斯諾登“棱鏡門”事件以來,國內信息安全領域發生了重要的變化,首先政府、企業和個人對信息安全高度重視,以前只有一些保密單位、重要政府部門和企事業單位比較重視信息安全,“棱鏡門”之后廣大網民對個人數據隱私的重視程度急劇提升;第二個變化是信息安全界從傳統的網絡邊界防護邁向數據安全防護,信息安全所關注的三個基本目標即保密性、完整性和可用性歸根結蒂是針對數據進行的,網絡空間所有的價值所在都體現在虛擬的數據之上,如何保護好數據安全是最關鍵、最核心的問題。
隨著知識經濟時代的到來,企業的資產形態發生了很大的變遷,無形的知識資產在企業經濟活動中發揮出越來越重要的價值和地位。據分析估算,2010年標準普爾500企業無形資產價值高達總資產價值的80%,而在15年前無形資產僅占總資產價值的32%(Ocean Tomo LLC)。企業的無形資產中包括了專利技術、版權、商業秘密、專有數據、業務過程和市場計劃等內容,其中相當大的部分都是以數據文件的形態存儲在信息系統中。在經濟發展從傳統形式向知識經濟形態的轉化過程中,企業的數據也從單純的數據向著數據資產的轉化。
企業數據資產日益重要吸引了犯罪分子追隨著價值從物理世界遷移到網絡空間,這就是為什么今天數據盜取事件此起彼伏、愈演愈烈的根源。企業數據對業務發展起到支撐甚至驅動作用,使得企業數據被盜取將對業務產生造成嚴重甚至致命的影響,這也是為什么許多組織的管理層對當前數據保護高度重視,不斷地在尋找更有效的數據保護方法。此外,頻發的數據外泄事件更是使得組織管理層對組織內數據保護狀態的擔憂、無法確信組織內信息安全管理是否能夠有效發揮作用,迫切需要一種體系化的數據保護解決方案。
金融行業由于業務高度依賴信息系統,天然對信息安全的要求很高。經過二十多年的快速發展,目前國內的金融行業信息化水平處于領先水平,信息安全的重視程度也遠遠高于其他行業。金融企業的信息安全防護主要經歷了以下幾個歷程:早期互聯網不發達的時候,信息安全防護主要是查殺毒和惡意代碼方面,確保單機的正常運行;后來隨著網絡的普及,開始在網絡邊界處進行防護,部署了防火墻、IDS、IPS等設備,可以保護網絡設施的安全可靠性;隨著攻擊手段的日益復雜化和APT攻擊的盛行,安全防護措施也日趨復雜。如何確保在新形勢下的信息安全成為金融行業當前的一個重要話題。由于金融行業的特殊性決定了金融行業的信息安全主要是針對數據的各種防護。信息安全所關注的三個基本目標即保密性、完整性和可用性中都是針對數據的防護,回歸到信息安全的本質核心問題。
面對數據保護和防止數據外泄這些諸多的挑戰,明朝萬達一直致力于研究更有效的方法來加以應對,經過多年來在金融行業的經驗,總結了一些基本的原則和實踐總結如下:
明確數據防外泄的需求
企業應根據自身的關鍵業務確定需要保護的敏感數據、控制的風險和要遵循的法規:
- 業務驅動:任何金融企業都有自己的關鍵業務和核心數據,分析這些業務的過程以及這些業務過程產生或依賴的數據資產,將為識別真正需要保護的數據對象提供了可靠的基礎,進而為數據外泄的風險評估和保密與隱私保護的合規性提供了路線圖。
- 風險評估:數據外泄具有多種可能的渠道,如物理的、邏輯的和人為的等,需要根據所保護的數據和這些數據的環境來識別、評估具體外泄渠道以及這些外泄的可能性。
- 合規性:合規性需求是強制性的,需要根據金融行業相關的法規來加以執行,合規性要求也包括組織內部的數據治理規定和管理要求,特別是涉及到與客戶或第三方的數據保護要求。
數據資產的分級分類
一旦明確了數據防外泄的需求,就需要梳理企業數據資產,并且對數據資產進行分級分類。數據防外泄的一個關鍵問題就是數據資產的分類。企業的數據資產非常龐大,存儲類型包括格式化數據、非格式化數據等各種類型,種類繁多。需要保護的數據資產主要依據起本身的內容而不是文件格式,這對防護技術提出更高的要求。因此必須對企業數據資產進行分級分類進行管理,配合數據防泄漏的技術手段才能起到良好作用。
協同的控制手段
數據資產的動態性和數據威脅的多樣性很難采用簡單的安全手段來控制數據的外泄。信息安全保障依賴于過程、人和技術,對數據保護也同樣如此。其中過程方面需要關注的是數據的治理和數據生命周期的管理;人員方面需要關注的是數據責任、安全意識和能力;技術方面則需要關注如何將利用各種安全技術控制協同地進行數據外泄防護。
持續的改進過程
防止數據外泄的安全策略建立之后可以對敏感數據外傳進行良好的監控和阻斷,隨著數據防泄漏系統的運行,有可能會影響到業務流程。對敏感信息的準確識別目前無論從技術還是從管理角度,很難做到精確定位,大量的錯報甚至會影響到企業員工的正常辦公。即便采用監控而非阻斷的模式,也會給IT運維人員帶來極大的不表,因此需要持續的完善和改進過程,針對敏感數據采用智能學習的方式不斷更新策略見效誤報率。
京公網安備 11010502049343號