近日老楊接到一個(gè)需求，內(nèi)容如下：企業(yè)員工保密意識(shí)不強(qiáng)，公司資料隨意外傳、泄密的事情時(shí)有發(fā)生，如何采用技術(shù)手段來(lái)保障企業(yè)資料數(shù)據(jù)不外泄？

很多人會(huì)說(shuō)用技術(shù)的手段來(lái)保障資料安全很簡(jiǎn)單，就是購(gòu)買(mǎi)相關(guān)加密系統(tǒng)了，無(wú)非就是資金投入的問(wèn)題，但事實(shí)果真如此嗎？

錯(cuò)！

如何保障資料數(shù)據(jù)安全其實(shí)也是企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中的一個(gè)重要環(huán)節(jié)，買(mǎi)軟件用技術(shù)手段來(lái)實(shí)現(xiàn)，只是完成了其中一個(gè)點(diǎn)，治標(biāo)不治本，其實(shí)企業(yè)需要的是打造一套資料數(shù)據(jù)安全管理體系，需技術(shù)、業(yè)務(wù)、制度等多環(huán)節(jié)來(lái)保障實(shí)現(xiàn)，老楊一一闡述如下：

第一，首先我們來(lái)分析一下企業(yè)資料數(shù)據(jù)源：

企業(yè)在經(jīng)營(yíng)過(guò)程中，會(huì)產(chǎn)生大量的資料數(shù)據(jù)，同時(shí)這些資料數(shù)據(jù)也在企業(yè)內(nèi)外各個(gè)環(huán)節(jié)交互流通，從存放介質(zhì)上來(lái)看，這些資料數(shù)據(jù)存放在如下:

1.1.員工辦公電腦硬盤(pán)內(nèi)：這是企業(yè)資料數(shù)據(jù)存放的第一介質(zhì)；

1.2.軟件系統(tǒng)內(nèi)：隨著企業(yè)數(shù)字化建設(shè)引進(jìn)各種信息系統(tǒng)，會(huì)隨著產(chǎn)生海量的系統(tǒng)數(shù)據(jù)，這些數(shù)據(jù)可以在系統(tǒng)前臺(tái)頁(yè)面顯示、在后端服務(wù)器數(shù)據(jù)庫(kù)內(nèi)存放；

1.3.NAS存儲(chǔ)設(shè)備：為了企業(yè)內(nèi)部數(shù)據(jù)共享方便，很多企業(yè)會(huì)采購(gòu)NAS數(shù)據(jù)存儲(chǔ)設(shè)備，用戶(hù)數(shù)據(jù)的備份、共享，會(huì)存放大量工作資料；

1.4.移動(dòng)便捷存儲(chǔ)設(shè)備：為了工作方便，很多員工會(huì)將資料數(shù)據(jù)備份在移動(dòng)硬盤(pán)、U盤(pán)內(nèi)；

1.5.電子郵件：由于業(yè)務(wù)需要，與外部聯(lián)系會(huì)產(chǎn)生大量電子郵件往來(lái)，隨之一些數(shù)據(jù)資料也沉淀在E-Mail中；

第二，企業(yè)的資料數(shù)據(jù)會(huì)從哪些渠道泄露出去？

2.1.辦公電腦內(nèi)部流轉(zhuǎn)，例如企業(yè)內(nèi)用于會(huì)議的公共筆記本電腦，由于工作人員疏忽，會(huì)議資料刪除不及時(shí)，電腦在流轉(zhuǎn)使用過(guò)程中極易造成資料泄露；

2.2.人員離職：離職人員在離職前復(fù)制電腦內(nèi)工作資料或惡意復(fù)制共享文件內(nèi)所有數(shù)據(jù)資料，而全過(guò)程無(wú)法察覺(jué)；

2.3.病毒：電腦、服務(wù)器或存儲(chǔ)設(shè)備被惡意病毒入侵，數(shù)據(jù)資料被非法竊?。?/span>

2.4.系統(tǒng)惡意截屏：?jiǎn)T工對(duì)系統(tǒng)內(nèi)數(shù)據(jù)惡意截屏利用網(wǎng)絡(luò)傳播泄露；

2.5.外部人員：外部人員隨意使用企業(yè)工作電腦，惡意復(fù)制電腦資料；

2.6.外部打?。河捎诠ぷ餍枰?，有些資料需到外部打印社打印，由于工作疏忽導(dǎo)致資料留存在打印社電腦，造成資料外泄；

2.7.移動(dòng)介質(zhì)：工作用U盤(pán)或移動(dòng)硬盤(pán)在外帶過(guò)程中遺失，造成數(shù)據(jù)資料外泄；

2.8.電子郵件：內(nèi)部員工通過(guò)電子郵件惡意外發(fā)企業(yè)數(shù)據(jù)資料；

從以上我們不難看出企業(yè)資料數(shù)據(jù)外泄無(wú)非是內(nèi)部管理不善、員工保密意識(shí)不強(qiáng)無(wú)意操作、外部惡意竊取三種模式，既有技術(shù)上的問(wèn)題，例如服務(wù)器、系統(tǒng)漏洞，又有管理上的缺失，所以?xún)H用技術(shù)手段來(lái)杜絕資料外泄是不夠的，企業(yè)需要的是系統(tǒng)化的資料數(shù)據(jù)安全保障體系。

第三，如何保障資料數(shù)據(jù)安全不外泄？

首先我們來(lái)聊一下大家最關(guān)心的技術(shù)手段實(shí)現(xiàn)形式，就是購(gòu)買(mǎi)第三方的加密系統(tǒng)，這樣做的好處就是將工作資料全部加密，在安裝了加密系統(tǒng)的電腦內(nèi)資料正常使用，如在未解密狀態(tài)下流傳到外部，資料數(shù)據(jù)也無(wú)法正常打開(kāi)使用，保障了數(shù)據(jù)安全，同時(shí)還支持屏幕水印，截屏控制，支持解密流程審批，保障資料數(shù)據(jù)解密渠道的唯一性、合法性、可追溯性，加密軟件在技術(shù)上防資料泄密的優(yōu)勢(shì)我們不言而喻，但企業(yè)不從自身實(shí)際情況考慮，貿(mào)然引進(jìn)加密系統(tǒng)，也會(huì)隨之產(chǎn)生如下問(wèn)題：

3.1.從成本角度講:

第三方加密系統(tǒng)的收費(fèi)模式一般為服務(wù)端+客戶(hù)端，其中客戶(hù)端是按點(diǎn)數(shù)收費(fèi)，即安裝電腦客戶(hù)端的數(shù)量；這是軟件收費(fèi)，還不包括企業(yè)部署該系統(tǒng)所用硬件服務(wù)器的投入；這其中會(huì)產(chǎn)生資金投入，企業(yè)要從中取舍，考慮周全，是全部電腦資料加密，還是部分電腦加密；

3.2.從應(yīng)用角度講：

并不是所有的工作資料都必須加密，但問(wèn)題是部分電腦資料加密，部分人員采用密級(jí)管理，那么意味著日常內(nèi)部溝通需要頻繁解密，會(huì)給日常工作帶來(lái)各種不便，員工可能會(huì)產(chǎn)生反感情緒；同時(shí)還會(huì)產(chǎn)生新的安全隱患，如企業(yè)為了節(jié)省成本選型不當(dāng)，可能產(chǎn)生加密系統(tǒng)故障，導(dǎo)致數(shù)據(jù)資料被鎖定無(wú)法使用等；

我們都知道企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型，技術(shù)是工具、是手段，關(guān)鍵還是企業(yè)要根據(jù)數(shù)字化技術(shù)完善管理、升級(jí)組織能力，所以在企業(yè)數(shù)據(jù)資料安全方面企業(yè)還是要以技術(shù)為契機(jī)打造數(shù)據(jù)安全管理體系，那么該如何打造？老楊認(rèn)為該從如下幾個(gè)方面進(jìn)行：

第一，事前防控：

企業(yè)需梳理制定數(shù)據(jù)資料保密等級(jí)，按不同類(lèi)型、不同性質(zhì)等方面進(jìn)行資料安全等級(jí)劃分，不同等級(jí)的資料采取不同的加密方式及解密審批流程，從源頭上進(jìn)行科學(xué)控制，資料保密等級(jí)的劃分也在一定程度上保障日常工作中由于一刀切的加密模式導(dǎo)致數(shù)據(jù)流轉(zhuǎn)不暢的問(wèn)題；

同時(shí)還要根據(jù)資料等級(jí)制定不同的管理制度，規(guī)定哪些工作可以做，哪些不可以做，制定數(shù)據(jù)資料安全紅線(xiàn)；

還要加強(qiáng)數(shù)據(jù)安全培訓(xùn)，提升全員數(shù)據(jù)安全意識(shí)，對(duì)核心人員還要簽訂保密協(xié)議，用法律手段約束其行為；

第二，事中嚴(yán)控：

任何信息系統(tǒng)的順利實(shí)施應(yīng)用，關(guān)鍵在于事中的過(guò)程管控，是否嚴(yán)格按相關(guān)制度執(zhí)行，是否有違規(guī)事件發(fā)生；如資料解密是否按制度進(jìn)行流程審批，重要保密資料的流向是否按規(guī)定進(jìn)行登記；

第三，事后審計(jì)

在數(shù)據(jù)安全管理中，對(duì)員工日常工作行為審計(jì)非常重要，不僅可以檢驗(yàn)合規(guī)管理效果，而且是促進(jìn)企業(yè)數(shù)據(jù)資料安全狀況持續(xù)改善的基本保證。通過(guò)事后行為審計(jì)可以發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，評(píng)估及跟蹤定位，為整體數(shù)據(jù)資料安全提供權(quán)威可靠的支持。

從以上我們不難看出，企業(yè)的數(shù)據(jù)資料安全保障工作并不是僅用技術(shù)手段就可以完全實(shí)現(xiàn)的，日常工作資料數(shù)據(jù)繁雜、種類(lèi)眾多、傳播渠道廣，如不提升員工的數(shù)據(jù)安全意識(shí)，進(jìn)行資料保密等級(jí)劃分，制定相關(guān)管理制度約束員工行為，那么僅憑加密系統(tǒng)也難實(shí)現(xiàn)數(shù)據(jù)的保密管控，因此技術(shù)是手段，管理制度是措施，強(qiáng)力執(zhí)行是保障。

版權(quán)說(shuō)明：
本文僅代表作者個(gè)人觀(guān)點(diǎn)，版權(quán)歸原創(chuàng)者所有。部分圖片源自網(wǎng)絡(luò)，未能核實(shí)歸屬。本文僅為分享，不為商業(yè)用途。若錯(cuò)標(biāo)或侵權(quán)，請(qǐng)與我們聯(lián)系刪除。

本文僅代表作者觀(guān)點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請(qǐng)?jiān)谖闹凶⒚鱽?lái)源及作者名字。

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請(qǐng)及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com