù)據(jù)不被惡意獲取,這些都是應(yīng)該注意非常重要的應(yīng)用場(chǎng)景��。
3�、數(shù)據(jù)安全風(fēng)險(xiǎn)分析。
敏感數(shù)據(jù)在不同使用環(huán)節(jié)的應(yīng)用過(guò)程中��,在數(shù)據(jù)的產(chǎn)生�、存儲(chǔ)��、應(yīng)用�、交換等環(huán)節(jié)中均存在被泄密的風(fēng)險(xiǎn)�。
因此數(shù)據(jù)風(fēng)險(xiǎn)的評(píng)估、系統(tǒng)整合�、體系的建立與合理的使用都將是考慮因素�。
三�、數(shù)據(jù)安全風(fēng)險(xiǎn)治理面對(duì)前面提到的種種風(fēng)險(xiǎn),企業(yè)該如何避開這些風(fēng)險(xiǎn)����?將企業(yè)面臨的數(shù)據(jù)泄露風(fēng)險(xiǎn)降到最低�?這將是涉及到對(duì)風(fēng)險(xiǎn)的管控和治理��。
要做好企業(yè)風(fēng)險(xiǎn)治理����,首先必須明確目標(biāo)��,這個(gè)目標(biāo)就是將企業(yè)信息泄露風(fēng)險(xiǎn)降到可接受水平�。
之所以這樣講,是因?yàn)楸WC信息的絕對(duì)安全是不存在的����,索尼PSN泄密事件已經(jīng)讓大家深刻的認(rèn)識(shí)到這一點(diǎn)�。
其次��,就是要分析企業(yè)信息安全盲點(diǎn)��,包括技術(shù)上和制度上的,然后逐一消除這些盲點(diǎn)性��。
那么如何將企業(yè)的信息泄露風(fēng)險(xiǎn)降低到可接受水平����,并消除企業(yè)可能存在的信息安全管控盲點(diǎn)?針對(duì)核心的敏感數(shù)據(jù)區(qū)��,也是數(shù)據(jù)生成的核心地帶��;數(shù)據(jù)的產(chǎn)生使命是為了被使用。
舉例一張?jiān)O(shè)計(jì)圖紙�,可能需要被打印�、傳輸給上級(jí)����、交付給生產(chǎn)、生產(chǎn)后產(chǎn)品的測(cè)試數(shù)據(jù)等等,數(shù)據(jù)會(huì)通過(guò)不同的途徑以各種形態(tài)流轉(zhuǎn)在多個(gè)業(yè)務(wù)系統(tǒng)環(huán)節(jié)中��。
這樣����,在方案中,要保證數(shù)據(jù)的整個(gè)生命周期的安全,需要在數(shù)據(jù)產(chǎn)生的時(shí)候就開始����。
第一�、要保證數(shù)據(jù)產(chǎn)生的環(huán)境安全����,除了提供數(shù)據(jù)泄密風(fēng)險(xiǎn)防護(hù)的基本產(chǎn)品組件以外,需要考慮與管理的聯(lián)動(dòng),例如邊界防護(hù)的防火墻����、統(tǒng)一審計(jì)的日志管理�、第三方的身份認(rèn)證等的聯(lián)動(dòng)��;
第二�、保證數(shù)據(jù)的使用可控��,每個(gè)數(shù)據(jù)本身將有所屬身份及使用權(quán)限�,誰(shuí)可以使用����、如何使用��、使用的周期等����,不僅僅要有嚴(yán)格的控制��,更需要有科學(xué)的管理設(shè)置����,例如我們?cè)黾恿藢徟鞒桃约安煌瑢徟Y(jié)果的響應(yīng)方式��;
第三�、保證數(shù)據(jù)必要的通道安全�,如需要交付給第三方的數(shù)據(jù),如何交付�?交付后如何受控��?需要與數(shù)據(jù)使用的各種業(yè)務(wù)系統(tǒng)聯(lián)動(dòng)管理,我們提供應(yīng)用保護(hù)系統(tǒng)�,確保數(shù)據(jù)可以準(zhǔn)確并受控的到達(dá)數(shù)據(jù)使用者手中�;
第四�、在現(xiàn)代化的管理企業(yè)中,企業(yè)的文化�、保密的思想�、管理的制度都應(yīng)是防護(hù)體系的一環(huán)��,需要設(shè)置對(duì)應(yīng)的合理����、高可執(zhí)行的管理體系。
根據(jù)用戶關(guān)注的數(shù)據(jù)風(fēng)險(xiǎn)差異,應(yīng)用場(chǎng)景的不同而提供多元化的解決方案��,在方案中所有體系既獨(dú)立�,又可以互相組合形成更完整的解決方案,同時(shí)也能夠提供優(yōu)良的擴(kuò)展性,為集團(tuán)或者跨行業(yè)單位提供基于不同應(yīng)用的數(shù)據(jù)保密解決方案��。
