【51CTO.com綜合報(bào)道】信息安全技術(shù)在國內(nèi)的興起也已經(jīng)歷了十年的發(fā)展，從概念的提出、技術(shù)的雛形到實(shí)現(xiàn)、到層出不窮的安全需求，完善的技術(shù)解決方案。越來越發(fā)現(xiàn)，不同用戶在安全需求上的差異是非常之大的。我們的解決思路是：基于風(fēng)險(xiǎn)驅(qū)動(dòng)，以數(shù)據(jù)為中心，分析企業(yè)的管理模式和業(yè)務(wù)流程，在不同的數(shù)據(jù)應(yīng)用場景中采用不同的技術(shù)，并在此基礎(chǔ)上整合所需的安全組件和現(xiàn)有業(yè)務(wù)系統(tǒng)，提供針對(duì)性的解決方案，改進(jìn)和規(guī)范企業(yè)的數(shù)據(jù)風(fēng)險(xiǎn)管理體系。本篇文章將就如何按企業(yè)的需求，保護(hù)核心資產(chǎn)展開討論，具體分為三大部分：安全評(píng)估、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)治理。

一、數(shù)據(jù)安全評(píng)估

要清楚認(rèn)識(shí)到企業(yè)自身的數(shù)據(jù)安全現(xiàn)狀,就必須有一套清晰的評(píng)估方法。這里可以提供三點(diǎn)評(píng)估方法供大家參考。

1. 數(shù)據(jù)保密意識(shí)是否具備？

2. 數(shù)據(jù)保密措施是否缺乏？

3. 數(shù)據(jù)保密制度是否健全？

在我們看來，評(píng)估一家企業(yè)的數(shù)據(jù)安全現(xiàn)狀，必須以人為本。企業(yè)領(lǐng)導(dǎo)是否有數(shù)據(jù)保密意識(shí)？員工是否能遵守保密制度？這都是關(guān)鍵。企業(yè)領(lǐng)導(dǎo)和員工具備良好的保密意識(shí)，輔之健全措施和制度，能大大提升企業(yè)核心資產(chǎn)的信息安全。當(dāng)然，這與企業(yè)的信息化程度以及數(shù)據(jù)是否以電子文檔形式存在也有很大關(guān)系。

目前，國內(nèi)外的信息安全管理標(biāo)準(zhǔn)的核心要點(diǎn)都是圍繞技術(shù)和制度展開說明的。以BMB-17為例，技術(shù)方面主要從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面來評(píng)估企業(yè)的安全現(xiàn)狀，其中應(yīng)用安全和數(shù)據(jù)安全是其所強(qiáng)調(diào)的核心部分，也是評(píng)估企業(yè)保密工作情況的重要參考點(diǎn)。制度上，包括機(jī)房管理制度、計(jì)算機(jī)使用制度、人員管理制度、信息資產(chǎn)安全管理制等各方面的安全制度，都是企業(yè)需要考慮的。從走訪的一些大型制造業(yè)來看，企業(yè)管理層對(duì)如何平衡技術(shù)和管理制度方面往往不知所措。這里可以提個(gè)建議，即從生產(chǎn)經(jīng)營的各個(gè)角度和途徑尋找薄弱點(diǎn)，然后給予技術(shù)和制度上的改進(jìn)。

二、數(shù)據(jù)安全風(fēng)險(xiǎn)分析

數(shù)據(jù)不同的表現(xiàn)形式、不同的運(yùn)行機(jī)理將產(chǎn)生不同的風(fēng)險(xiǎn)點(diǎn)。

1、敏感數(shù)據(jù)的表現(xiàn)形式多樣化。企業(yè)內(nèi)使用的數(shù)據(jù)可以歸納為五類，業(yè)務(wù)類(客戶資料、財(cái)務(wù)報(bào)表、交易數(shù)據(jù)、分析統(tǒng)計(jì)數(shù)據(jù))；行政類(市場宣傳計(jì)劃，采購成本、合同定單、物流信息、管理制度等)；機(jī)要類(公文、統(tǒng)計(jì)數(shù)據(jù)、機(jī)要文件，軍事情報(bào)、軍事地圖)；科研類(調(diào)查報(bào)告、咨詢報(bào)告、招投標(biāo)文件、專利、客戶資產(chǎn)、價(jià)格；設(shè)計(jì)類，包括設(shè)計(jì)圖、設(shè)計(jì)方案、策劃文案等)。現(xiàn)今企業(yè)的敏感數(shù)據(jù)存在的形式再也不僅僅是文檔。在業(yè)務(wù)系統(tǒng)中流轉(zhuǎn)的數(shù)據(jù)，在服務(wù)器中共享的數(shù)據(jù)，在個(gè)人存儲(chǔ)中保存的數(shù)據(jù)，在設(shè)計(jì)軟件中展現(xiàn)的數(shù)據(jù)，在郵件中正文信息及附件中涵帶的數(shù)據(jù)，交付第三方的信息等等。

2、敏感數(shù)據(jù)的風(fēng)險(xiǎn)差異化。保密數(shù)據(jù)以不同的應(yīng)用方式，呈現(xiàn)出不同的應(yīng)用形態(tài)。任何一個(gè)企業(yè)內(nèi)部無論它的機(jī)構(gòu)怎么樣，均可以把它分成五個(gè)基本環(huán)境：一、內(nèi)部核心數(shù)據(jù)部門，像研發(fā)部、設(shè)計(jì)部等，風(fēng)險(xiǎn)高度集中；二、內(nèi)部的辦公區(qū)域，比如財(cái)務(wù)、銷售、行政機(jī)構(gòu)等，僅需要適當(dāng)?shù)姆婪叮蝗⒎?wù)器區(qū)域，數(shù)據(jù)的存在方式以及訪問的權(quán)限需明確；四、經(jīng)常移動(dòng)辦公的人員，安全并須兼顧便捷；五、數(shù)據(jù)需要交換到的外部機(jī)構(gòu)，數(shù)據(jù)的嚴(yán)格可控。為了保證數(shù)據(jù)不被惡意獲取，這些都是應(yīng)該注意的非常重要的應(yīng)用場景。

3、數(shù)據(jù)安全風(fēng)險(xiǎn)分析。敏感數(shù)據(jù)在不同使用環(huán)節(jié)的應(yīng)用過程中，在數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、應(yīng)用、交換等環(huán)節(jié)中均存在被泄密的風(fēng)險(xiǎn)。因此數(shù)據(jù)風(fēng)險(xiǎn)的評(píng)估、系統(tǒng)整合、體系的建立與合理的使用都將是考慮因素。

三、數(shù)據(jù)安全風(fēng)險(xiǎn)治理

面對(duì)前面提到的種種風(fēng)險(xiǎn)，企業(yè)該如何避開這些風(fēng)險(xiǎn)？將企業(yè)面臨的數(shù)據(jù)泄露風(fēng)險(xiǎn)降到***？這就是涉及到對(duì)風(fēng)險(xiǎn)的管控和治理。

要做好企業(yè)風(fēng)險(xiǎn)治理，首先必須明確目標(biāo)，這個(gè)目標(biāo)就是將企業(yè)信息泄露風(fēng)險(xiǎn)降到可接受水平。之所以這樣講，是因?yàn)楸ＷC信息的絕對(duì)安全是不存在的，索尼PSN泄密事件已經(jīng)讓大家深刻的認(rèn)識(shí)到這一點(diǎn)。其次，就是要分析企業(yè)信息安全盲點(diǎn)，包括技術(shù)上和制度上的，然后逐一消除這些盲點(diǎn)。

那么如何將企業(yè)的信息泄露風(fēng)險(xiǎn)降低到可接受水平，并消除企業(yè)可能存在的信息安全管控盲點(diǎn)？

針對(duì)核心的敏感數(shù)據(jù)區(qū)，往往也是數(shù)據(jù)生成的核心地帶。數(shù)據(jù)的產(chǎn)生使命是為了被使用。舉例一張?jiān)O(shè)計(jì)圖紙，可能需要被打印、傳輸給上級(jí)、交付給生產(chǎn)、生產(chǎn)后產(chǎn)品的測試數(shù)據(jù)等等，數(shù)據(jù)會(huì)通過不同的途徑以各種形態(tài)流轉(zhuǎn)在多個(gè)業(yè)務(wù)系統(tǒng)環(huán)節(jié)中。這樣，在方案中，要保證數(shù)據(jù)的整個(gè)生命周期的安全，需要在數(shù)據(jù)產(chǎn)生的時(shí)候就開始。

***、要保證數(shù)據(jù)產(chǎn)生的環(huán)境安全，除了提供數(shù)據(jù)泄密風(fēng)險(xiǎn)防護(hù)的基本產(chǎn)品組件以外，需要考慮與管理的聯(lián)動(dòng)，例如邊界防護(hù)的防火墻、統(tǒng)一審計(jì)的日志管理、第三方的身份認(rèn)證等的聯(lián)動(dòng)；

第二、保證數(shù)據(jù)的使用可控，每個(gè)數(shù)據(jù)本身將有所屬身份及使用權(quán)限，誰可以使用、如何使用、使用的周期等，不僅僅要有嚴(yán)格的控制，更需要有科學(xué)的管理設(shè)置，例如我們?cè)黾恿藢徟鞒桃约安煌瑢徟Y(jié)果的響應(yīng)方式；

第三、保證數(shù)據(jù)必要的通道安全，如需要交付給第三方的數(shù)據(jù)，如何交付？交付后如何受控？需要與數(shù)據(jù)使用的各種業(yè)務(wù)系統(tǒng)聯(lián)動(dòng)管理，我們提供應(yīng)用保護(hù)系統(tǒng)，確保數(shù)據(jù)可以準(zhǔn)確并受控的到達(dá)數(shù)據(jù)使用者手中；

第四、在現(xiàn)代化的管理企業(yè)中，企業(yè)的文化、保密的思想、管理的制度都應(yīng)是防護(hù)體系的一環(huán)，需要設(shè)置對(duì)應(yīng)的合理、高可執(zhí)行的管理體系。

根據(jù)用戶關(guān)注的數(shù)據(jù)風(fēng)險(xiǎn)差異，應(yīng)用場景的不同而提供多元化的解決方案，在方案中所有體系既獨(dú)立，又可以互相組合形成更完整的解決方案，同時(shí)也能夠提供優(yōu)良的擴(kuò)展性，為集團(tuán)或者跨行業(yè)單位提供基于不同應(yīng)用的數(shù)據(jù)保密解決方案。