EISS-2021企業(yè)信息安全峰會(huì)之上海站于11月19日?qǐng)A滿(mǎn)召開(kāi)，本次峰會(huì)約有300位的安全專(zhuān)家、安全從業(yè)者參加，安全運(yùn)營(yíng)、安全新技術(shù)、數(shù)據(jù)安全+云原生安全等專(zhuān)場(chǎng)精彩呈現(xiàn)，為與會(huì)者帶來(lái)更多具有實(shí)踐與借鑒意義的干貨分享。聯(lián)軟科技受邀出席，分享了《新形勢(shì)下，企業(yè)如何構(gòu)建數(shù)據(jù)安全防護(hù)體系》為主題的精彩內(nèi)容。

隨著企業(yè)數(shù)據(jù)化轉(zhuǎn)型，企業(yè)的網(wǎng)絡(luò)安全和業(yè)務(wù)環(huán)境都發(fā)生了很大變化，越來(lái)越多的企業(yè)在辦公方式上已邁入智能移動(dòng)辦公。業(yè)務(wù)應(yīng)用也慢慢走向云端，網(wǎng)絡(luò)邊界變得越來(lái)越模糊，業(yè)務(wù)場(chǎng)景變得越來(lái)越復(fù)雜。在這樣的現(xiàn)狀下，導(dǎo)致企業(yè)對(duì)數(shù)據(jù)的安全保護(hù)越來(lái)越困難。

根據(jù)數(shù)據(jù)安全的形勢(shì)來(lái)看，在嚴(yán)峻的數(shù)據(jù)泄露形勢(shì)下，隨著網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法的頒布，法律法規(guī)逐步健全。但從現(xiàn)實(shí)來(lái)看，有些企業(yè)雖然部署了傳統(tǒng)的防火墻、防毒墻、終端安全管理等安全措施，但如何發(fā)現(xiàn)識(shí)別敏感數(shù)據(jù)，如何做到安全與效率的平衡，如何提高員工薄弱的安全意識(shí)等問(wèn)題依然存在。

在各項(xiàng)安全現(xiàn)狀和政策驅(qū)動(dòng)下，企業(yè)數(shù)據(jù)安全體系該如何建設(shè)？

從數(shù)據(jù)安全建設(shè)視角來(lái)看，要以數(shù)據(jù)資產(chǎn)為基礎(chǔ)，從管理、技術(shù)、運(yùn)營(yíng)三個(gè)方面去建設(shè)，要關(guān)注基于人員相關(guān)的底線(xiàn)和紅線(xiàn)（備注：底線(xiàn)為企業(yè)最基本的安全基線(xiàn)，紅線(xiàn)為法律規(guī)定，企業(yè)人員要有很強(qiáng)底線(xiàn)思維和紅線(xiàn)意識(shí)）。

首先是管理體系，主要根據(jù)國(guó)家要求、行業(yè)監(jiān)管部門(mén)要求以及企業(yè)的現(xiàn)狀去建設(shè)，了解企業(yè)現(xiàn)狀，找出潛在的核心問(wèn)題和風(fēng)險(xiǎn)。再去制定總體的安全策略，確定組織架構(gòu)與職責(zé)、制定戰(zhàn)略目標(biāo)。最后圍繞從數(shù)據(jù)采集到銷(xiāo)毀的數(shù)據(jù)全生命周期去制定相關(guān)管理制度和實(shí)施細(xì)則。

聯(lián)軟數(shù)據(jù)的安全技術(shù)體系從數(shù)據(jù)梳理開(kāi)始，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，然后通過(guò)準(zhǔn)入控制、終端安全等基礎(chǔ)安全保護(hù)措施對(duì)終端進(jìn)行統(tǒng)一管控，保障終端自身能夠持續(xù)穩(wěn)定運(yùn)行；通過(guò)豐富全面的技術(shù)手段，對(duì)不同業(yè)務(wù)場(chǎng)景下的數(shù)據(jù)進(jìn)行靈活的保護(hù)；通過(guò)安全數(shù)據(jù)擺渡系統(tǒng)幫助企業(yè)建立安全可靠的跨網(wǎng)數(shù)據(jù)傳輸通道；針對(duì)移動(dòng)辦公場(chǎng)景下的數(shù)據(jù)保護(hù)，可基于零信任架構(gòu)的統(tǒng)一終端安全管理去解決。最后結(jié)合數(shù)據(jù)安全中臺(tái)，去做全網(wǎng)的數(shù)據(jù)分析和風(fēng)險(xiǎn)感知，從而為企業(yè)打造統(tǒng)一的數(shù)據(jù)安全管理中心、統(tǒng)一的安全策略管理中心、統(tǒng)一的端管云安全運(yùn)維中心。

隨著遠(yuǎn)程辦公、跨安全域辦公、互聯(lián)網(wǎng)隨時(shí)隨地辦公越來(lái)越普通，帶來(lái)便利的同時(shí)也增加了許多風(fēng)險(xiǎn)，在互聯(lián)網(wǎng)下，任何漏洞都會(huì)被黑客捕獲并無(wú)限放大，攻擊變得很容易，業(yè)務(wù)數(shù)據(jù)泄密的風(fēng)險(xiǎn)增加了。針對(duì)企業(yè)業(yè)務(wù)數(shù)據(jù)保護(hù)，聯(lián)軟以零信任理念為基礎(chǔ)、認(rèn)證授權(quán)體系為基石、業(yè)務(wù)安全為核心，實(shí)現(xiàn)安全和業(yè)務(wù)的統(tǒng)一。通過(guò)持續(xù)的信任評(píng)估、細(xì)粒度的安全訪問(wèn)控制手段、輕量級(jí)安全沙箱技術(shù)，提供按需、動(dòng)態(tài)的可信訪問(wèn)。在實(shí)現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)的基礎(chǔ)上，保障企業(yè)業(yè)務(wù)數(shù)據(jù)的安全可控。

對(duì)于企業(yè)來(lái)講，常見(jiàn)的數(shù)據(jù)安全技術(shù)手段很多，數(shù)據(jù)保護(hù)方案必須基于復(fù)雜多變的業(yè)務(wù)場(chǎng)景，需要在不同的網(wǎng)絡(luò)區(qū)域和應(yīng)用場(chǎng)景下采取不同的管控手段。在辦公區(qū)域主要部署終端DLP、加密、水印等；在網(wǎng)絡(luò)層部署網(wǎng)絡(luò)DLP、Web DLP及跨網(wǎng)數(shù)據(jù)交換平臺(tái)，針對(duì)外部接入就部署基于零信任架構(gòu)的SDP和EMM產(chǎn)品；服務(wù)器區(qū)主要就是內(nèi)容識(shí)別、數(shù)據(jù)庫(kù)審計(jì)和脫敏等。全面靈活的實(shí)施部署，使得企業(yè)的數(shù)據(jù)安全技術(shù)體系變得更加完善。

管控的技術(shù)手段很多，但如何高效的運(yùn)行也是需要企業(yè)去考慮的，最關(guān)鍵的是數(shù)據(jù)安全運(yùn)營(yíng)的指標(biāo)，作為運(yùn)營(yíng)者，即企業(yè)的IT科技部門(mén)可以通過(guò)大數(shù)據(jù)分析平臺(tái)，根據(jù)指標(biāo)結(jié)果情況反饋給業(yè)務(wù)部門(mén)，告知業(yè)務(wù)部門(mén)數(shù)據(jù)安全管理的能力達(dá)到的水平程度，是否達(dá)標(biāo)，還存在哪些風(fēng)險(xiǎn)問(wèn)題，解決這些問(wèn)題的過(guò)程就需要通過(guò)培訓(xùn)、核查、自查等去持續(xù)不斷的完善和優(yōu)化，從而保障數(shù)據(jù)的“長(zhǎng)治久安”。

聯(lián)軟數(shù)據(jù)安全防護(hù)體系的最佳實(shí)踐，首先是基于戰(zhàn)略體系規(guī)劃，確定了管理組織、制定了管理制度。企業(yè)在做數(shù)據(jù)治理的過(guò)程中及數(shù)據(jù)治理本身都會(huì)有數(shù)據(jù)分類(lèi)分級(jí)的依據(jù)，通過(guò)這些樣本去得到我們的規(guī)則，從而來(lái)建立策略，通過(guò)屬性和內(nèi)容的規(guī)則來(lái)定義敏感，發(fā)現(xiàn)敏感數(shù)據(jù)，了解敏感數(shù)據(jù)的分布情況，哪些敏感數(shù)據(jù)落在哪些終端上面，從而進(jìn)一步提供保護(hù)手段，針對(duì)不同的業(yè)務(wù)場(chǎng)景，采用不同的控制手段，去自動(dòng)發(fā)現(xiàn)數(shù)據(jù)泄露的風(fēng)險(xiǎn)；同時(shí)通過(guò)培訓(xùn)、水印等技術(shù)提高員工的安全意識(shí)。

數(shù)據(jù)安全建設(shè)是一個(gè)長(zhǎng)期的過(guò)程，不是一蹴而就的。需要從風(fēng)險(xiǎn)暴露面的終端出發(fā)，加強(qiáng)安全的運(yùn)營(yíng)，通過(guò)數(shù)據(jù)分析平臺(tái)的結(jié)果，不斷去提高運(yùn)營(yíng)指標(biāo)，完善數(shù)據(jù)安全體系建設(shè)。

展會(huì)現(xiàn)場(chǎng)