新聞中心 
數(shù)據(jù)治理:如何使用管控手段維護(hù)數(shù)據(jù)安全
2022-10-10 11:52:53
瀏覽次數(shù):
次
返回列表導(dǎo)讀:近些年來(lái),隨著數(shù)字時(shí)代的發(fā)展,數(shù)據(jù)安全問(wèn)題帶來(lái)的危害越發(fā)多樣化。從個(gè)人角度來(lái)看,是接不完的騷擾電話、精心設(shè)計(jì)的電信詐騙,冒名頂替、跟蹤窺私等行為屢禁不止;從企業(yè)角度來(lái)看,數(shù)據(jù)泄露帶來(lái)的安全威脅和惡意欺詐也愈演愈烈。在人們的普遍認(rèn)知中,數(shù)據(jù)安全威脅仿佛更多地來(lái)自于不法分子、外部黑客,但事實(shí)上,企業(yè)內(nèi)部的“蛀蟲(chóng)”更容易攻破企業(yè)的數(shù)據(jù)安全防線,給企業(yè)帶來(lái)重大損失。針對(duì)內(nèi)部人員的惡意泄密與失誤操作進(jìn)行管控,是企業(yè)應(yīng)有的舉措。
通過(guò)技術(shù)和管理手段對(duì)企業(yè)內(nèi)部人員進(jìn)行有效管控,進(jìn)而降低數(shù)據(jù)安全風(fēng)險(xiǎn)、提高數(shù)據(jù)管理能力,是中翰所建設(shè)的數(shù)據(jù)治理體系中尤為重要的一部分。
一、什么是數(shù)據(jù)安全?
1.數(shù)據(jù)安全的定義:
數(shù)據(jù)安全是指通過(guò)采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。橫向來(lái)看,企業(yè)內(nèi)部的數(shù)據(jù)安全管控應(yīng)從體系建設(shè)、管理制度、技術(shù)支持、人員素質(zhì)等多個(gè)維度進(jìn)行考量;縱向來(lái)看,企業(yè)對(duì)數(shù)據(jù)安全的管控應(yīng)貫穿數(shù)據(jù)的整個(gè)生命周期,其中,數(shù)據(jù)的生產(chǎn)、存儲(chǔ)、交換、訪問(wèn)等過(guò)程節(jié)點(diǎn)尤為重要。
2.數(shù)據(jù)安全的屬性/特點(diǎn):
保密性、完整性、可用性是數(shù)據(jù)安全最重要的三個(gè)特點(diǎn),另外也可包括例如真實(shí)性,可核查性、不可否認(rèn)性和可靠性等。
二、來(lái)自企業(yè)內(nèi)部的數(shù)據(jù)安全風(fēng)險(xiǎn)有哪些?
對(duì)于企業(yè)內(nèi)部的數(shù)據(jù)安全風(fēng)險(xiǎn),將第三方或合作伙伴泄密等小概率事件排除在外后,可以大致分為內(nèi)部人員故意泄密、內(nèi)部人員操作失誤和企業(yè)管理松懈幾類(lèi)。
1.內(nèi)部人員故意泄密
企業(yè)敏感數(shù)據(jù)的泄露,很多情況下都是企業(yè)內(nèi)部人員導(dǎo)致的。由于許多企業(yè)對(duì)員工的內(nèi)控處于長(zhǎng)期忽視狀態(tài),即使存在相關(guān)制度,也難以嚴(yán)格執(zhí)行。這就導(dǎo)致某些能夠接觸到數(shù)據(jù)的內(nèi)部員工權(quán)限過(guò)高,或有內(nèi)部人員得以直接登錄系統(tǒng)竊取信息。在各方面因素的驅(qū)使下,常有員工鋌而走險(xiǎn),故意將泄露企業(yè)內(nèi)部數(shù)據(jù)。
2.內(nèi)部人員操作失誤
許多企業(yè)的數(shù)據(jù)管理相關(guān)員工未能接受合理的技能和意識(shí)培訓(xùn),導(dǎo)致員工的數(shù)據(jù)安全意識(shí)淡薄、相關(guān)技術(shù)存在缺陷,難以有效保障企業(yè)數(shù)據(jù)安全。久而久之,因相關(guān)員工不查、疏忽、意外導(dǎo)致企業(yè)數(shù)據(jù)泄露的情況時(shí)有發(fā)生。
近日,思科公司就曾因內(nèi)部人員疏忽,遭到數(shù)據(jù)竊取和勒索攻擊。其內(nèi)部員工不慎(誤操作或不小心)確認(rèn)了攻擊者的驗(yàn)證請(qǐng)求,從而使攻擊者能夠訪問(wèn)VPN和關(guān)鍵內(nèi)部系統(tǒng),造成大量數(shù)據(jù)泄露。
3.企業(yè)數(shù)據(jù)安全管理松懈
許多企業(yè)在數(shù)字化建設(shè)方面剛剛起步,對(duì)數(shù)據(jù)安全的重要性認(rèn)知不完善,也難以付諸合理行動(dòng)。
一方面,許多企業(yè)不僅不知道自身敏感數(shù)據(jù)的位置和體量,也不了解都有哪些員工擁有訪問(wèn)權(quán)限。企業(yè)重要的敏感數(shù)據(jù)暴露在這種“粗放式管理”下,產(chǎn)生問(wèn)題是或早或晚的事。
另一方面,企業(yè)也許制定了一些保障數(shù)據(jù)安全的制度,也建立了相應(yīng)的安全體系。但制度執(zhí)行并不嚴(yán)格,也并未實(shí)現(xiàn)數(shù)據(jù)安全的常態(tài)化管理。最終形成“看似什么都做了,但仿佛什么都沒(méi)做”的局面。
三、維護(hù)數(shù)據(jù)安全的管控手段
中翰認(rèn)為,企業(yè)數(shù)據(jù)安全的管控和治理,應(yīng)該是“自上而下,由內(nèi)而外”的。對(duì)于數(shù)據(jù)安全問(wèn)題,企業(yè)上下應(yīng)該形成統(tǒng)一的目標(biāo)和認(rèn)識(shí),提升上下執(zhí)行的合力。企業(yè)不僅要重視保障數(shù)據(jù)安全的管理和技術(shù)措施,還要注意培養(yǎng)員工意識(shí)、提升人員素質(zhì)。最后,要根據(jù)環(huán)境變化,持續(xù)優(yōu)化數(shù)據(jù)安全體系,形成對(duì)企業(yè)數(shù)據(jù)安全的長(zhǎng)效防護(hù)。
為了從內(nèi)部實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)安全的有效管控,中翰在實(shí)施數(shù)據(jù)治理過(guò)程中,設(shè)置了以下一些措施:
1.進(jìn)行數(shù)據(jù)安全自查,幫助企業(yè)對(duì)自身數(shù)據(jù)安全現(xiàn)狀產(chǎn)生較為準(zhǔn)確的把握。
1)數(shù)據(jù)生產(chǎn)安全:指數(shù)據(jù)設(shè)計(jì)、錄入、加工過(guò)程中的安全。重點(diǎn)要了解數(shù)據(jù)生產(chǎn)過(guò)程中在工作組和業(yè)務(wù)單位層面對(duì)相應(yīng)角色工作范圍的界定以及崗位權(quán)限的劃分。
2)數(shù)據(jù)存儲(chǔ)安全:指數(shù)據(jù)存儲(chǔ)過(guò)程中的安全,主要了解數(shù)據(jù)備份、恢復(fù)、歸檔、遷移、存儲(chǔ)日志等情況。
3)數(shù)據(jù)交換安全:應(yīng)重點(diǎn)了解數(shù)據(jù)過(guò)程中的加密、壓縮等相應(yīng)機(jī)制。
4)數(shù)據(jù)訪問(wèn)安全:重點(diǎn)了解數(shù)據(jù)密級(jí)的劃分、數(shù)據(jù)庫(kù)訪問(wèn)情況、用戶查詢數(shù)據(jù)權(quán)限的劃分、打印下載權(quán)限的劃分、敏感數(shù)據(jù)信息是否安要求脫敏、屏蔽等。
2.構(gòu)建數(shù)據(jù)安全標(biāo)準(zhǔn)體系,全生命周期保障數(shù)據(jù)安全。
根據(jù)企業(yè)實(shí)際業(yè)務(wù)情況,結(jié)合企業(yè)數(shù)據(jù)全生命周期(包括數(shù)據(jù)的設(shè)計(jì)、維護(hù)、審核、驗(yàn)證、生成、分發(fā)、使用等)進(jìn)行數(shù)據(jù)安全標(biāo)準(zhǔn)體系的規(guī)劃設(shè)計(jì)。
圖一 數(shù)據(jù)安全標(biāo)準(zhǔn)體系
3.構(gòu)建數(shù)據(jù)管理組織、制度和流程,明確數(shù)據(jù)管理權(quán)限、方便認(rèn)責(zé)到人。
1)充分調(diào)研,結(jié)合企業(yè)數(shù)據(jù)安全戰(zhàn)略目標(biāo)確立管理組織架構(gòu)。
2)制定數(shù)據(jù)管理權(quán)限體系,明確不同數(shù)據(jù)視圖的管控機(jī)制。
3)理清各類(lèi)數(shù)據(jù)在相應(yīng)單位的管理權(quán)限和應(yīng)用權(quán)限,明確責(zé)任。
4)制定各數(shù)據(jù)的詳細(xì)管理流程,明確流程中各環(huán)節(jié)對(duì)數(shù)據(jù)的操作權(quán)限、操作責(zé)任人、操作要求等內(nèi)容。
4.對(duì)員工進(jìn)行數(shù)據(jù)安全意識(shí)培養(yǎng)和技能培訓(xùn)。
為了增加員工對(duì)數(shù)據(jù)安全相關(guān)知識(shí)的了解、轉(zhuǎn)變企業(yè)各級(jí)人員的數(shù)據(jù)安全管理觀念、幫助員工規(guī)范行為和掌握技術(shù)、推動(dòng)數(shù)據(jù)安全治理持久長(zhǎng)效發(fā)展,我們應(yīng)該對(duì)員工實(shí)施有針對(duì)性的培訓(xùn)。
在實(shí)施培訓(xùn)時(shí),中翰將根據(jù)企業(yè)實(shí)際情況,制定合理的培訓(xùn)策略,堅(jiān)持理論與實(shí)踐相結(jié)合,根據(jù)員工職責(zé)劃分有側(cè)重點(diǎn)地進(jìn)行培訓(xùn),并將細(xì)節(jié)內(nèi)容落實(shí)到培訓(xùn)對(duì)象/時(shí)間/具體內(nèi)容安排表上。
5.借助技術(shù)手段實(shí)施行為管控,最大程度避免員工誤操作/惡意操作
中翰數(shù)據(jù)治理平臺(tái)可通過(guò)訪問(wèn)控制和安全審計(jì)功能,實(shí)現(xiàn)對(duì)員工訪問(wèn)權(quán)限的管控和各類(lèi)行為的監(jiān)控。借助技術(shù)手段實(shí)施管控,一方面可以有效減少數(shù)據(jù)安全事故,另一方面方便將數(shù)據(jù)安全責(zé)任落實(shí)到人。
6.長(zhǎng)效運(yùn)維
為了將數(shù)據(jù)安全治理成果延續(xù)下去,對(duì)企業(yè)數(shù)據(jù)進(jìn)行長(zhǎng)久有效的安全防護(hù),必須要注重運(yùn)維工作,確保治理過(guò)程中形成的規(guī)范制度得到有效執(zhí)行和存續(xù)發(fā)展。而運(yùn)維工作的順利開(kāi)展,一方面需要高層管理人員的關(guān)注和相關(guān)組織的運(yùn)轉(zhuǎn);另一方面,設(shè)置行之有效的制度、流程,搭建好數(shù)據(jù)安全知識(shí)體系也十分重要。(山東中翰軟件有限公司)
