概述
数据安全是一个非常重要的领域,特别是随着近几年社会面对数据安全问题的关注和国家相关数据安全法规的颁布,数据安全在各行各业都产生了强烈的需求,如何在传统数据治理的基础上消除安全隐患、强化安全属性,是企业开展数据治理工作必须要直面的现实问题。
数据安全管控
数据安全问题其实较为常见,企业的信息化建设可能会强调网络安全,但往往会忽略各类数据安全风险点,易造成数据安全事故。一般来说,常见的数据安全风险存在于数据传输、存储、访问、开发等环节,涉及数据泄露、数据篡改、数据销毁等安全情形。针对这些数据安全问题,可以从以下几个方面着手来推动企业数据安全建设。
- 盘点数据安全现状,构建数据安全管理体系
企业数据安全建设,需要以实际问题为抓手,通过对企业信息化建设现在的调研分析,梳理出各类潜在的数据安全风险,在有重点、有主次的开展数据安全能力提升。此外,还有几个重要的基础性工作要做,首先要对结合企业自身情况,对数据进行安全分级,明确不同数据的管控程度和优先级,数据安全分级有很多不同方式,但基本的遵循的原则大同小异,这里罗列了几点供参考。
其次,对数据的安全分级,要考虑世间动态因素,不同时期,数据不同生命周期节点上,数据的安全等级并不是一成不变的,比如有些信息会设置公开披露的时间节点,在节点之前是涉密的、需要被保护,节点之后,这些信息便不再涉密,是可以被公众所知的,这里就需要对数据的安全等级做出调整,因而需要做好数据安全等级衰减的管控。
再者,要对数据安全管理工作所涉及的一些角色进行定义,明确不同角色的职责分工,划定不同角色的权限界限,建立起数据流转的审批与授权机制,通过搭建其数据安全的组织机构,为数据安全治理工作奠定基础。
- 打造数据全生命周期安全管控,形成安全闭环
数据的安全管控应该贯穿数据的整个生命周期,从数据的采集接入到最终的销毁,数据安全的理念和技术手段都要落到实处,通过对数据生命周期各个节点上的安全管控,实现对数据安全的闭环治理。
- 数据接入安全:数据采集接入方式多样,针对不同的数据采集方式会有不同的安全管控策略,列入数据库直采的UDF控制、FTP采集的SSL加密、实时采集的安全组件、API采集的权限机制等等。
- 数据存储安全:在存储方面,要保障存入的敏感数据以密文的形式存储,不能出现明文的敏感数据,同时,要结合数据的安全分级,对不同敏感数据采取不同的脱敏策略,并形成对于的敏感数据访问机制。
- 数据开发安全:对数据的CRUD操作进行权限管控,构建数据授权与权限回收的审核机制和规则,杜绝各类数据越权问题。
- 数据服务安全:可以根据数据的安全分级以及用户权限信息,对数据服务出口的数据进行字段级别的动态脱敏,保障服务推送出去的数据安全可控。
- 数据使用安全:基于页面水印和文件水印等方式,规避数据在流通使用的过程中的不可控、难追责等问题,即使出现数据安全风险,也能基于水印追踪。
- 数据运维安全:微服务架构+容器化部署,实现服务的隔离,依托服务网关进行权限控制,并构建删除审核机制,规避越权删除数据或误删除等情况。
- 构筑数据安全审计机制,强化风险规避能力
数据安全管控除了事前的主被动保护以外,还有一个非常重要的事后管控手段,即通过审计来探查风险、挽回损失。数据安全审计涉及的面很广,审计的深度也会根据不同安全需求而有较大差异,常见的审计内容可以概括为以下几个方面:
- 账号类的审计:实时监控用户的操作日志,对一人多号、一号多人、静默账号等情况进行审计,保障用户账号授权的可用性、一致性、唯一性等。
- 登录类审计:对登录异常行为进行分类梳理,制定登录异常情况审计办法,分析登录日志,锁定账户异常问题,在认证登录环节规避安全风险。
- 操作类审计:对用户访问、调用敏感数据的情况进行定向分析,对不同敏感级别的数据采取不同侧重点的靶向分析,严格审查对重要敏感数据的操作。
- 其它类审计:正常合规操作下也会隐藏异常问题和风险,需要对特定类型的操作情况进行的深度审计,尽量减少数据安全问题出现的机率。
总结
对于大多数企业而言,数据安全是一个持续性建设的事业,因为企业的任何信息化建设都会伴随着数据安全问题的滋生,很难说一劳永逸的解决数据安全问题,同时,对于中大型企业而言,信息产品体系是较为庞杂的,数据流向也比较复杂,数据安全管控需要与各个模块都打交道,这个过程本身就不轻松,需要各部门、各系统的全力配合。虽然企业的数据安全治理工作推动不易,但对于企业而言,数据安全管控是十分必要的,且一旦数据安全治理工作推进起来,带来的益处也是巨大的。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
