绝色狂妃仙魅小说,梦入神机

新聞中心

I

行業(yè)動態(tài)

NDUSTRY NEWS

您所在的位置是：首頁 > 通知公告 > 行業(yè)動態(tài)

數(shù)據(jù)治理：如何使用管控手段維護(hù)數(shù)據(jù)安全

2022-10-10 11:52:53

瀏覽次數(shù)：次

返回列表

導(dǎo)讀：近些年來，隨著數(shù)字時代的發(fā)展，數(shù)據(jù)安全問題帶來的危害越發(fā)多樣化。從個人角度來看，是接不完的騷擾電話、精心設(shè)計的電信詐騙，冒名頂替、跟蹤窺私等行為屢禁不止；從企業(yè)角度來看，數(shù)據(jù)泄露帶來的安全威脅和惡意欺詐也愈演愈烈。在人們的普遍認(rèn)知中，數(shù)據(jù)安全威脅仿佛更多地來自于不法分子、外部黑客，但事實上，企業(yè)內(nèi)部的“蛀蟲”更容易攻破企業(yè)的數(shù)據(jù)安全防線，給企業(yè)帶來重大損失。針對內(nèi)部人員的惡意泄密與失誤操作進(jìn)行管控，是企業(yè)應(yīng)有的舉措。

通過技術(shù)和管理手段對企業(yè)內(nèi)部人員進(jìn)行有效管控，進(jìn)而降低數(shù)據(jù)安全風(fēng)險、提高數(shù)據(jù)管理能力，是中翰所建設(shè)的數(shù)據(jù)治理體系中尤為重要的一部分。

一、什么是數(shù)據(jù)安全？

1.數(shù)據(jù)安全的定義：

數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。橫向來看，企業(yè)內(nèi)部的數(shù)據(jù)安全管控應(yīng)從體系建設(shè)、管理制度、技術(shù)支持、人員素質(zhì)等多個維度進(jìn)行考量；縱向來看，企業(yè)對數(shù)據(jù)安全的管控應(yīng)貫穿數(shù)據(jù)的整個生命周期，其中，數(shù)據(jù)的生產(chǎn)、存儲、交換、訪問等過程節(jié)點(diǎn)尤為重要。

2.數(shù)據(jù)安全的屬性/特點(diǎn)：

保密性、完整性、可用性是數(shù)據(jù)安全最重要的三個特點(diǎn)，另外也可包括例如真實性，可核查性、不可否認(rèn)性和可靠性等。

二、來自企業(yè)內(nèi)部的數(shù)據(jù)安全風(fēng)險有哪些？

對于企業(yè)內(nèi)部的數(shù)據(jù)安全風(fēng)險，將第三方或合作伙伴泄密等小概率事件排除在外后，可以大致分為內(nèi)部人員故意泄密、內(nèi)部人員操作失誤和企業(yè)管理松懈幾類。

1.內(nèi)部人員故意泄密

企業(yè)敏感數(shù)據(jù)的泄露，很多情況下都是企業(yè)內(nèi)部人員導(dǎo)致的。由于許多企業(yè)對員工的內(nèi)控處于長期忽視狀態(tài)，即使存在相關(guān)制度，也難以嚴(yán)格執(zhí)行。這就導(dǎo)致某些能夠接觸到數(shù)據(jù)的內(nèi)部員工權(quán)限過高，或有內(nèi)部人員得以直接登錄系統(tǒng)竊取信息。在各方面因素的驅(qū)使下，常有員工鋌而走險，故意將泄露企業(yè)內(nèi)部數(shù)據(jù)。

2.內(nèi)部人員操作失誤

許多企業(yè)的數(shù)據(jù)管理相關(guān)員工未能接受合理的技能和意識培訓(xùn)，導(dǎo)致員工的數(shù)據(jù)安全意識淡薄、相關(guān)技術(shù)存在缺陷，難以有效保障企業(yè)數(shù)據(jù)安全。久而久之，因相關(guān)員工不查、疏忽、意外導(dǎo)致企業(yè)數(shù)據(jù)泄露的情況時有發(fā)生。

近日，思科公司就曾因內(nèi)部人員疏忽，遭到數(shù)據(jù)竊取和勒索攻擊。其內(nèi)部員工不慎（誤操作或不小心）確認(rèn)了攻擊者的驗證請求，從而使攻擊者能夠訪問VPN和關(guān)鍵內(nèi)部系統(tǒng)，造成大量數(shù)據(jù)泄露。

3.企業(yè)數(shù)據(jù)安全管理松懈

許多企業(yè)在數(shù)字化建設(shè)方面剛剛起步，對數(shù)據(jù)安全的重要性認(rèn)知不完善，也難以付諸合理行動。

一方面，許多企業(yè)不僅不知道自身敏感數(shù)據(jù)的位置和體量，也不了解都有哪些員工擁有訪問權(quán)限。企業(yè)重要的敏感數(shù)據(jù)暴露在這種“粗放式管理”下，產(chǎn)生問題是或早或晚的事。

另一方面，企業(yè)也許制定了一些保障數(shù)據(jù)安全的制度，也建立了相應(yīng)的安全體系。但制度執(zhí)行并不嚴(yán)格，也并未實現(xiàn)數(shù)據(jù)安全的常態(tài)化管理。最終形成“看似什么都做了，但仿佛什么都沒做”的局面。

三、維護(hù)數(shù)據(jù)安全的管控手段

中翰認(rèn)為，企業(yè)數(shù)據(jù)安全的管控和治理，應(yīng)該是“自上而下，由內(nèi)而外”的。對于數(shù)據(jù)安全問題，企業(yè)上下應(yīng)該形成統(tǒng)一的目標(biāo)和認(rèn)識，提升上下執(zhí)行的合力。企業(yè)不僅要重視保障數(shù)據(jù)安全的管理和技術(shù)措施，還要注意培養(yǎng)員工意識、提升人員素質(zhì)。最后，要根據(jù)環(huán)境變化，持續(xù)優(yōu)化數(shù)據(jù)安全體系，形成對企業(yè)數(shù)據(jù)安全的長效防護(hù)。

為了從內(nèi)部實現(xiàn)對企業(yè)數(shù)據(jù)安全的有效管控，中翰在實施數(shù)據(jù)治理過程中，設(shè)置了以下一些措施：

1.進(jìn)行數(shù)據(jù)安全自查，幫助企業(yè)對自身數(shù)據(jù)安全現(xiàn)狀產(chǎn)生較為準(zhǔn)確的把握。

1）數(shù)據(jù)生產(chǎn)安全：指數(shù)據(jù)設(shè)計、錄入、加工過程中的安全。重點(diǎn)要了解數(shù)據(jù)生產(chǎn)過程中在工作組和業(yè)務(wù)單位層面對相應(yīng)角色工作范圍的界定以及崗位權(quán)限的劃分。

2）數(shù)據(jù)存儲安全：指數(shù)據(jù)存儲過程中的安全，主要了解數(shù)據(jù)備份、恢復(fù)、歸檔、遷移、存儲日志等情況。

3）數(shù)據(jù)交換安全：應(yīng)重點(diǎn)了解數(shù)據(jù)過程中的加密、壓縮等相應(yīng)機(jī)制。

4）數(shù)據(jù)訪問安全：重點(diǎn)了解數(shù)據(jù)密級的劃分、數(shù)據(jù)庫訪問情況、用戶查詢數(shù)據(jù)權(quán)限的劃分、打印下載權(quán)限的劃分、敏感數(shù)據(jù)信息是否安要求脫敏、屏蔽等。

2.構(gòu)建數(shù)據(jù)安全標(biāo)準(zhǔn)體系，全生命周期保障數(shù)據(jù)安全。

根據(jù)企業(yè)實際業(yè)務(wù)情況，結(jié)合企業(yè)數(shù)據(jù)全生命周期（包括數(shù)據(jù)的設(shè)計、維護(hù)、審核、驗證、生成、分發(fā)、使用等）進(jìn)行數(shù)據(jù)安全標(biāo)準(zhǔn)體系的規(guī)劃設(shè)計。

圖一數(shù)據(jù)安全標(biāo)準(zhǔn)體系

3.構(gòu)建數(shù)據(jù)管理組織、制度和流程，明確數(shù)據(jù)管理權(quán)限、方便認(rèn)責(zé)到人。

1）充分調(diào)研，結(jié)合企業(yè)數(shù)據(jù)安全戰(zhàn)略目標(biāo)確立管理組織架構(gòu)。

2）制定數(shù)據(jù)管理權(quán)限體系，明確不同數(shù)據(jù)視圖的管控機(jī)制。

3）理清各類數(shù)據(jù)在相應(yīng)單位的管理權(quán)限和應(yīng)用權(quán)限，明確責(zé)任。

4）制定各數(shù)據(jù)的詳細(xì)管理流程，明確流程中各環(huán)節(jié)對數(shù)據(jù)的操作權(quán)限、操作責(zé)任人、操作要求等內(nèi)容。

4.對員工進(jìn)行數(shù)據(jù)安全意識培養(yǎng)和技能培訓(xùn)。

為了增加員工對數(shù)據(jù)安全相關(guān)知識的了解、轉(zhuǎn)變企業(yè)各級人員的數(shù)據(jù)安全管理觀念、幫助員工規(guī)范行為和掌握技術(shù)、推動數(shù)據(jù)安全治理持久長效發(fā)展，我們應(yīng)該對員工實施有針對性的培訓(xùn)。

在實施培訓(xùn)時，中翰將根據(jù)企業(yè)實際情況，制定合理的培訓(xùn)策略，堅持理論與實踐相結(jié)合，根據(jù)員工職責(zé)劃分有側(cè)重點(diǎn)地進(jìn)行培訓(xùn)，并將細(xì)節(jié)內(nèi)容落實到培訓(xùn)對象/時間/具體內(nèi)容安排表上。

5.借助技術(shù)手段實施行為管控，最大程度避免員工誤操作/惡意操作

中翰數(shù)據(jù)治理平臺可通過訪問控制和安全審計功能，實現(xiàn)對員工訪問權(quán)限的管控和各類行為的監(jiān)控。借助技術(shù)手段實施管控，一方面可以有效減少數(shù)據(jù)安全事故，另一方面方便將數(shù)據(jù)安全責(zé)任落實到人。

6.長效運(yùn)維

為了將數(shù)據(jù)安全治理成果延續(xù)下去，對企業(yè)數(shù)據(jù)進(jìn)行長久有效的安全防護(hù)，必須要注重運(yùn)維工作，確保治理過程中形成的規(guī)范制度得到有效執(zhí)行和存續(xù)發(fā)展。而運(yùn)維工作的順利開展，一方面需要高層管理人員的關(guān)注和相關(guān)組織的運(yùn)轉(zhuǎn)；另一方面，設(shè)置行之有效的制度、流程，搭建好數(shù)據(jù)安全知識體系也十分重要。（山東中翰軟件有限公司）

上一篇：沒有了

下一篇：數(shù)據(jù)安全為何重要？應(yīng)如何保障？