當前位置:
  1. 首頁
  2. 加密技術(shù)

數(shù)據(jù)防泄密安全體系怎樣建立?

cc 加密技術(shù)

不同用戶在安全需求上的差異是非常之大的,對于信息安全技術(shù)來說,要基于風險驅(qū)動,以數(shù)據(jù)為中心,分析企業(yè)的管理模式和業(yè)務(wù)流程,在不同的數(shù)據(jù)應用場景中采用不同的技術(shù),并在此基礎(chǔ)上整合所需的安全組件和現(xiàn)有業(yè)務(wù)系統(tǒng),提供針對性的解決方案,改進和規(guī)范企業(yè)的數(shù)據(jù)風險管理體系。

在我們看來企業(yè)領(lǐng)導是否有數(shù)據(jù)保密意識?員工是否能遵守保密制度?這都是關(guān)鍵。企業(yè)領(lǐng)導和員工具備良好的保密意識,輔之健全措施和制度,能大大提升企業(yè)核心資產(chǎn)的信息安全。當然,這與企業(yè)的信息化程度以及數(shù)據(jù)是否以電子文檔形式存在也有很大關(guān)系。

目前,國內(nèi)外的信息安全管理標準的核心要點都是圍繞技術(shù)和制度展開說明的。以BMB-17為例,技術(shù)方面主要從物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全等五個方面來評估企業(yè)的安全現(xiàn)狀,其中應用安全和數(shù)據(jù)安全是其所強調(diào)的核心部分,也是評估企業(yè)保密工作情況的重要參考點。制度上,包括機房管理制度、計算機使用制度、人員管理制度、信息資產(chǎn)安全管理制等各方面的安全制度,都是企業(yè)需要考慮的。從走訪的一些大型制造業(yè)來看,企業(yè)管理層對如何平衡技術(shù)和管理制度方面往往不知所措。這里可以提個建議,即從生產(chǎn)經(jīng)營的各個角度和途徑尋找薄弱點,然后給予技術(shù)和制度上的改進。

數(shù)據(jù)防泄密安全體系怎樣建立?

數(shù)據(jù)不同的表現(xiàn)形式、不同的運行機理將產(chǎn)生不同的風險點。

1、敏感數(shù)據(jù)的表現(xiàn)形式多樣化。企業(yè)內(nèi)使用的數(shù)據(jù)可以歸納為五類,業(yè)務(wù)類(客戶資料、財務(wù)報表、交易數(shù)據(jù)、分析統(tǒng)計數(shù)據(jù));行政類(市場宣傳計劃,采購成本、合同定單、物流信息、管理制度等);機要類(公文、統(tǒng)計數(shù)據(jù)、機要文件,軍事情報、軍事地圖);科研類(調(diào)查報告、咨詢報告、招投標文件、專利、客戶資產(chǎn)、價格;設(shè)計類,包括設(shè)計圖、設(shè)計方案、策劃文案等)?,F(xiàn)今企業(yè)的敏感數(shù)據(jù)存在的形式再也不僅僅是文檔。在業(yè)務(wù)系統(tǒng)中流轉(zhuǎn)的數(shù)據(jù),在服務(wù)器中共享的數(shù)據(jù),在個人存儲中保存的數(shù)據(jù),在設(shè)計軟件中展現(xiàn)的數(shù)據(jù),在郵件中正文信息及附件中涵帶的數(shù)據(jù),交付第三方的信息等等。

2、敏感數(shù)據(jù)的風險差異化。保密數(shù)據(jù)以不同的應用方式,呈現(xiàn)出不同的應用形態(tài)。任何一個企業(yè)內(nèi)部無論它的機構(gòu)怎么樣,均可以把它分成五個基本環(huán)境:一、內(nèi)部核心數(shù)據(jù)部門,像研發(fā)部、設(shè)計部等,風險高度集中;二、內(nèi)部的辦公區(qū)域,比如財務(wù)、銷售、行政機構(gòu)等,僅需要適當?shù)姆婪?;三、服?wù)器區(qū)域,數(shù)據(jù)的存在方式以及訪問的權(quán)限需明確;四、經(jīng)常移動辦公的人員,安全并須兼顧便捷;五、數(shù)據(jù)需要交換到的外部機構(gòu),數(shù)據(jù)的嚴格可控。為了保證數(shù)據(jù)不被惡意獲取,這些都是應該注意的非常重要的應用場景。

3、數(shù)據(jù)安全風險分析。敏感數(shù)據(jù)在不同使用環(huán)節(jié)的應用過程中,在數(shù)據(jù)的產(chǎn)生、存儲、應用、交換等環(huán)節(jié)中均存在被泄密的風險。因此數(shù)據(jù)風險的評估、系統(tǒng)整合、體系的建立與合理的使用都將是考慮因素。

面對前面提到的種種風險,企業(yè)該如何避開這些風險?將企業(yè)面臨的數(shù)據(jù)泄露風險降到最低?這就是涉及到對風險的管控和治理。

要做好企業(yè)風險治理,首先必須明確目標,這個目標就是將企業(yè)信息泄露風險降到可接受水平。之所以這樣講,是因為保證信息的絕對安全是不存在的,索尼PSN泄密事件已經(jīng)讓大家深刻的認識到這一點。其次,就是要分析企業(yè)信息安全盲點,包括技術(shù)上和制度上的,然后逐一消除這些盲點。

那么如何將企業(yè)的信息泄露風險降低到可接受水平,并消除企業(yè)可能存在的信息安全管控盲點?針對核心的敏感數(shù)據(jù)區(qū),往往也是數(shù)據(jù)生成的核心地帶。數(shù)據(jù)的產(chǎn)生使命是為了被使用。舉例一張設(shè)計圖紙,可能需要被打印、傳輸給上級、交付給生產(chǎn)、生產(chǎn)后產(chǎn)品的測試數(shù)據(jù)等等,數(shù)據(jù)會通過不同的途徑以各種形態(tài)流轉(zhuǎn)在多個業(yè)務(wù)系統(tǒng)環(huán)節(jié)中。這樣,在方案中,要保證數(shù)據(jù)的整個生命周期的安全,需要在數(shù)據(jù)產(chǎn)生的時候就開始。