加密敏感信息 构筑企业数据防泄漏的安全之盾

       数据，一个信息时代经常被提起的名词。随着信息技术和互联网的发展，数据的种类也变得越来越多，但是有一种数据，不管它的种类和呈现形式怎么改变，它的防护需求永远是最大的，它就是敏感数据。

       何谓敏感数据？

       随着信息化的发展，产生了越来越多的电子信息。这些电子信息可分为结构化数据与非结构化数据。非结构化数据即我们日常生活中经常遇到的电子文档、图片、图像、音频、视频等。结构化数据又称为行数据，即存储在数据库里，可以用二维表结构来逻辑表达实现的数据。信息社会，结构化数据大量存在于政府部门、商业银行、电信运营商、大型企事业单位等机构的业务系统内部。具体而言，有记录国家机密的涉密信息，有存储单位内部人事情况的人员信息，有关于单位总体收支情况企业总体经营情况的财务数据，有涉及企业经营方向客户情况的详实客户信息，有反映企业实时经营情况的交易数据，有统计各部门、各项事务的各种收益报表等。这些结构化数据对于政府、银行、大型企事业单位而言，一方面是关乎国计民生的敏感数据，另一方面是关乎政府声誉、企业生存发展的核心数据。

       敏感数据的使用之道

       在应用这些数据时，主要分为前台业务人员的使用和后台维护人员的使用。

       【业务人员的使用】业务人员一般是通过登录业务系统直接对这些数据进行相关操作。数据通过浏览器展现在页面上，业务人员可以直接通过业务系统的各项功能对其进行计算、整合、统计等操作，同时可通过截屏、导出、另存为、打印等功能把数据落地到本地电脑上或者纸质文件。

       【维护人员的使用】系统维护人员可以直接通过后台进入业务系统对页面数据进行导入导出操作，或者直接进入数据库对相关重要数据进行导入导出操作。

       根据以上分析，无论是业务人员还是维护人员，都有可能进行敏感数据的导出并明文存储。而这些明文的使用、流转、存储都不可控。由此我们得出结论：无论是业务人员还是维护人员，他们的操作都可能会造成敏感数据的泄露。那么如何构建完善的数据防泄露体系以防范业务人员、维护人员正常操作造成敏感数据泄露的隐患呢？下面就让信息安全领域的专家山丽网安来为您具体分析一下吧。

       数据防泄漏已经上升到国家高度

       国家从法律法规方面给敏感数据泄露制定了政策上的规定。有全国人大制定的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，有工信部制定的《电信和互联网用户个人信息保护规定(征求意见稿)》。另外各大型企事业单位也对内制定了相应的管理条文。那从技术手段该如何着手呢？首先，我们可对业务系统进行一些简单改造。使其在显示关键字段时可以用星号替代某些关键信息。比如身份证号可隐藏中间出身年月，姓名可隐藏最后一个汉字。有效防止信息被整体拷贝。其次，要制定非常严格的数据库访问规章制度，维护人员必须进行严格的数据库操作记录登记。还有就是可采取堡垒主机等技术手段隔绝维护人员直接操作数据库，避免对数据库的直接操作。当然，这些措施只是一些常规的堵漏措施，要想完全实现敏感数据的防泄露，我们还要更具体的措施，那就是从技术上实现对每个人、对每个文件进行管控。

       系统化的管理构建完整的数据防泄漏体系

       在国家层面的指导意见和法规的促进下，企业也必须积极利用现有的安全软件构筑符合企业特色的数据防泄漏体系，因为只有这样针对不同企业产生的防护效果才是最好的。而在这之前搭建可操作的平台是第一步。而这之后就需要进行按部就班的安全体系建设，主要的步骤有以下几个。

       1、策略的设置

       在平台建设成后，针对单位人员的部门、职位、角色等信息对其进行权限设置，管控不同人员对加密文件的操作权限。可提供的管控权限有阅读、编辑、复制、打印、截屏、分发、离线、外发、解密等。业务人员每台终端电脑安装有客户端程序，当其打开电脑登录后，相应的权限信息会自动从后台同步至客户端。而这些多样的功能通过山丽防水墙多样的功能模块就能实现。

       2、针对业务人员操作管控

       对不同人员赋予或禁止其对页面进行复制、截屏、另存为、打印等操作的权限。对有相关权限的人员，可在显示时进行管控：如强制加入屏幕水印(水印信息可显示操作人、操作时间、部门名称、职位信息、IP地址等)，以震慑其进行拍照等行为。可在打印时进行管控：如打印纸质文件强制加入打印水印(水印信息同上)，以达到“涉密信息纸质文件可知道从哪儿来”的效果。

       而在涉密防护方面，由于现代数据安全的多样危机和多样防护需求，采用灵活的加密技术日益成为主流，而在众多加密技术中，能同时表现灵活和高质量加密效果的非多模加密技术莫属。

       多模加密技术采用对称算法和非对称算法相结合的技术，在确保了数据本源防护质量的同时，其多模特性可以让用户自由地选择加密模式，从而能灵活应对的各种加密需求和安全环境。而作为这项技术的典型使用代表，山丽防水墙的多模加密功能模块更是能针对企业不同的需求产生不同的防护效果，达到最具针对性的涉密文件安全防护。

       3、针对维护人员操作管控

       对于维护人员，除了相同的涉密加密防护之外，对于日志的审计也是相当重要的。而防水墙在使用过程中，对于任何的安全操作行为都会有日志记录并进行审计，从而大大降低了维护人员“监守自盗”的可能性。

       4、内部信息交流需要严格密级划分

       对于单位内部的信息交流，首先对工作人员可按职位不同设置不同的密级，共享的文档也同时按密级进行上传加密。不同密级的人员只能从共享文档库查看到等密级或者低密级的密文，而无法查看到比自己密级高的密文。达到高密级密文不会流转到低密级人员的效果。同时不同工作人员对于密文的操作权限可根据策略进行实时匹配。而这一次通过山丽防水墙的文件密级功能模块就能完美实现。

       5、操作审计

       无论是业务人员还是维护人员，他们对密文的操作会实时记录为日志文件，并通过实时或定时方式从客户端上传至服务端。供审计人员对密文的操作行为进行审计。若相关人员是在离线状态下操作，客户端会根据操作人员的离线策略管控其对密文的操作，同时实时记录其操作为日志文档，当其联网后，客户端会将离线状态下的操作日志上传至服务端。平台可根据这些日志信息形成灵活详细的统计报表，以供相关人员进行多方位的审计操作。

       除了以上5个主要的安全防护手段之外，想要更具有企业特性或者说更具针对性的防护措施，就需要从企业安全防护的特有需求出发，配合防水墙多模块的特点，必定能打造出适合于不同企业的、具有企业特色的数据防泄漏体系。

       随着信息技术和互联网的进一步发展，会有更多的敏感信息产生，同时这些敏感信息也会深入到更多的层面，包括个人、企业甚至是政府机构，想要保证这些多样且防护需求各有不同的数据的安全，那就需要采用灵活且具有针对性的加密软件进行防护！