近日，在中國計算機學(xué)會抗惡劣環(huán)境計算機專業(yè)委員會指導(dǎo)下，由中國電子科技集團公司第十五研究所（信息產(chǎn)業(yè)信息安全測評中心）、安全牛和谷安研究院聯(lián)合發(fā)起編制的《數(shù)據(jù)防泄露（DLP）選型指南》報告（以下簡稱為“報告”）正式發(fā)布。

本次報告得到了來自多家大型大型企業(yè)（機構(gòu)）的安全技術(shù)專家，和聯(lián)軟科技在內(nèi)的八家國內(nèi)DLP技術(shù)代表性廠商的大力協(xié)助與支持。在線上會議中，聯(lián)軟科技DLP解決方案專家分享了《企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)實踐》。

1企業(yè)數(shù)據(jù)安全目標(biāo)

企業(yè)的數(shù)據(jù)安全不僅僅是技術(shù)落地的問題，更重要的是法律合規(guī)問題。企業(yè)在做數(shù)據(jù)安全實踐過程中，一定要制定企業(yè)的數(shù)據(jù)安全目標(biāo)：

數(shù)據(jù)合規(guī)管理

企業(yè)希望構(gòu)建自己的數(shù)據(jù)合規(guī)管理體系，設(shè)置專門的數(shù)據(jù)合規(guī)管理部門，并能針對數(shù)據(jù)來源的合法性制定并不斷完善數(shù)據(jù)合規(guī)計劃，消除內(nèi)部的管理盲區(qū)。

數(shù)據(jù)分析識別與處理

企業(yè)希望能夠通過現(xiàn)有的數(shù)據(jù)分析進(jìn)行合規(guī)風(fēng)險識別以及提高自身的應(yīng)對能力，規(guī)范技術(shù)匯報審批流程，建立技術(shù)應(yīng)用相關(guān)的合規(guī)評估制度，避免技術(shù)濫用，影響業(yè)務(wù)效率。

數(shù)據(jù)合規(guī)運行與保障

企業(yè)能夠持續(xù)化的數(shù)據(jù)合規(guī)運行，建立數(shù)據(jù)合規(guī)咨詢機制與數(shù)據(jù)不合規(guī)的發(fā)現(xiàn)機制，建立數(shù)據(jù)分類分級管理制度以及員工數(shù)據(jù)安全管理制度，填補過去的制度空白。最終通過管理、技術(shù)制度等方面進(jìn)行自查整改以及第三方的監(jiān)估監(jiān)督和評估，達(dá)到數(shù)據(jù)合規(guī)整改工作有效落實。

2、五步措施保護企業(yè)數(shù)據(jù)安全

聯(lián)軟科技對于該企業(yè)的數(shù)據(jù)安全實踐過程中，主要分五大步：

第一：風(fēng)險識別

針對現(xiàn)有的情況進(jìn)行數(shù)據(jù)現(xiàn)狀的風(fēng)險評估，確定企業(yè)相關(guān)的風(fēng)險狀況和風(fēng)險等級，提供相應(yīng)的解決方案。

第二步：建立企業(yè)的數(shù)據(jù)安全合規(guī)組織

提出相關(guān)的合規(guī)要求和人員管理，調(diào)動各部門能夠共同促進(jìn)數(shù)據(jù)安全工作。

第三步：建立健全相關(guān)的數(shù)據(jù)安全合規(guī)制度

在企業(yè)中都會有非常多信息安全管理制度或網(wǎng)絡(luò)安全管理制度，但是數(shù)據(jù)安全管理制度相對還是比較欠缺的。

第四步：安全培訓(xùn)

進(jìn)行安全宣傳教育，并且能夠聽從各個部門的安全建議，以安全促進(jìn)業(yè)務(wù)發(fā)展為核心目標(biāo)，然后對員工能夠有效的宣貫，知道安全是一種保護和促進(jìn)，而并非像過去的一刀切管控。

第五步：通過 DLP 產(chǎn)品進(jìn)行相關(guān)的技術(shù)防護

讓各個部門能夠發(fā)現(xiàn)現(xiàn)存的數(shù)據(jù)安全風(fēng)險，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄露風(fēng)險或者數(shù)據(jù)不穩(wěn)定風(fēng)險，最終達(dá)到平衡業(yè)務(wù)與安全的效果。

3、具體實踐過程

>>>>確定各部門協(xié)同工作

聯(lián)軟科技在企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)實踐中，主要是成立了數(shù)據(jù)安全部門之后，通過兩件事情作為出發(fā)點來協(xié)同各部門進(jìn)行相關(guān)的數(shù)據(jù)安全工作。第一制度審核與宣貫，第二是DLP系統(tǒng)測試，最后由這個風(fēng)險與審計相關(guān)的部門進(jìn)行風(fēng)險識別。

>>>>數(shù)據(jù)安全現(xiàn)狀調(diào)研

數(shù)據(jù)風(fēng)險防泄密的第一個重要的工作就是數(shù)據(jù)安全現(xiàn)狀調(diào)研。聯(lián)軟科技對于數(shù)據(jù)安全現(xiàn)狀調(diào)研做過非常多的成功示例，在本項目中有2個關(guān)鍵點：

第一，按各個業(yè)務(wù)部門進(jìn)行相互調(diào)研。

第二，調(diào)研的過程中是安全意識宣貫和培訓(xùn)的過程，讓員工對于數(shù)據(jù)安全重視起來。

>>>>數(shù)據(jù)安全合規(guī)評估

在針對企業(yè)數(shù)據(jù)調(diào)研之后，聯(lián)軟科技做了兩個評估，第一個是數(shù)據(jù)安全合規(guī)評估，按照行業(yè)相關(guān)標(biāo)準(zhǔn)把數(shù)據(jù)安全評估域分成了數(shù)據(jù)安全管理、數(shù)據(jù)安全保護、數(shù)據(jù)安全運維三大這個評估域；第二個數(shù)據(jù)安全能力評估，依據(jù)國標(biāo)委的數(shù)據(jù)成熟能力度評估后進(jìn)行一個量化評分。

>>>>建立企業(yè)數(shù)據(jù)安全風(fēng)險等級

通過參考行業(yè)標(biāo)準(zhǔn)，結(jié)合調(diào)研過程中對信息系統(tǒng)以及企業(yè)本身的數(shù)據(jù)使用情況進(jìn)行修正，最終建立企業(yè)自身的數(shù)據(jù)分類分級參考標(biāo)準(zhǔn)，由各個部門一起梳理系統(tǒng)權(quán)限和數(shù)據(jù)資產(chǎn)，并且定期清查，這樣能夠持續(xù)地進(jìn)行更新。在企業(yè)梳理完數(shù)據(jù)安全風(fēng)險等級之后，總共分了 5 級，從外到內(nèi)這幾個維度去建立風(fēng)險等級，搭建底線框架。

>>>>上線DLP系統(tǒng)

DLP 系統(tǒng)在使用過程中是一個非常重要的點，建立以數(shù)據(jù)為資產(chǎn)、以人員為核心的管理、技術(shù)、運營三大體系。依靠現(xiàn)有企業(yè)中的一部分?jǐn)?shù)據(jù)治理成果，加上調(diào)研樣本形成了相關(guān)策略，通過 DLP 產(chǎn)品能夠以各種屬性的規(guī)則或者內(nèi)容的規(guī)則去進(jìn)行識別。

聯(lián)軟科技通過結(jié)合業(yè)務(wù)場景進(jìn)行了掃描與控制的措施，例如安全隔離、加密存儲、水印、外發(fā)管控錄像、追溯取證等等，結(jié)合相關(guān)的教育培訓(xùn)、震懾告警以及誘捕陷阱等，最終達(dá)到持續(xù)化的安全運營，可視化企業(yè)的數(shù)據(jù)安全能力變化及風(fēng)險識別。

聯(lián)軟科技從數(shù)據(jù)安全法律法規(guī)的要求出發(fā)，以企業(yè)數(shù)據(jù)安全的目標(biāo)入手，探索了包括風(fēng)險識別、組織建立、制度健全、安全培訓(xùn)和技術(shù)防護等在內(nèi)的DLP應(yīng)用框架和良好實踐，能夠為企業(yè)提供體系化的DLP防護技術(shù)服務(wù)。同時為了促進(jìn)跨機構(gòu)間的數(shù)據(jù)合作，聯(lián)軟不斷積極探索更多的數(shù)據(jù)安全新興技術(shù)，減輕數(shù)據(jù)安全管理員的工作量，幫助企業(yè)實現(xiàn)數(shù)據(jù)的精細(xì)化識別管理。

（該資訊首發(fā)于2022-06-08 ）