随着数字经济蓬勃发展,数据信息已成为各行各业的重要生产要素,这一变革对企业的网络安全和业务环境产生了深远影响,越来越多企业采用智能移动办公方式,业务应用慢慢走向云端,网络边界逐渐模糊,业务场景日益复杂……在这样的背景下,企业对数据的安全保护也愈发困难。
面对当前严峻的数据泄露形势,国家相继颁布《网络安全法》《数据安全法》以及《个人信息保护法》,健全法律法规督促企业加强数据安全防护建设。但,在数据安全建设过程中,企业也面临着如何平衡安全与效率、提升员工安全意识等挑战。新形势下,企业数据安全防护体系如何建设才是行之有效的呢?
从数据安全建设视角来看,应以数据资产为核心,从管理、技术、运营三个方面全面考虑。
首先构建全面的数据安全管理体系。这里需要根据国家要求、行业主管和监管部门要求以及企业现状去设计建设方案。通过深入了解企业现状,找出潜在核心问题和风险点,在此基础上,制定整体安全策略,明确组织架构与职责,设定战略目标。最后,围绕数据的全生命周期,即从数据采集到数据销毁,制定相应的管理制度和实施细则。只有制度先行,才能够保障相关技术措施的成功落地。
▲联软数据安全管理体系建设思路
其次建立适应复杂场景的数据安全技术体系。对于企业来讲,数据安全保护措施必须基于复杂多变的业务场景,需要在不同的网络区域和应用场景下采取不同的管控手段,为场景找技术。单一的技术手段可能一面导致管控过严,降低员工办公效率,一面导致在管控过松,使其形同虚设。因此,全面而灵活的实施部署至关重要,它能确保企业的数据安全技术体系更加完善,既保障数据安全又不影响业务的流畅进行。
▲联软数据安全技术体系建设思路
联软数据安全技术体系从数据梳理开始,对数据进行分类分级,然后通过准入控制、终端安全等基础安全保护措施对终端进行统一管控,保障终端自身能够持续稳定运行;通过丰富全面的技术手段,对不同业务场景下的数据进行灵活的保护;通过安全数据摆渡系统帮助企业建立安全可靠的跨网数据传输通道;针对移动办公场景下的数据保护,可基于零信任架构的统一终端安全管理去解决。最后结合数据安全中台,去做全网的数据分析和风险感知,从而为企业打造统一的数据安全管理中心、统一的安全策略管理中心、统一的端管云安全运维中心。
最后高效的数据安全运营体系同样不可或缺。尽管存在众多数据安全管控的技术手段,但如何确保这些手段高效运行同样是企业需要深入思考的课题。其中,大数据安全运营的指标是关键所在。作为运营者,即企业的IT科技部门可以通过数据分析平台,根据指标结果,向业务部门提供反馈,告知业务部门现阶段数据安全管理的能力水平,是否达标,以及还存在哪些风险问题。为了解决这些问题,企业需要持续不断地通过培训、核查、自查等方式完善和优化数据安全运营体系,从而保障数据的“长治久安”。
▲联软数据安全运营效果展示
联软数据安全防护体系的最佳实践始于战略体系规划,明确管理组织并制定相应的管理制度。企业在数据治理过程中及其本身,都会依据数据分类分级来确定规则,进而构建策略。通过属性和内容的规则来定义敏感数据,发现敏感数据,并掌握其分布情况,包括哪些敏感数据位于哪些终端上,从而提供针对性的保护手段。针对不同的业务场景,我们采用灵活多变的控制手段,自动发现潜在的数据泄露风险。同时,通过培训和技术手段提高员工的安全意识。数据安全建设是一项长期而持续的工作,需要从风险暴露的终端出发,强化安全运营。借助数据分析平台的结果,不断提升运营指标,持续优化和完善数据安全体系建设,确保企业数据的安全稳定。
▲联软数据安全最佳实践