新聞中心 
數據治理:如何使用管控手段維護數據安全
2022-10-10 11:52:53
瀏覽次數:
次
返回列表導讀:近些年來,隨著數字時代的發展,數據安全問題帶來的危害越發多樣化。從個人角度來看,是接不完的騷擾電話、精心設計的電信詐騙,冒名頂替、跟蹤窺私等行為屢禁不止;從企業角度來看,數據泄露帶來的安全威脅和惡意欺詐也愈演愈烈。在人們的普遍認知中,數據安全威脅仿佛更多地來自于不法分子、外部黑客,但事實上,企業內部的“蛀蟲”更容易攻破企業的數據安全防線,給企業帶來重大損失。針對內部人員的惡意泄密與失誤操作進行管控,是企業應有的舉措。
通過技術和管理手段對企業內部人員進行有效管控,進而降低數據安全風險、提高數據管理能力,是中翰所建設的數據治理體系中尤為重要的一部分。
一、什么是數據安全?
1.數據安全的定義:
數據安全是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。橫向來看,企業內部的數據安全管控應從體系建設、管理制度、技術支持、人員素質等多個維度進行考量;縱向來看,企業對數據安全的管控應貫穿數據的整個生命周期,其中,數據的生產、存儲、交換、訪問等過程節點尤為重要。
2.數據安全的屬性/特點:
保密性、完整性、可用性是數據安全最重要的三個特點,另外也可包括例如真實性,可核查性、不可否認性和可靠性等。
二、來自企業內部的數據安全風險有哪些?
對于企業內部的數據安全風險,將第三方或合作伙伴泄密等小概率事件排除在外后,可以大致分為內部人員故意泄密、內部人員操作失誤和企業管理松懈幾類。
1.內部人員故意泄密
企業敏感數據的泄露,很多情況下都是企業內部人員導致的。由于許多企業對員工的內控處于長期忽視狀態,即使存在相關制度,也難以嚴格執行。這就導致某些能夠接觸到數據的內部員工權限過高,或有內部人員得以直接登錄系統竊取信息。在各方面因素的驅使下,常有員工鋌而走險,故意將泄露企業內部數據。
2.內部人員操作失誤
許多企業的數據管理相關員工未能接受合理的技能和意識培訓,導致員工的數據安全意識淡薄、相關技術存在缺陷,難以有效保障企業數據安全。久而久之,因相關員工不查、疏忽、意外導致企業數據泄露的情況時有發生。
近日,思科公司就曾因內部人員疏忽,遭到數據竊取和勒索攻擊。其內部員工不慎(誤操作或不小心)確認了攻擊者的驗證請求,從而使攻擊者能夠訪問VPN和關鍵內部系統,造成大量數據泄露。
3.企業數據安全管理松懈
許多企業在數字化建設方面剛剛起步,對數據安全的重要性認知不完善,也難以付諸合理行動。
一方面,許多企業不僅不知道自身敏感數據的位置和體量,也不了解都有哪些員工擁有訪問權限。企業重要的敏感數據暴露在這種“粗放式管理”下,產生問題是或早或晚的事。
另一方面,企業也許制定了一些保障數據安全的制度,也建立了相應的安全體系。但制度執行并不嚴格,也并未實現數據安全的常態化管理。最終形成“看似什么都做了,但仿佛什么都沒做”的局面。
三、維護數據安全的管控手段
中翰認為,企業數據安全的管控和治理,應該是“自上而下,由內而外”的。對于數據安全問題,企業上下應該形成統一的目標和認識,提升上下執行的合力。企業不僅要重視保障數據安全的管理和技術措施,還要注意培養員工意識、提升人員素質。最后,要根據環境變化,持續優化數據安全體系,形成對企業數據安全的長效防護。
為了從內部實現對企業數據安全的有效管控,中翰在實施數據治理過程中,設置了以下一些措施:
1.進行數據安全自查,幫助企業對自身數據安全現狀產生較為準確的把握。
1)數據生產安全:指數據設計、錄入、加工過程中的安全。重點要了解數據生產過程中在工作組和業務單位層面對相應角色工作范圍的界定以及崗位權限的劃分。
2)數據存儲安全:指數據存儲過程中的安全,主要了解數據備份、恢復、歸檔、遷移、存儲日志等情況。
3)數據交換安全:應重點了解數據過程中的加密、壓縮等相應機制。
4)數據訪問安全:重點了解數據密級的劃分、數據庫訪問情況、用戶查詢數據權限的劃分、打印下載權限的劃分、敏感數據信息是否安要求脫敏、屏蔽等。
2.構建數據安全標準體系,全生命周期保障數據安全。
根據企業實際業務情況,結合企業數據全生命周期(包括數據的設計、維護、審核、驗證、生成、分發、使用等)進行數據安全標準體系的規劃設計。
圖一 數據安全標準體系
3.構建數據管理組織、制度和流程,明確數據管理權限、方便認責到人。
1)充分調研,結合企業數據安全戰略目標確立管理組織架構。
2)制定數據管理權限體系,明確不同數據視圖的管控機制。
3)理清各類數據在相應單位的管理權限和應用權限,明確責任。
4)制定各數據的詳細管理流程,明確流程中各環節對數據的操作權限、操作責任人、操作要求等內容。
4.對員工進行數據安全意識培養和技能培訓。
為了增加員工對數據安全相關知識的了解、轉變企業各級人員的數據安全管理觀念、幫助員工規范行為和掌握技術、推動數據安全治理持久長效發展,我們應該對員工實施有針對性的培訓。
在實施培訓時,中翰將根據企業實際情況,制定合理的培訓策略,堅持理論與實踐相結合,根據員工職責劃分有側重點地進行培訓,并將細節內容落實到培訓對象/時間/具體內容安排表上。
5.借助技術手段實施行為管控,最大程度避免員工誤操作/惡意操作
中翰數據治理平臺可通過訪問控制和安全審計功能,實現對員工訪問權限的管控和各類行為的監控。借助技術手段實施管控,一方面可以有效減少數據安全事故,另一方面方便將數據安全責任落實到人。
6.長效運維
為了將數據安全治理成果延續下去,對企業數據進行長久有效的安全防護,必須要注重運維工作,確保治理過程中形成的規范制度得到有效執行和存續發展。而運維工作的順利開展,一方面需要高層管理人員的關注和相關組織的運轉;另一方面,設置行之有效的制度、流程,搭建好數據安全知識體系也十分重要。(山東中翰軟件有限公司)
