近日老楊接到一個需求，內(nèi)容如下：企業(yè)員工保密意識不強，公司資料隨意外傳、泄密的事情時有發(fā)生，如何采用技術(shù)手段來保障企業(yè)資料數(shù)據(jù)不外泄？

很多人會說用技術(shù)的手段來保障資料安全很簡單，就是購買相關(guān)加密系統(tǒng)了，無非就是資金投入的問題，但事實果真如此嗎？

錯！

如何保障資料數(shù)據(jù)安全其實也是企業(yè)數(shù)字化轉(zhuǎn)型過程中的一個重要環(huán)節(jié)，買軟件用技術(shù)手段來實現(xiàn)，只是完成了其中一個點，治標不治本，其實企業(yè)需要的是打造一套資料數(shù)據(jù)安全管理體系，需技術(shù)、業(yè)務(wù)、制度等多環(huán)節(jié)來保障實現(xiàn)，老楊一一闡述如下：

第一，首先我們來分析一下企業(yè)資料數(shù)據(jù)源：

企業(yè)在經(jīng)營過程中，會產(chǎn)生大量的資料數(shù)據(jù)，同時這些資料數(shù)據(jù)也在企業(yè)內(nèi)外各個環(huán)節(jié)交互流通，從存放介質(zhì)上來看，這些資料數(shù)據(jù)存放在如下:

1.1.員工辦公電腦硬盤內(nèi)：這是企業(yè)資料數(shù)據(jù)存放的第一介質(zhì)；

1.2.軟件系統(tǒng)內(nèi)：隨著企業(yè)數(shù)字化建設(shè)引進各種信息系統(tǒng)，會隨著產(chǎn)生海量的系統(tǒng)數(shù)據(jù)，這些數(shù)據(jù)可以在系統(tǒng)前臺頁面顯示、在后端服務(wù)器數(shù)據(jù)庫內(nèi)存放；

1.3.NAS存儲設(shè)備：為了企業(yè)內(nèi)部數(shù)據(jù)共享方便，很多企業(yè)會采購NAS數(shù)據(jù)存儲設(shè)備，用戶數(shù)據(jù)的備份、共享，會存放大量工作資料；

1.4.移動便捷存儲設(shè)備：為了工作方便，很多員工會將資料數(shù)據(jù)備份在移動硬盤、U盤內(nèi)；

1.5.電子郵件：由于業(yè)務(wù)需要，與外部聯(lián)系會產(chǎn)生大量電子郵件往來，隨之一些數(shù)據(jù)資料也沉淀在E-Mail中；

第二，企業(yè)的資料數(shù)據(jù)會從哪些渠道泄露出去？

2.1.辦公電腦內(nèi)部流轉(zhuǎn)，例如企業(yè)內(nèi)用于會議的公共筆記本電腦，由于工作人員疏忽，會議資料刪除不及時，電腦在流轉(zhuǎn)使用過程中極易造成資料泄露；

2.2.人員離職：離職人員在離職前復(fù)制電腦內(nèi)工作資料或惡意復(fù)制共享文件內(nèi)所有數(shù)據(jù)資料，而全過程無法察覺；

2.3.病毒：電腦、服務(wù)器或存儲設(shè)備被惡意病毒入侵，數(shù)據(jù)資料被非法竊??；

2.4.系統(tǒng)惡意截屏：員工對系統(tǒng)內(nèi)數(shù)據(jù)惡意截屏利用網(wǎng)絡(luò)傳播泄露；

2.5.外部人員：外部人員隨意使用企業(yè)工作電腦，惡意復(fù)制電腦資料；

2.6.外部打印：由于工作需要，有些資料需到外部打印社打印，由于工作疏忽導(dǎo)致資料留存在打印社電腦，造成資料外泄；

2.7.移動介質(zhì)：工作用U盤或移動硬盤在外帶過程中遺失，造成數(shù)據(jù)資料外泄；

2.8.電子郵件：內(nèi)部員工通過電子郵件惡意外發(fā)企業(yè)數(shù)據(jù)資料；

從以上我們不難看出企業(yè)資料數(shù)據(jù)外泄無非是內(nèi)部管理不善、員工保密意識不強無意操作、外部惡意竊取三種模式，既有技術(shù)上的問題，例如服務(wù)器、系統(tǒng)漏洞，又有管理上的缺失，所以僅用技術(shù)手段來杜絕資料外泄是不夠的，企業(yè)需要的是系統(tǒng)化的資料數(shù)據(jù)安全保障體系。

第三，如何保障資料數(shù)據(jù)安全不外泄？

首先我們來聊一下大家最關(guān)心的技術(shù)手段實現(xiàn)形式，就是購買第三方的加密系統(tǒng)，這樣做的好處就是將工作資料全部加密，在安裝了加密系統(tǒng)的電腦內(nèi)資料正常使用，如在未解密狀態(tài)下流傳到外部，資料數(shù)據(jù)也無法正常打開使用，保障了數(shù)據(jù)安全，同時還支持屏幕水印，截屏控制，支持解密流程審批，保障資料數(shù)據(jù)解密渠道的唯一性、合法性、可追溯性，加密軟件在技術(shù)上防資料泄密的優(yōu)勢我們不言而喻，但企業(yè)不從自身實際情況考慮，貿(mào)然引進加密系統(tǒng)，也會隨之產(chǎn)生如下問題：

3.1.從成本角度講:

第三方加密系統(tǒng)的收費模式一般為服務(wù)端+客戶端，其中客戶端是按點數(shù)收費，即安裝電腦客戶端的數(shù)量；這是軟件收費，還不包括企業(yè)部署該系統(tǒng)所用硬件服務(wù)器的投入；這其中會產(chǎn)生資金投入，企業(yè)要從中取舍，考慮周全，是全部電腦資料加密，還是部分電腦加密；

3.2.從應(yīng)用角度講：

并不是所有的工作資料都必須加密，但問題是部分電腦資料加密，部分人員采用密級管理，那么意味著日常內(nèi)部溝通需要頻繁解密，會給日常工作帶來各種不便，員工可能會產(chǎn)生反感情緒；同時還會產(chǎn)生新的安全隱患，如企業(yè)為了節(jié)省成本選型不當，可能產(chǎn)生加密系統(tǒng)故障，導(dǎo)致數(shù)據(jù)資料被鎖定無法使用等；

我們都知道企業(yè)進行數(shù)字化轉(zhuǎn)型，技術(shù)是工具、是手段，關(guān)鍵還是企業(yè)要根據(jù)數(shù)字化技術(shù)完善管理、升級組織能力，所以在企業(yè)數(shù)據(jù)資料安全方面企業(yè)還是要以技術(shù)為契機打造數(shù)據(jù)安全管理體系，那么該如何打造？老楊認為該從如下幾個方面進行：

第一，事前防控：

企業(yè)需梳理制定數(shù)據(jù)資料保密等級，按不同類型、不同性質(zhì)等方面進行資料安全等級劃分，不同等級的資料采取不同的加密方式及解密審批流程，從源頭上進行科學(xué)控制，資料保密等級的劃分也在一定程度上保障日常工作中由于一刀切的加密模式導(dǎo)致數(shù)據(jù)流轉(zhuǎn)不暢的問題；

同時還要根據(jù)資料等級制定不同的管理制度，規(guī)定哪些工作可以做，哪些不可以做，制定數(shù)據(jù)資料安全紅線；

還要加強數(shù)據(jù)安全培訓(xùn)，提升全員數(shù)據(jù)安全意識，對核心人員還要簽訂保密協(xié)議，用法律手段約束其行為；

第二，事中嚴控：

任何信息系統(tǒng)的順利實施應(yīng)用，關(guān)鍵在于事中的過程管控，是否嚴格按相關(guān)制度執(zhí)行，是否有違規(guī)事件發(fā)生；如資料解密是否按制度進行流程審批，重要保密資料的流向是否按規(guī)定進行登記；

第三，事后審計

在數(shù)據(jù)安全管理中，對員工日常工作行為審計非常重要，不僅可以檢驗合規(guī)管理效果，而且是促進企業(yè)數(shù)據(jù)資料安全狀況持續(xù)改善的基本保證。通過事后行為審計可以發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，評估及跟蹤定位，為整體數(shù)據(jù)資料安全提供權(quán)威可靠的支持。

從以上我們不難看出，企業(yè)的數(shù)據(jù)資料安全保障工作并不是僅用技術(shù)手段就可以完全實現(xiàn)的，日常工作資料數(shù)據(jù)繁雜、種類眾多、傳播渠道廣，如不提升員工的數(shù)據(jù)安全意識，進行資料保密等級劃分，制定相關(guān)管理制度約束員工行為，那么僅憑加密系統(tǒng)也難實現(xiàn)數(shù)據(jù)的保密管控，因此技術(shù)是手段，管理制度是措施，強力執(zhí)行是保障。

版權(quán)說明：
本文僅代表作者個人觀點，版權(quán)歸原創(chuàng)者所有。部分圖片源自網(wǎng)絡(luò)，未能核實歸屬。本文僅為分享，不為商業(yè)用途。若錯標或侵權(quán)，請與我們聯(lián)系刪除。

本文僅代表作者觀點，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請在文中注明來源及作者名字。

免責聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時與我們聯(lián)系進行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com