监管部门与法律法规多次“重拳出击”,企业如何做好数据保护工作?
1
数据保护的风险现状
1.人员权限混乱导致泄露风险高
越权设置及权限管理混乱是大部分出问题系统的标配,一直是企业内部风险的最大来源。不同的业务系统存在各自的权限管理体系,总部与分公司权限也存在较大差异。信息被违规下载、存储、传输,以及超职权范围访问个人信息的情况是重灾区。同时,权限申请与审批存在较大的操作空间,以“便利业务”为由的账号借用、虚构利用和业务背景违规查询、超权限开通等情况普遍,数据也就随着权限“放开”而失去有效管控。市场竞争要求企业的业务应用能够快速响应瞬息万变的用户需求,并建立能够快速响应需求的敏捷研发运维体系,企业积极引入研发运维一体化工具以及使用科技外包团队成为潮流。企业内部的研发人员、运维人员经常需要使用数据管理工具、数据库运维工具直接访问已经上线的生产数据库,进行数据分析、故障定位、应用优化等工作;此外,业务系统和数据库存在委托第三方驻场开发与维护,由于业务需要也会产生大量的风险访问行为,未经脱敏的数据访问行为,泄露风险极高。企业会对收集的大量数据进行分析和处理,数据需求多样。通过对信息的收集、分析、处理和共享使用数据,对风险进行经营管理,其中涉及大量敏感信息。在分析时取数用数或汇总后产生临时数据资产,如果没有及时地进行数据回收,这些高价值数据将造成滥用与泄露风险。早期开发的业务系统、多年老代码、缺乏规范的开发、散布在不同业务下的不同数据库,一旦发生数据泄露等安全事件,事后排查消耗大量人力。同时,监管层面明确了企业自身承担数据安全主体责任,外部合作伙伴的数据合作也不会由于数据流通让责任转嫁,合作伙伴的数据提供以及数据保护安全能力依然是重要的一环。当数据安全事件发生后,安全团队能否立刻开展追踪溯源工作,复原安全事件的整个过程,找到造成数据泄露的原因成为种种不确定因素。企业可以结合业务、数据保护、安全合规要求等维度的要求,将企业敏感数据、消费者个人信息纳入逻辑数据集合,根据数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据访问控制,依据“业务必需、最小权限、职责分离”的原则,只返回必要的数据。如禁止特权账号访问业务数据、业务系统账号越权访问、机构人员违规篡改信息等行为。动态脱敏能够在访问敏感数据的同时实时进行脱敏处理,选用可根据业务具体需求自定义脱敏模板灵活组合脱敏策略,既能满足数据交付的合规要求,同时确保数据使用安全高效。如应用前端脱敏展示、人员未经授权查询数据自动脱敏、数据分析及数据报告按需自动脱敏敏感数据等,根据业务应用用户名、应用访问路径配置不同的脱敏策略,灵活满足业务需求与监管要求。同时可基于敏感数据类型配置脱敏策略数量级降低脱敏策略的条数,极大提高运维效率。需要详细记录应用用户访问数据的日志,包括时间戳、应用用户、应用访问路径、用户、数据源、数据位置、访问类型、请求、数据量、数据相关信息等。同时支持多维组合查询及统计,支持多种条件的组合查询及统计。在发生数据安全事件后,事件的取证与还原十分关键。传统审计模式面临单一对象、工具及关系的限制,以及不同部门、业务机构之间数据相对独立,导致审计覆盖不全、时效性差、效率大打折扣。面对来自数据安全管理难点,企元盾数据安全管理系统提供一体化数据安全保护策略与日志分析,适用于企业针对数据分析、外采第三方科技服务、后管业务等不同场景中面临的数据安全问题,满足企业使用无感知、行权限管控、展示脱敏、数据泄露事件可溯源等需求,真正实现一体化数据资产与安全策略管理的安全解决方案。1、分部门部署,灵活保护机密安全
拥有多种加密模式,企业可以根据安全管理需要,为不同部门用户部署灵活的加密方案。如对研发部、销售部、运营部的机密资料等进行强制性自动加密,全过程保护机密安全,普通部门的文档可以选择普通加密或者只读加密,不影响内部沟通效率 。2、管控文档操作权限,严控分享范围
对加密文档实行分部门分级别的管理机制,确保重要加密文档只能在规定范围内使用,可以对部分特别重要的文档,或者对某个项目的资料文档单独设置访问权限,比如:研发部的新品资料,在跨部门协作时,仅限参与人才能使用文件。3、保护系统服务器,防止非法访问
安全网关可以杜绝非法计算机和非法进程对服务器进行访问,防止无关人员访问服务器数据。结合文档加密,可以对从服务器下载到本地终端的文档进行加密管控,保护服务器数据安全。4、加强外发管控,保证交互安全
可以把需要外发给合作商的项目资料制作成外发文档,可根据需要限制外发文档在外的查看期限、查看次数和使用权限,如禁止复制、打印、修改等操作,防止机密在合作结束后继续被使用。5、离线办公管理,消除出差风险
针对在家处理紧急事务,又或是去客户公司沟通业务的离线办公,企元盾数据安全管理系统也有专门的离线管理方案,帮助企业保证加密文档在外正常使用,同时也可以很好保护机密在外安全。6、控制文档流通渠道,防止外传泄密
对终端各类外传行为进行详细审计及管控,当含有重要信息的文档通过U盘、网盘、网页、即时通讯工具(WhatApp)、邮件外传时,可帮助及时阻断含有重要信息文档的外传,并触发报警、警告、审计和备份机制,管理员可以快速作出响应。7、审计文档使用,提前防范泄密风险
可以对文档操作、移动设备拷贝、网络外传等行为进行审计,记录文件(代码、图纸、技术资料等)的操作及流通情况,提前防范高风险泄密行为,同时提升公司对泄密事件的追溯水平。
往期精彩回顾
1.进击中的隐藏水印:深度学习技术为数字版权保护赋能
2.有关数据安全管理的实践
3.从生产安全到数据防护
