聊聊企业数据资料安全那些事儿

       近日老杨接到一个需求，内容如下：企业员工保密意识不强，公司资料随意外传、泄密的事情时有发生，如何采用技术手段来保障企业资料数据不外泄？

很多人会说用技术的手段来保障资料安全很简单，就是购买相关加密系统了，无非就是资金投入的问题，但事实果真如此吗？

 错！

 如何保障资料数据安全其实也是企业数字化转型过程中的一个重要环节，买软件用技术手段来实现，只是完成了其中一个点，治标不治本，其实企业需要的是打造一套资料数据安全管理体系，需技术、业务、制度等多环节来保障实现，老杨一一阐述如下：

第一，首先我们来分析一下企业资料数据源：

企业在经营过程中，会产生大量的资料数据，同时这些资料数据也在企业内外各个环节交互流通，从存放介质上来看，这些资料数据存放在如下:

1.1.员工办公电脑硬盘内：这是企业资料数据存放的第一介质；

1.2.软件系统内：随着企业数字化建设引进各种信息系统，会随着产生海量的系统数据，这些数据可以在系统前台页面显示、在后端服务器数据库内存放；

1.3.NAS存储设备：为了企业内部数据共享方便，很多企业会采购NAS数据存储设备，用户数据的备份、共享，会存放大量工作资料；

1.4.移动便捷存储设备：为了工作方便，很多员工会将资料数据备份在移动硬盘、U盘内；

1.5.电子邮件：由于业务需要，与外部联系会产生大量电子邮件往来，随之一些数据资料也沉淀在E-Mail中；

第二，企业的资料数据会从哪些渠道泄露出去？

      2.1.办公电脑内部流转，例如企业内用于会议的公共笔记本电脑，由于工作人员疏忽，会议资料删除不及时，电脑在流转使用过程中极易造成资料泄露；

      2.2.人员离职：离职人员在离职前复制电脑内工作资料或恶意复制共享文件内所有数据资料，而全过程无法察觉；

      2.3.病毒：电脑、服务器或存储设备被恶意病毒入侵，数据资料被非法窃取；

      2.4.系统恶意截屏：员工对系统内数据恶意截屏利用网络传播泄露；

      2.5.外部人员：外部人员随意使用企业工作电脑，恶意复制电脑资料；

      2.6.外部打印：由于工作需要，有些资料需到外部打印社打印，由于工作疏忽导致资料留存在打印社电脑，造成资料外泄；

      2.7.移动介质：工作用U盘或移动硬盘在外带过程中遗失，造成数据资料外泄；

      2.8.电子邮件：内部员工通过电子邮件恶意外发企业数据资料；

      从以上我们不难看出企业资料数据外泄无非是内部管理不善、员工保密意识不强无意操作、外部恶意窃取三种模式，既有技术上的问题，例如服务器、系统漏洞，又有管理上的缺失，所以仅用技术手段来杜绝资料外泄是不够的，企业需要的是系统化的资料数据安全保障体系。

第三，如何保障资料数据安全不外泄？

      首先我们来聊一下大家最关心的技术手段实现形式，就是购买第三方的加密系统，这样做的好处就是将工作资料全部加密，在安装了加密系统的电脑内资料正常使用，如在未解密状态下流传到外部，资料数据也无法正常打开使用，保障了数据安全，同时还支持屏幕水印，截屏控制，支持解密流程审批，保障资料数据解密渠道的唯一性、合法性、可追溯性，加密软件在技术上防资料泄密的优势我们不言而喻，但企业不从自身实际情况考虑，贸然引进加密系统，也会随之产生如下问题：

3.1.从成本角度讲：

      第三方加密系统的收费模式一般为服务端+客户端，其中客户端是按点数收费，即安装电脑客户端的数量；这是软件收费，还不包括企业部署该系统所用硬件服务器的投入；这其中会产生资金投入，企业要从中取舍，考虑周全，是全部电脑资料加密，还是部分电脑加密；

3.2.从应用角度讲：

      并不是所有的工作资料都必须加密，但问题是部分电脑资料加密，部分人员采用密级管理，那么意味着日常内部沟通需要频繁解密，会给日常工作带来各种不便，员工可能会产生反感情绪；同时还会产生新的安全隐患，如企业为了节省成本选型不当，可能产生加密系统故障，导致数据资料被锁定无法使用等；

      我们都知道企业进行数字化转型，技术是工具、是手段，关键还是企业要根据数字化技术完善管理、升级组织能力，所以在企业数据资料安全方面企业还是要以技术为契机打造数据安全管理体系，那么该如何打造？老杨认为该从如下几个方面进行：

第一，事前防控：

      企业需梳理制定数据资料保密等级，按不同类型、不同性质等方面进行资料安全等级划分，不同等级的资料采取不同的加密方式及解密审批流程，从源头上进行科学控制，资料保密等级的划分也在一定程度上保障日常工作中由于一刀切的加密模式导致数据流转不畅的问题；

      同时还要根据资料等级制定不同的管理制度，规定哪些工作可以做，哪些不可以做，制定数据资料安全红线；

      还要加强数据安全培训，提升全员数据安全意识，对核心人员还要签订保密协议，用法律手段约束其行为；

第二，事中严控：

      任何信息系统的顺利实施应用，关键在于事中的过程管控，是否严格按相关制度执行，是否有违规事件发生；如资料解密是否按制度进行流程审批，重要保密资料的流向是否按规定进行登记；

第三，事后审计：

      在数据安全管理中，对员工日常工作行为审计非常重要，不仅可以检验合规管理效果，而且是促进企业数据资料安全状况持续改善的基本保证。通过事后行为审计可以发现和捕获各种敏感信息、违规行为，评估及跟踪定位，为整体数据资料安全提供权威可靠的支持。

      从以上我们不难看出，企业的数据资料安全保障工作并不是仅用技术手段就可以完全实现的，日常工作资料数据繁杂、种类众多、传播渠道广，如不提升员工的数据安全意识，进行资料保密等级划分，制定相关管理制度约束员工行为，那么仅凭加密系统也难实现数据的保密管控，因此技术是手段，管理制度是措施，强力执行是保障。

声明：本号转发内容（包括但不限于文字、图片、音频、视频等）仅供交流，其观点不代表本号立场；版权归原作者或机构所有，若涉及版权问题烦请留言联系，以便第一时间更正或删除。

了解更多精彩内容

‍点击名片，关注我们吧！

DSO首席数据安全官

微信号：hzdso01

原文始发于微信公众号（DSO首席数据安全官）：聊聊企业数据资料安全那些事儿