加密敏感信息 构筑企业数据防泄漏安全之盾.docVIP

加密敏感信息 构筑企业数据防泄漏的安全之盾 数据，一个信息时代经常被提起的名词。随着信息技术和互联网的发展，数据的种类也变得越来越多，但是有一种数据，不管它的种类和呈现形式怎么改变，它的防护需求永远是最大的，它就是敏感数据。 何谓敏感数据？ 随着信息化的发展，产生了越来越多的电子信息。这些电子信息可分为结构化数据与非结构化数据。非结构化数据即我们日常生活中经常遇到的电子文档、图片、图像、音频、视频等。结构化数据又称为行数据，即存储在数据库里，可以用二维表结构来逻辑表达实现的数据。信息社会，结构化数据大量存在于政府部门、商业银行、电信运营商、大型企事业单位等机构的业务系统内部。具体而言，有记录国家机密的涉密信息，有存储单位内部人事情况的人员信息，有关于单位总体收支情况企业总体经营情况的财务数据，有涉及企业经营方向客户情况的详实客户信息，有反映企业实时经营情况的交易数据，有统计各部门、各项事务的各种收益报表等。这些结构化数据对于政府、银行、大型企事业单位而言，一方面是关乎国计民生的敏感数据，另一方面是关乎政府声誉、企业生存发展的核心数据。 敏感数据的使用之道 在应用这些数据时，主要分为前台业务人员的使用和后台维护人员的使用。 【业务人员的使用】业务人员一般是通过登录业务系统直接对这些数据进行相关操作。数据通过浏览器展现在页面上，业务人员可以直接通过业务系统的各项功能对其进行计算、整合、统计等操作，同时可通过截屏、导出、另存为、打印等功能把数据落地到本地电脑上或者纸质文件。 【维护人员的使用】系统维护人员可以直接通过后台进入业务系统对页面数据进行导入导出操作，或者直接进入数据库对相关重要数据进行导入导出操作。 根据以上分析，无论是业务人员还是维护人员，都有可能进行敏感数据的导出并明文存储。而这些明文的使用、流转、存储都不可控。由此我们得出结论：无论是业务人员还是维护人员，他们的操作都可能会造成敏感数据的泄露。那么如何构建完善的数据防泄露体系以防范业务人员、维护人员??常操作造成敏感数据泄露的隐患呢？下面就让信息安全领域的专家山丽网安来为您具体分析一下吧。 数据防泄漏已经上升到国家高度 国家从法律法规方面给敏感数据泄露制定了政策上的规定。有全国人大制定的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，有工信部制定的《电信和互联网用户个人信息保护规定(征求意见稿)》。另外各大型企事业单位也对内制定了相应的管理条文。那从技术手段该如何着手呢？首先，我们可对业务系统进行一些简单改造。使其在显示关键字段时可以用星号替代某些关键信息。比如身份证号可隐藏中间出身年月，姓名可隐藏最后一个汉字。有效防止信息被整体拷贝。其次，要制定非常严格的数据库访问规章制度，维护人员必须进行严格的数据库操作记录登记。还有就是可采取堡垒主机等技术手段隔绝维护人员直接操作数据库，避免对数据库的直接操作。当然，这些措施只是一些常规的堵漏措施，要想完全实现敏感数据的防泄露，我们还要更具体的措施，那就是从技术上实现对每个人、对每个文件进行管控。 系统化的管理构建完整的数据防泄漏体系 在国家层面的指导意见和法规的促进下，企业也必须积极利用现有的安全软件构筑符合企业特色的数据防泄漏体系，因为只有这样针对不同企业产生的防护效果才是最好的。而在这之前搭建可操作的平台是第一步。而这之后就需要进行按部就班的安全体系建设，主要的步骤有以下几个。 1、策略的设置 在平台建设成后，针对单位人员的部门、职位、角色等信息对其进行权限设置，管控不同人员对加密文件的操作权限。可提供的管控权限有阅读、编辑、复制、打印、截屏、分发、离线、外发、解密等。业务人员每台终端电脑安装有客户端程序，当其打开电脑登录后，相应的权限信息会自动从后台同步至客户端。而这些多样的功能通过山丽防水墙多样的功能模块就能实现。 2、针对业务人员操作管控 对不同人员赋予或禁止其对页面进行复制、截屏、另存为、打印等操作的权限。对有相关权限的人员，可在显示时进行管控：如强制加入屏幕水印(水印信息可显示操作人、操作时间、部门名称、职位信息、IP地址等)，以震慑其进行拍照等行为。可在打印时进行管控：如打印纸质文件强制加入打印水印(水印信息同上)，以达到“涉密信息纸质文件可知道从哪儿来”的效果。 而在涉密防护方面，由于现代数据安全的多样危机和多样防护需求，采用灵活的加密技术日益成为主流，而在众多加密技术中，能同时表现灵活和高质量加密效果的非多模加密技术莫属。 多模加密技术采用对称算法和非对称算法相结合的技术，在确保了数据本源防护质量的同时，其多模特性可以让用户自由地选择加密模式，从而能灵活应对的各种加密需求和安全环境。而作为这项技术的典型使用代表，山丽防水墙的多模加密功能模块更是能针对企业不同的需求产生不同的防护效果，达到最具针