2021年9月17日，由嘉興首席信息官聯(lián)盟主辦的“數(shù)據(jù)之光 安全未來”嘉興CIO系列沙龍活動圓滿舉行，活動邀請了相關(guān)領(lǐng)域的專業(yè)服務(wù)商以及經(jīng)驗豐富的企業(yè)代表一起交流探討守護數(shù)據(jù)安全的經(jīng)驗和做法，為企業(yè)共同構(gòu)筑防御之墻。聯(lián)軟科技受邀出席活動，分享了聯(lián)軟在數(shù)據(jù)安全方面的實踐經(jīng)驗。

企業(yè)數(shù)據(jù)的商業(yè)價值高、戰(zhàn)略意義重大、日益成為黑客的重點攻擊對象，同時內(nèi)部泄密和外部入侵是數(shù)據(jù)泄露的主要因素。據(jù)相關(guān)數(shù)據(jù)顯示，2020-2021年平均數(shù)據(jù)泄露總成本將增長10%，過去七年最大增幅。

隨著《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護》2.0、《數(shù)據(jù)安全法》、《個人信息保護法》、《數(shù)據(jù)安全治理白皮書》等法規(guī)及指引文件相繼出臺和更新也表明了國家對數(shù)據(jù)安全要求進一步加強。

對于企業(yè)而言，勒索病毒、信息泄露的事件逐年增加，不斷為企業(yè)造成各類經(jīng)濟損失，導(dǎo)致公信力下降，企業(yè)管理者對內(nèi)部信息安全保護的要求和需求提高，并制定了相關(guān)管理制度。加上軟件廠商對企業(yè)的盜版打擊力度加強，企業(yè)要求管理者對內(nèi)部終端的軟件安裝情況實施掌握、禁止安裝違規(guī)未授權(quán)軟件加強管控。

但我們需要知道，信息安全不能以大幅度減低業(yè)務(wù)效率為代價，信息安全保護系統(tǒng)應(yīng)處于業(yè)務(wù)支撐的角色，企業(yè)業(yè)務(wù)對數(shù)據(jù)安全保護系統(tǒng)造成的效率影響提出了較高要求。

企業(yè)數(shù)據(jù)安全保護現(xiàn)狀及重點/難點

多人員終端接入網(wǎng)絡(luò)，問題多：員工、外包、伙伴、供應(yīng)商眾多角色， PC/移動終端、IoT終端各類型終端接入內(nèi)網(wǎng)，各種人員權(quán)限管理、終端問題IT管理員應(yīng)接不暇。

終端安全管理的問題表現(xiàn)在：終端安全基線不統(tǒng)一，終端軟件安裝標準不統(tǒng)一，終端運維工作繁瑣、復(fù)雜且人力有限。

部署多種管理系統(tǒng)：要做到整體的數(shù)據(jù)管控，需要部署準入、水印、DLP、防病毒等多種系統(tǒng)，系統(tǒng)負擔加重，管理費時費力。

核心數(shù)據(jù)繁多：包括生產(chǎn)數(shù)據(jù)應(yīng)用數(shù)據(jù)、辦公數(shù)據(jù)、財務(wù)數(shù)據(jù)、研發(fā)設(shè)計、開發(fā)測試、市場銷售、經(jīng)營管理、客戶數(shù)據(jù)……

數(shù)據(jù)和場景的復(fù)雜：場景復(fù)雜，數(shù)據(jù)在外包、數(shù)據(jù)操作崗、普通員工、外來人員等各類業(yè)務(wù)場景中，且數(shù)據(jù)復(fù)雜，在端點、外設(shè)、應(yīng)用、行為等都有數(shù)據(jù)產(chǎn)生和支撐。

構(gòu)建以人為中心的端點安全防護

安全不降低效率

全面、有效滿足網(wǎng)絡(luò)安全發(fā)展需求的防御架構(gòu)：切忌簡單產(chǎn)品堆砌，避免多個管控中心、多個Agent、多套流程管理，導(dǎo)致的重復(fù)建設(shè)、用戶抵觸、數(shù)據(jù)分散、管理復(fù)雜，提高安全防護能力且不降低用戶體驗。

重視安全規(guī)劃，頂層設(shè)計，分步建設(shè)

充分考慮終端類型多樣化、操作系統(tǒng)差異化、應(yīng)用類型復(fù)雜化，關(guān)注全網(wǎng)資產(chǎn)洞悉掌握資產(chǎn)變更 、事件響應(yīng)聚焦、 明確運營指標；完善基礎(chǔ)安全建設(shè)，準入控制是端點安全的基礎(chǔ)和關(guān)鍵；數(shù)據(jù)防泄露不能一刀切，必須以用戶為中心，基于場景化的數(shù)據(jù)安全保護才會成功。

數(shù)據(jù)安全意識

推動全員的數(shù)據(jù)安全意識，才能實現(xiàn)更好的安全防護。只要有機會，就對人們進行教育和培訓(xùn)，諸如避免釣魚郵件、檢測社會工程攻擊，采用基本保護措施以及報告垃圾郵件等。

企業(yè)數(shù)據(jù)安全方案探討

數(shù)據(jù)安全戰(zhàn)略的整體規(guī)劃包括數(shù)據(jù)、人員、流程、技術(shù)、規(guī)則等5部分，企業(yè)必須了解組件時如何單獨和共同工作，才能更好地形成數(shù)據(jù)保護制度。

數(shù)據(jù)安全更需整體規(guī)劃、逐步建設(shè)

?增強數(shù)據(jù)安全舉措和計劃的清晰度和結(jié)構(gòu)

?縮小企業(yè)數(shù)據(jù)安全規(guī)劃和執(zhí)行之間的差距

?提高管理層的認同和支持力度

?在包括數(shù)據(jù)主體在內(nèi)的各部門間實現(xiàn)精細化的參與和協(xié)調(diào)

?改善業(yè)務(wù)與數(shù)據(jù)安全戰(zhàn)略之間的戰(zhàn)略一致性

數(shù)據(jù)安全落地流程及交付

01

數(shù)據(jù)分級分類

結(jié)合企業(yè)自身實際情況，因地制宜，循序漸進，持續(xù)更新 。實現(xiàn)數(shù)據(jù)分級分類有2種方式：基于咨詢形式、基于合規(guī)性要求設(shè)計的內(nèi)置分類。

02

關(guān)注“數(shù)據(jù)流轉(zhuǎn)通道”

聯(lián)軟的產(chǎn)品和服務(wù)建設(shè)安全數(shù)據(jù)交換通道-實現(xiàn)全行去U盤，梳理數(shù)據(jù)流轉(zhuǎn)外發(fā)通道進行收斂。ZTNA解決離司終端接入安全問題。

03

數(shù)據(jù)資產(chǎn)識別，敏感數(shù)據(jù)識別

對終端存留敏感文件自查或抽查，同時具備敏感數(shù)據(jù)分布-分析報告，敏感數(shù)據(jù)監(jiān)控預(yù)警、數(shù)據(jù)泄密追溯取證、實現(xiàn)對數(shù)據(jù)流轉(zhuǎn)跟蹤等功能。

04

終端管控

基于端點側(cè)的豐富經(jīng)驗，聯(lián)軟的產(chǎn)品和方案可對互聯(lián)網(wǎng)接入的終端設(shè)備（PC、手機等）進行數(shù)據(jù)加密存儲，數(shù)據(jù)傳輸加密，業(yè)務(wù)鑒權(quán)訪問，做好終端安全基線管控，并可通過錄屏識別監(jiān)控審計。

05

安全能力中臺

聯(lián)軟安全能力中臺含有水印 APP 數(shù)據(jù)分析展示、終端一體化安全平臺提供等功能，為企業(yè)提供統(tǒng)一的安全能力標準。

數(shù)據(jù)安全對企業(yè)生存發(fā)展有著舉足輕重的影響，數(shù)據(jù)資產(chǎn)的外泄、破壞都會導(dǎo)致企業(yè)無可挽回的經(jīng)濟損失和核心競爭力缺失，而往往絕大多數(shù)中企業(yè)側(cè)重的是業(yè)務(wù)的快速發(fā)展，忽略了數(shù)據(jù)安全重要性。聯(lián)軟科技打造一體化數(shù)據(jù)安全防護方案，助力企業(yè)數(shù)據(jù)安全力量的建設(shè)。