数据治理:如何使用管控手段维护数据安全
导读:近些年来,随着数字时代的发展,数据安全问题带来的危害越发多样化。从个人角度来看,是接不完的骚扰电话、精心设计的电信诈骗,冒名顶替、跟踪窥私等行为屡禁不止;从企业角度来看,数据泄露带来的安全威胁和恶意欺诈也愈演愈烈。在人们的普遍认知中,数据安全威胁仿佛更多地来自于不法分子、外部黑客,但事实上,企业内部的“蛀虫”更容易攻破企业的数据安全防线,给企业带来重大损失。针对内部人员的恶意泄密与失误操作进行管控,是企业应有的举措。
通过技术和管理手段对企业内部人员进行有效管控,进而降低数据安全风险、提高数据管理能力,是中翰所建设的数据治理体系中尤为重要的一部分。
一、什么是数据安全?
1.数据安全的定义:
数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。横向来看,企业内部的数据安全管控应从体系建设、管理制度、技术支持、人员素质等多个维度进行考量;纵向来看,企业对数据安全的管控应贯穿数据的整个生命周期,其中,数据的生产、存储、交换、访问等过程节点尤为重要。
2.数据安全的属性/特点:
保密性、完整性、可用性是数据安全最重要的三个特点,另外也可包括例如真实性,可核查性、不可否认性和可靠性等。
二、来自企业内部的数据安全风险有哪些?
对于企业内部的数据安全风险,将第三方或合作伙伴泄密等小概率事件排除在外后,可以大致分为内部人员故意泄密、内部人员操作失误和企业管理松懈几类。
1.内部人员故意泄密
企业敏感数据的泄露,很多情况下都是企业内部人员导致的。由于许多企业对员工的内控处于长期忽视状态,即使存在相关制度,也难以严格执行。这就导致某些能够接触到数据的内部员工权限过高,或有内部人员得以直接登录系统窃取信息。在各方面因素的驱使下,常有员工铤而走险,故意将泄露企业内部数据。
2.内部人员操作失误
许多企业的数据管理相关员工未能接受合理的技能和意识培训,导致员工的数据安全意识淡薄、相关技术存在缺陷,难以有效保障企业数据安全。久而久之,因相关员工不查、疏忽、意外导致企业数据泄露的情况时有发生。
近日,思科公司就曾因内部人员疏忽,遭到数据窃取和勒索攻击。其内部员工不慎(误操作或不小心)确认了攻击者的验证请求,从而使攻击者能够访问VPN和关键内部系统,造成大量数据泄露。
3.企业数据安全管理松懈
许多企业在数字化建设方面刚刚起步,对数据安全的重要性认知不完善,也难以付诸合理行动。
一方面,许多企业不仅不知道自身敏感数据的位置和体量,也不了解都有哪些员工拥有访问权限。企业重要的敏感数据暴露在这种“粗放式管理”下,产生问题是或早或晚的事。
另一方面,企业也许制定了一些保障数据安全的制度,也建立了相应的安全体系。但制度执行并不严格,也并未实现数据安全的常态化管理。最终形成“看似什么都做了,但仿佛什么都没做”的局面。
三、维护数据安全的管控手段
中翰认为,企业数据安全的管控和治理,应该是“自上而下,由内而外”的。对于数据安全问题,企业上下应该形成统一的目标和认识,提升上下执行的合力。企业不仅要重视保障数据安全的管理和技术措施,还要注意培养员工意识、提升人员素质。最后,要根据环境变化,持续优化数据安全体系,形成对企业数据安全的长效防护。
为了从内部实现对企业数据安全的有效管控,中翰在实施数据治理过程中,设置了以下一些措施:
1.进行数据安全自查,帮助企业对自身数据安全现状产生较为准确的把握。
1)数据生产安全:指数据设计、录入、加工过程中的安全。重点要了解数据生产过程中在工作组和业务单位层面对相应角色工作范围的界定以及岗位权限的划分。
2)数据存储安全:指数据存储过程中的安全,主要了解数据备份、恢复、归档、迁移、存储日志等情况。
3)数据交换安全:应重点了解数据过程中的加密、压缩等相应机制。
4)数据访问安全:重点了解数据密级的划分、数据库访问情况、用户查询数据权限的划分、打印下载权限的划分、敏感数据信息是否安要求脱敏、屏蔽等。
2.构建数据安全标准体系,全生命周期保障数据安全。
根据企业实际业务情况,结合企业数据全生命周期(包括数据的设计、维护、审核、验证、生成、分发、使用等)进行数据安全标准体系的规划设计。
图一 数据安全标准体系
3.构建数据管理组织、制度和流程,明确数据管理权限、方便认责到人。
1)充分调研,结合企业数据安全战略目标确立管理组织架构。
2)制定数据管理权限体系,明确不同数据视图的管控机制。
3)理清各类数据在相应单位的管理权限和应用权限,明确责任。
4)制定各数据的详细管理流程,明确流程中各环节对数据的操作权限、操作责任人、操作要求等内容。
4.对员工进行数据安全意识培养和技能培训。
为了增加员工对数据安全相关知识的了解、转变企业各级人员的数据安全管理观念、帮助员工规范行为和掌握技术、推动数据安全治理持久长效发展,我们应该对员工实施有针对性的培训。
在实施培训时,中翰将根据企业实际情况,制定合理的培训策略,坚持理论与实践相结合,根据员工职责划分有侧重点地进行培训,并将细节内容落实到培训对象/时间/具体内容安排表上。
5.借助技术手段实施行为管控,最大程度避免员工误操作/恶意操作
中翰数据治理平台可通过访问控制和安全审计功能,实现对员工访问权限的管控和各类行为的监控。借助技术手段实施管控,一方面可以有效减少数据安全事故,另一方面方便将数据安全责任落实到人。
6.长效运维
为了将数据安全治理成果延续下去,对企业数据进行长久有效的安全防护,必须要注重运维工作,确保治理过程中形成的规范制度得到有效执行和存续发展。而运维工作的顺利开展,一方面需要高层管理人员的关注和相关组织的运转;另一方面,设置行之有效的制度、流程,搭建好数据安全知识体系也十分重要。(山东中翰软件有限公司)
