【.com综合报道】信息安全技术在中国的兴起也经历了十年的发展。技术解决方案。越来越多地发现,不同用户的安全需求差异非常大。我们的解决方案是:基于风险驱动,以数据为中心,分析企业的管理模式和业务流程,在不同的数据应用场景中采用不同的技术,整合所需的安全组件和现有的业务系统,提供针对性的解决方案,改进规范企业数据风险管理制度。本文将探讨如何根据企业需求保护核心资产,分为安全评估、风险分析和风险治理三个部分。1.数据安全评估要清楚地了解企业自身的数据安全现状,需要有一套清晰的评估方法。下面介绍三种评测方法供大家参考。1、你有资料保密意识吗?2、是否缺乏数据安全措施?3、数据保密制度是否健全?我们认为,评估企业的数据安全状况必须以人为本。企业领导者是否了解数据机密性?员工能否遵守保密制度?这都是关键。企业领导和员工具有良好的保密意识,辅之以健全的措施和制度,可以大大提高企业核心资产的信息安全。当然,这也与企业的信息化程度、数据是否以电子文档的形式存在有很大关系。目前,国内外信息安全管理标准的核心要点都是围绕技术和制度进行阐述的。以BMB-17为例,在技术方面,主要从物理安全、网络安全、主机系统安全、应用安全和数据安全五个方面对企业的安全状况进行评估,其中应用安全和数据安全是重点它强调的核心部分,也是评价企业保密工作的重要参考点。在制度方面,包括机房管理制度、计算机使用制度、人员管理制度、信息资产安全管理制度等安全制度,都是企业需要考虑的。从走访的一些大型制造企业来看,企业的管理层往往对如何平衡技术和管理制度感到无所适从。这里可以提出一个建议,就是从生产经营的各个角度和方式上寻找薄弱环节,然后进行技术和制度上的改进。2、数据安全风险分析不同形式的数据和不同的运行机制会产生不同的风险点。1.敏感数据可以有多种表现形式。企业使用的数据可以概括为五类,业务类(客户信息、财务报表、交易数据、分析统计数据);行政类(市场宣传方案、采购成本、合同订单、物流信息、管理制度等);重要类别(公文、统计资料、机密文件、军事情报、军事地图);科研类(调查报告、咨询报告、招标文件、专利、客户资产、价格;设计类,包括设计图纸、设计方案、策划文案等)。当今企业中的敏感数据不仅仅存在于文档中。业务系统中流通的数据、服务器中共享的数据、个人存储中存储的数据、设计软件中显示的数据、短信中包含的数据和电子邮件中的附件、传递给第三方的信息等等。2、敏感数据的风险区分。保密资料在不同的申请方式中呈现出不同的申请形式。任何企业无论其组织形式如何,都可以划分为五个基本环境:1、内部核心数据部门,如研发部门、设计部门等,风险高度集中;2、内部办公区域,如财务、销售、行政机关等,只需要适当的防范;3、需要明确服务器区域、数据存在方式和访问权限;4、经常搬动上班的人员一定要安全、方便;5.外部数据交换机构、数据严格可控。为了保证数据不被恶意获取,这些都是非常重要的应用场景,应该引起重视。3、数据安全风险分析。敏感数据在不同使用环节的应用过程中,在数据的生成、存储、应用、交换等环节存在被泄露的风险。因此,数据风险评估、系统集成、系统建立和合理使用都将是考虑因素。3.数据安全风险治理面对上述各种风险,企业应如何规避这些风险?将企业面临的数据泄露风险降到最低?这与风险的控制和治理有关。做好企业风险治理,首先要明确目标,将企业信息泄露风险降低到可接受的水平。之所以这样说,是因为没有绝对的信息安全保障,索尼PSN泄密事件让大家深刻认识到了这一点。其次,要分析企业信息安全的盲点,包括技术盲点和制度盲点,然后将这些盲点一一排除。那么如何将企业的信息泄露风险降低到可接受的水平,消除企业可能存在的信息安全管控盲点呢?对于核心敏感数据区,往往也是数据生成的核心区。数据生成的使命是被使用。例如,一张设计图可能需要打印、向上级传输、交付生产、生产后的产品测试数据等,这些数据会通过不同的渠道以各种形式在多个业务系统链路中流转。这样,在方案中,为了保证数据整个生命周期的安全,需要在数据产生的时候就启动。***为保证数据产生环境的安全,除了提供数据泄露风险防护的基础产品组件外,还需要考虑与管理的联动,如防火墙进行边界防护,日志管理进行统一审计,第三方-当事人身份认证等联动;第二,要保证数据的使用可控,每个数据本身都会有自己的身份和使用权限,谁可以使用,如何使用,使用周期等等,不仅要有严格的控制,但也需要科学的管理设置,比如我们增加了审批流程和不同审批结果的响应方式;第三,保证数据必要的通道安全,如果数据需要交付给第三方,如何交付?产后如何控制?它需要结合使用数据的各种业务系统进行管理。我们提供应用保护系统,确保数据能够准确、可控地到达数据用户;第四,在现代管理企业中,企业文化、保密思想、管理制度都应该是保护制度的一部分,需要建立相应的合理的、可执行性强的管理制度。根据用户关注的数据风险和应用场景的差异,提供多样化的解决方案。在解决方案中,所有系统都是独立的,又可以相互组合,形成更完整的解决方案。同时,还可以提供出色的扩展性,为集团或跨行业单位提供基于不同应用的数据安全解决方案。
