背景
随着移动互联网技术的迅速发展,企业核心数据泄露、丢失事件频繁发生,给企业、用户造成了巨大经济损失。而企业经常会有这种困扰,明明我已经购买了很多安全防护产品、明明我已经不惜牺牲一部分业务代价去修补漏洞、明明我已经在安全上进行了大量投资,为什么还是会发生这样那样的安全事件。
思路
这就不得不提起信息安全的“木桶原理”:若其中一块木板很短,则此木桶的盛水量就被短板所限制。数据安全亦如此,在数据流转的全生命周期,不论是在哪个环节出现了短板,都可能导致企业发生数据安全问题,因此,构建体系化的开展数据安全防护就异常重要了。下面简单介绍一下企业数据安全体系构建的要点:五个环节、三个步骤、三个阶段、两种手段、一个关键点。
五个环节
构建数据安全防护体系,首先就是要按照数据流转的各个环节开展,确保数据从产生到流转的各个环节再到删除的全生命周期都是安全可控的。
- 收集环节:将企业敏感信息录入到系统中的过程。
- 存储环节:企业敏感信息被集中存储在数据库、磁盘文件等存储介质的过程。
- 操作环节:日常开发维护、工单处理、数据分析等工作中对企业敏感信息数据进行增删改等操作的过程。
- 转移环节:因业务发展需要,将用户、企业敏感信息数据分发给外部门、公司等平台的过程。
- 删除环节:对没有使用价值的数据进行删除并确保不能被非法恢复的过程。
三个步骤
- 数据梳理:数据梳理包含数据的分级分类、敏感数据资产的梳理、流经系统的梳理、使用场景的梳理,这一步是至关重要的,只有理清理全要防护的目标,后续的步骤才能有效。并且,数据的分级是非常有必要的,好的数据分级能够让企业针对不同级别的数据恰到好处的进行防护,避免过度、过轻防护。
- 风险梳理:对于数据流转的每个环节列出其可能存在的安全风险点、风险场景。
- 手段建设:针对所梳理出的风险设计具体的安全解决方案并落地。
三个阶段
明确了我们要防护的各个阶段、构建体系的步骤,那我们要按照什么思路来进行手段建设呢?与上面类似,我们要按照安全事件的全生命周期来进行手段建设,具体如下。
- 事前:在安全事件发生前考虑可能的风险点、漏洞,进行安全加固,以预防安全事件发生。如补丁升级等。
- 事中:在安全事件进行过程中,能够在其恶意行为完成前发现其行为并进行阻断。如WAF等安全防护设备、访问控制等。
- 事后:在安全事件发生后,能够进行审计分析、及时恢复。如安全审计、备份机制等。
两种手段
明确了环节、防护思路后,我们就需要设计我们的具体的防护手段了,信息安全三分技术、七分管理,因此管理与技术一定要双管齐下。
- 管理手段:包含数据的分级分类、规范等文档的制定、管理流程的制定等。
- 技术手段:针对数据流转的不同阶段采取针对性的技术手段,如传输加密、堡垒机、防篡改、水印等等。
一个关键点
在构建数据安全体系时,这里要注意一个关键点:全面。这是整个体系建设的重中之重,因为如果不全面又会导致木桶原理。这里的全面包括:资产要全面、流转场景要全面、风险点梳理要全面等。