【51CTO.com綜合報道】信息安全技術在國內的興起也已經歷了十年的發(fā)展，從概念的提出、技術的雛形到實現(xiàn)、到層出不窮的安全需求，完善的技術解決方案。越來越發(fā)現(xiàn)，不同用戶在安全需求上的差異是非常之大的。我們的解決思路是：基于風險驅動，以數(shù)據(jù)為中心，分析企業(yè)的管理模式和業(yè)務流程，在不同的數(shù)據(jù)應用場景中采用不同的技術，并在此基礎上整合所需的安全組件和現(xiàn)有業(yè)務系統(tǒng)，提供針對性的解決方案，改進和規(guī)范企業(yè)的數(shù)據(jù)風險管理體系。本篇文章將就如何按企業(yè)的需求，保護核心資產展開討論，具體分為三大部分：安全評估、風險分析、風險治理。

一、數(shù)據(jù)安全評估

要清楚認識到企業(yè)自身的數(shù)據(jù)安全現(xiàn)狀,就必須有一套清晰的評估方法。這里可以提供三點評估方法供大家參考。

1. 數(shù)據(jù)保密意識是否具備？

2. 數(shù)據(jù)保密措施是否缺乏？

3. 數(shù)據(jù)保密制度是否健全？

在我們看來，評估一家企業(yè)的數(shù)據(jù)安全現(xiàn)狀，必須以人為本。企業(yè)領導是否有數(shù)據(jù)保密意識？員工是否能遵守保密制度？這都是關鍵。企業(yè)領導和員工具備良好的保密意識，輔之健全措施和制度，能大大提升企業(yè)核心資產的信息安全。當然，這與企業(yè)的信息化程度以及數(shù)據(jù)是否以電子文檔形式存在也有很大關系。

目前，國內外的信息安全管理標準的核心要點都是圍繞技術和制度展開說明的。以BMB-17為例，技術方面主要從物理安全、網絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全等五個方面來評估企業(yè)的安全現(xiàn)狀，其中應用安全和數(shù)據(jù)安全是其所強調的核心部分，也是評估企業(yè)保密工作情況的重要參考點。制度上，包括機房管理制度、計算機使用制度、人員管理制度、信息資產安全管理制等各方面的安全制度，都是企業(yè)需要考慮的。從走訪的一些大型制造業(yè)來看，企業(yè)管理層對如何平衡技術和管理制度方面往往不知所措。這里可以提個建議，即從生產經營的各個角度和途徑尋找薄弱點，然后給予技術和制度上的改進。

二、數(shù)據(jù)安全風險分析

數(shù)據(jù)不同的表現(xiàn)形式、不同的運行機理將產生不同的風險點。

1、敏感數(shù)據(jù)的表現(xiàn)形式多樣化。企業(yè)內使用的數(shù)據(jù)可以歸納為五類，業(yè)務類(客戶資料、財務報表、交易數(shù)據(jù)、分析統(tǒng)計數(shù)據(jù))；行政類(市場宣傳計劃，采購成本、合同定單、物流信息、管理制度等)；機要類(公文、統(tǒng)計數(shù)據(jù)、機要文件，軍事情報、軍事地圖)；科研類(調查報告、咨詢報告、招投標文件、專利、客戶資產、價格；設計類，包括設計圖、設計方案、策劃文案等)。現(xiàn)今企業(yè)的敏感數(shù)據(jù)存在的形式再也不僅僅是文檔。在業(yè)務系統(tǒng)中流轉的數(shù)據(jù)，在服務器中共享的數(shù)據(jù)，在個人存儲中保存的數(shù)據(jù)，在設計軟件中展現(xiàn)的數(shù)據(jù)，在郵件中正文信息及附件中涵帶的數(shù)據(jù)，交付第三方的信息等等。

2、敏感數(shù)據(jù)的風險差異化。保密數(shù)據(jù)以不同的應用方式，呈現(xiàn)出不同的應用形態(tài)。任何一個企業(yè)內部無論它的機構怎么樣，均可以把它分成五個基本環(huán)境：一、內部核心數(shù)據(jù)部門，像研發(fā)部、設計部等，風險高度集中；二、內部的辦公區(qū)域，比如財務、銷售、行政機構等，僅需要適當?shù)姆婪?；三、服務器區(qū)域，數(shù)據(jù)的存在方式以及訪問的權限需明確；四、經常移動辦公的人員，安全并須兼顧便捷；五、數(shù)據(jù)需要交換到的外部機構，數(shù)據(jù)的嚴格可控。為了保證數(shù)據(jù)不被惡意獲取，這些都是應該注意的非常重要的應用場景。

3、數(shù)據(jù)安全風險分析。敏感數(shù)據(jù)在不同使用環(huán)節(jié)的應用過程中，在數(shù)據(jù)的產生、存儲、應用、交換等環(huán)節(jié)中均存在被泄密的風險。因此數(shù)據(jù)風險的評估、系統(tǒng)整合、體系的建立與合理的使用都將是考慮因素。

三、數(shù)據(jù)安全風險治理

面對前面提到的種種風險，企業(yè)該如何避開這些風險？將企業(yè)面臨的數(shù)據(jù)泄露風險降到***？這就是涉及到對風險的管控和治理。

要做好企業(yè)風險治理，首先必須明確目標，這個目標就是將企業(yè)信息泄露風險降到可接受水平。之所以這樣講，是因為保證信息的絕對安全是不存在的，索尼PSN泄密事件已經讓大家深刻的認識到這一點。其次，就是要分析企業(yè)信息安全盲點，包括技術上和制度上的，然后逐一消除這些盲點。

那么如何將企業(yè)的信息泄露風險降低到可接受水平，并消除企業(yè)可能存在的信息安全管控盲點？

針對核心的敏感數(shù)據(jù)區(qū)，往往也是數(shù)據(jù)生成的核心地帶。數(shù)據(jù)的產生使命是為了被使用。舉例一張設計圖紙，可能需要被打印、傳輸給上級、交付給生產、生產后產品的測試數(shù)據(jù)等等，數(shù)據(jù)會通過不同的途徑以各種形態(tài)流轉在多個業(yè)務系統(tǒng)環(huán)節(jié)中。這樣，在方案中，要保證數(shù)據(jù)的整個生命周期的安全，需要在數(shù)據(jù)產生的時候就開始。

***、要保證數(shù)據(jù)產生的環(huán)境安全，除了提供數(shù)據(jù)泄密風險防護的基本產品組件以外，需要考慮與管理的聯(lián)動，例如邊界防護的防火墻、統(tǒng)一審計的日志管理、第三方的身份認證等的聯(lián)動；

第二、保證數(shù)據(jù)的使用可控，每個數(shù)據(jù)本身將有所屬身份及使用權限，誰可以使用、如何使用、使用的周期等，不僅僅要有嚴格的控制，更需要有科學的管理設置，例如我們增加了審批流程以及不同審批結果的響應方式；

第三、保證數(shù)據(jù)必要的通道安全，如需要交付給第三方的數(shù)據(jù)，如何交付？交付后如何受控？需要與數(shù)據(jù)使用的各種業(yè)務系統(tǒng)聯(lián)動管理，我們提供應用保護系統(tǒng)，確保數(shù)據(jù)可以準確并受控的到達數(shù)據(jù)使用者手中；

第四、在現(xiàn)代化的管理企業(yè)中，企業(yè)的文化、保密的思想、管理的制度都應是防護體系的一環(huán)，需要設置對應的合理、高可執(zhí)行的管理體系。

根據(jù)用戶關注的數(shù)據(jù)風險差異，應用場景的不同而提供多元化的解決方案，在方案中所有體系既獨立，又可以互相組合形成更完整的解決方案，同時也能夠提供優(yōu)良的擴展性，為集團或者跨行業(yè)單位提供基于不同應用的數(shù)據(jù)保密解決方案。