近日，在中國(guó)計(jì)算機(jī)學(xué)會(huì)抗惡劣環(huán)境計(jì)算機(jī)專(zhuān)業(yè)委員會(huì)指導(dǎo)下，由中國(guó)電子科技集團(tuán)公司第十五研究所（信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心）、安全牛和谷安研究院聯(lián)合發(fā)起編制的《數(shù)據(jù)防泄露（DLP）選型指南》報(bào)告（以下簡(jiǎn)稱(chēng)為“報(bào)告”）正式發(fā)布。

本次報(bào)告得到了來(lái)自多家大型大型企業(yè)（機(jī)構(gòu)）的安全技術(shù)專(zhuān)家，和聯(lián)軟科技在內(nèi)的八家國(guó)內(nèi)DLP技術(shù)代表性廠商的大力協(xié)助與支持。在線上會(huì)議中，聯(lián)軟科技DLP解決方案專(zhuān)家分享了《企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)實(shí)踐》。

1企業(yè)數(shù)據(jù)安全目標(biāo)

企業(yè)的數(shù)據(jù)安全不僅僅是技術(shù)落地的問(wèn)題，更重要的是法律合規(guī)問(wèn)題。企業(yè)在做數(shù)據(jù)安全實(shí)踐過(guò)程中，一定要制定企業(yè)的數(shù)據(jù)安全目標(biāo)：

數(shù)據(jù)合規(guī)管理

企業(yè)希望構(gòu)建自己的數(shù)據(jù)合規(guī)管理體系，設(shè)置專(zhuān)門(mén)的數(shù)據(jù)合規(guī)管理部門(mén)，并能針對(duì)數(shù)據(jù)來(lái)源的合法性制定并不斷完善數(shù)據(jù)合規(guī)計(jì)劃，消除內(nèi)部的管理盲區(qū)。

數(shù)據(jù)分析識(shí)別與處理

企業(yè)希望能夠通過(guò)現(xiàn)有的數(shù)據(jù)分析進(jìn)行合規(guī)風(fēng)險(xiǎn)識(shí)別以及提高自身的應(yīng)對(duì)能力，規(guī)范技術(shù)匯報(bào)審批流程，建立技術(shù)應(yīng)用相關(guān)的合規(guī)評(píng)估制度，避免技術(shù)濫用，影響業(yè)務(wù)效率。

數(shù)據(jù)合規(guī)運(yùn)行與保障

企業(yè)能夠持續(xù)化的數(shù)據(jù)合規(guī)運(yùn)行，建立數(shù)據(jù)合規(guī)咨詢(xún)機(jī)制與數(shù)據(jù)不合規(guī)的發(fā)現(xiàn)機(jī)制，建立數(shù)據(jù)分類(lèi)分級(jí)管理制度以及員工數(shù)據(jù)安全管理制度，填補(bǔ)過(guò)去的制度空白。最終通過(guò)管理、技術(shù)制度等方面進(jìn)行自查整改以及第三方的監(jiān)估監(jiān)督和評(píng)估，達(dá)到數(shù)據(jù)合規(guī)整改工作有效落實(shí)。

2、五步措施保護(hù)企業(yè)數(shù)據(jù)安全

聯(lián)軟科技對(duì)于該企業(yè)的數(shù)據(jù)安全實(shí)踐過(guò)程中，主要分五大步：

第一：風(fēng)險(xiǎn)識(shí)別

針對(duì)現(xiàn)有的情況進(jìn)行數(shù)據(jù)現(xiàn)狀的風(fēng)險(xiǎn)評(píng)估，確定企業(yè)相關(guān)的風(fēng)險(xiǎn)狀況和風(fēng)險(xiǎn)等級(jí)，提供相應(yīng)的解決方案。

第二步：建立企業(yè)的數(shù)據(jù)安全合規(guī)組織

提出相關(guān)的合規(guī)要求和人員管理，調(diào)動(dòng)各部門(mén)能夠共同促進(jìn)數(shù)據(jù)安全工作。

第三步：建立健全相關(guān)的數(shù)據(jù)安全合規(guī)制度

在企業(yè)中都會(huì)有非常多信息安全管理制度或網(wǎng)絡(luò)安全管理制度，但是數(shù)據(jù)安全管理制度相對(duì)還是比較欠缺的。

第四步：安全培訓(xùn)

進(jìn)行安全宣傳教育，并且能夠聽(tīng)從各個(gè)部門(mén)的安全建議，以安全促進(jìn)業(yè)務(wù)發(fā)展為核心目標(biāo)，然后對(duì)員工能夠有效的宣貫，知道安全是一種保護(hù)和促進(jìn)，而并非像過(guò)去的一刀切管控。

第五步：通過(guò) DLP 產(chǎn)品進(jìn)行相關(guān)的技術(shù)防護(hù)

讓各個(gè)部門(mén)能夠發(fā)現(xiàn)現(xiàn)存的數(shù)據(jù)安全風(fēng)險(xiǎn)，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄露風(fēng)險(xiǎn)或者數(shù)據(jù)不穩(wěn)定風(fēng)險(xiǎn)，最終達(dá)到平衡業(yè)務(wù)與安全的效果。

3、具體實(shí)踐過(guò)程

>>>>確定各部門(mén)協(xié)同工作

聯(lián)軟科技在企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)實(shí)踐中，主要是成立了數(shù)據(jù)安全部門(mén)之后，通過(guò)兩件事情作為出發(fā)點(diǎn)來(lái)協(xié)同各部門(mén)進(jìn)行相關(guān)的數(shù)據(jù)安全工作。第一制度審核與宣貫，第二是DLP系統(tǒng)測(cè)試，最后由這個(gè)風(fēng)險(xiǎn)與審計(jì)相關(guān)的部門(mén)進(jìn)行風(fēng)險(xiǎn)識(shí)別。

>>>>數(shù)據(jù)安全現(xiàn)狀調(diào)研

數(shù)據(jù)風(fēng)險(xiǎn)防泄密的第一個(gè)重要的工作就是數(shù)據(jù)安全現(xiàn)狀調(diào)研。聯(lián)軟科技對(duì)于數(shù)據(jù)安全現(xiàn)狀調(diào)研做過(guò)非常多的成功示例，在本項(xiàng)目中有2個(gè)關(guān)鍵點(diǎn)：

第一，按各個(gè)業(yè)務(wù)部門(mén)進(jìn)行相互調(diào)研。

第二，調(diào)研的過(guò)程中是安全意識(shí)宣貫和培訓(xùn)的過(guò)程，讓員工對(duì)于數(shù)據(jù)安全重視起來(lái)。

>>>>數(shù)據(jù)安全合規(guī)評(píng)估

在針對(duì)企業(yè)數(shù)據(jù)調(diào)研之后，聯(lián)軟科技做了兩個(gè)評(píng)估，第一個(gè)是數(shù)據(jù)安全合規(guī)評(píng)估，按照行業(yè)相關(guān)標(biāo)準(zhǔn)把數(shù)據(jù)安全評(píng)估域分成了數(shù)據(jù)安全管理、數(shù)據(jù)安全保護(hù)、數(shù)據(jù)安全運(yùn)維三大這個(gè)評(píng)估域；第二個(gè)數(shù)據(jù)安全能力評(píng)估，依據(jù)國(guó)標(biāo)委的數(shù)據(jù)成熟能力度評(píng)估后進(jìn)行一個(gè)量化評(píng)分。

>>>>建立企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)

通過(guò)參考行業(yè)標(biāo)準(zhǔn)，結(jié)合調(diào)研過(guò)程中對(duì)信息系統(tǒng)以及企業(yè)本身的數(shù)據(jù)使用情況進(jìn)行修正，最終建立企業(yè)自身的數(shù)據(jù)分類(lèi)分級(jí)參考標(biāo)準(zhǔn)，由各個(gè)部門(mén)一起梳理系統(tǒng)權(quán)限和數(shù)據(jù)資產(chǎn)，并且定期清查，這樣能夠持續(xù)地進(jìn)行更新。在企業(yè)梳理完數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)之后，總共分了 5 級(jí)，從外到內(nèi)這幾個(gè)維度去建立風(fēng)險(xiǎn)等級(jí)，搭建底線框架。

>>>>上線DLP系統(tǒng)

DLP 系統(tǒng)在使用過(guò)程中是一個(gè)非常重要的點(diǎn)，建立以數(shù)據(jù)為資產(chǎn)、以人員為核心的管理、技術(shù)、運(yùn)營(yíng)三大體系。依靠現(xiàn)有企業(yè)中的一部分?jǐn)?shù)據(jù)治理成果，加上調(diào)研樣本形成了相關(guān)策略，通過(guò) DLP 產(chǎn)品能夠以各種屬性的規(guī)則或者內(nèi)容的規(guī)則去進(jìn)行識(shí)別。

聯(lián)軟科技通過(guò)結(jié)合業(yè)務(wù)場(chǎng)景進(jìn)行了掃描與控制的措施，例如安全隔離、加密存儲(chǔ)、水印、外發(fā)管控錄像、追溯取證等等，結(jié)合相關(guān)的教育培訓(xùn)、震懾告警以及誘捕陷阱等，最終達(dá)到持續(xù)化的安全運(yùn)營(yíng)，可視化企業(yè)的數(shù)據(jù)安全能力變化及風(fēng)險(xiǎn)識(shí)別。

聯(lián)軟科技從數(shù)據(jù)安全法律法規(guī)的要求出發(fā)，以企業(yè)數(shù)據(jù)安全的目標(biāo)入手，探索了包括風(fēng)險(xiǎn)識(shí)別、組織建立、制度健全、安全培訓(xùn)和技術(shù)防護(hù)等在內(nèi)的DLP應(yīng)用框架和良好實(shí)踐，能夠?yàn)槠髽I(yè)提供體系化的DLP防護(hù)技術(shù)服務(wù)。同時(shí)為了促進(jìn)跨機(jī)構(gòu)間的數(shù)據(jù)合作，聯(lián)軟不斷積極探索更多的數(shù)據(jù)安全新興技術(shù)，減輕數(shù)據(jù)安全管理員的工作量，幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)的精細(xì)化識(shí)別管理。

（該資訊首發(fā)于2022-06-08 ）