《企業(yè)網(wǎng)D1Net》1月15日訊

在當(dāng)前的安全領(lǐng)域，數(shù)據(jù)已經(jīng)充斥著各行各業(yè)，數(shù)據(jù)的影響無處不在，其中，敏感數(shù)據(jù)也已經(jīng)成為非常不安定的因素之一，隨著信息化的發(fā)展，產(chǎn)生了越來越多的電子信息。這些電子信息可分為結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù)。

敏感數(shù)據(jù)來源

非結(jié)構(gòu)化數(shù)據(jù)即我們?nèi)粘Ｉ钪薪?jīng)常遇到的電子文檔、圖片、圖像、音頻、視頻等。結(jié)構(gòu)化數(shù)據(jù)又稱為行數(shù)據(jù)，即存儲(chǔ)在數(shù)據(jù)庫里，可以用二維表結(jié)構(gòu)來邏輯表達(dá)實(shí)現(xiàn)的數(shù)據(jù)。信息社會(huì)，結(jié)構(gòu)化數(shù)據(jù)大量存在于政府部門、商業(yè)銀行、電信運(yùn)營商、大型企事業(yè)單位等機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)內(nèi)部。具體而言，有記錄國家機(jī)密的涉密信息，有存儲(chǔ)單位內(nèi)部人事情況的人員信息，有關(guān)于單位總體收支情況企業(yè)總體經(jīng)營情況的財(cái)務(wù)數(shù)據(jù)，有涉及企業(yè)經(jīng)營方向客戶情況的詳實(shí)客戶信息，有反映企業(yè)實(shí)時(shí)經(jīng)營情況的交易數(shù)據(jù)，有統(tǒng)計(jì)各部門、各項(xiàng)事務(wù)的各種收益報(bào)表等。這些結(jié)構(gòu)化數(shù)據(jù)對(duì)于政府、銀行、大型企事業(yè)單位而言，從一方面而言是關(guān)乎國計(jì)民生的敏感數(shù)據(jù)，從另一方面而言是關(guān)乎政府聲譽(yù)、企業(yè)生存發(fā)展的核心數(shù)據(jù)。

敏感數(shù)據(jù)使用

在應(yīng)用這些數(shù)據(jù)時(shí)，主要分為前臺(tái)業(yè)務(wù)人員的使用和后臺(tái)維護(hù)人員的使用。

1) 業(yè)務(wù)人員的使用

業(yè)務(wù)人員一般是通過登錄業(yè)務(wù)系統(tǒng)直接對(duì)這些數(shù)據(jù)進(jìn)行相關(guān)操作。數(shù)據(jù)通過瀏覽器展現(xiàn)在頁面上，業(yè)務(wù)人員可以直接通過業(yè)務(wù)系統(tǒng)的各項(xiàng)功能對(duì)其進(jìn)行計(jì)算、整合、統(tǒng)計(jì)等操作，同時(shí)可通過截屏、導(dǎo)出、另存為、打印等功能把數(shù)據(jù)落地到本地電腦上或者紙質(zhì)文件。

2) 維護(hù)人員的使用

系統(tǒng)維護(hù)人員可以直接通過后臺(tái)進(jìn)入業(yè)務(wù)系統(tǒng)對(duì)頁面數(shù)據(jù)進(jìn)行導(dǎo)入導(dǎo)出操作，或者直接進(jìn)入數(shù)據(jù)庫對(duì)相關(guān)重要數(shù)據(jù)進(jìn)行導(dǎo)入導(dǎo)出操作。

根據(jù)以上分析，無論是業(yè)務(wù)人員還是維護(hù)人員，都有可能進(jìn)行敏感數(shù)據(jù)的導(dǎo)出并明文存儲(chǔ)。而這些明文的使用、流轉(zhuǎn)、存儲(chǔ)都不可控。由此我們得出結(jié)論：無論是業(yè)務(wù)人員還是維護(hù)人員，他們的操作都可能會(huì)造成敏感數(shù)據(jù)的泄露。那么如何構(gòu)建完善的數(shù)據(jù)防泄露體系以防范業(yè)務(wù)人員、維護(hù)人員正常操作造成敏感數(shù)據(jù)泄露的隱患呢?

敏感數(shù)據(jù)防泄露

國家從法律法規(guī)方面給敏感數(shù)據(jù)泄露制定了政策上的規(guī)定。有全國人大制定的《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，有工信部制定的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定(征求意見稿)》。另外各大型企事業(yè)單位也對(duì)內(nèi)制定了相應(yīng)的管理?xiàng)l文。那從技術(shù)手段該如何著手呢?首先，我們可對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行一些簡單改造。使其在顯示關(guān)鍵字段時(shí)可以用星號(hào)替代某些關(guān)鍵信息。比如身份證號(hào)可隱藏中間出身年月，姓名可隱藏最后一個(gè)漢字。有效防止信息被整體拷貝。其次，要制定非常嚴(yán)格的數(shù)據(jù)庫訪問規(guī)章制度，維護(hù)人員必須進(jìn)行嚴(yán)格的數(shù)據(jù)庫操作記錄登記。還有就是可采取堡壘主機(jī)等技術(shù)手段隔絕維護(hù)人員直接操作數(shù)據(jù)庫，避免對(duì)數(shù)據(jù)庫的直接操作。當(dāng)然，這些措施只是一些常規(guī)的堵漏措施，要想完全實(shí)現(xiàn)敏感數(shù)據(jù)的防泄露，我們還要更具體的措施，那就是從技術(shù)上實(shí)現(xiàn)對(duì)每個(gè)人、對(duì)每個(gè)文件進(jìn)行管控。

電子文檔安全加密平臺(tái)建設(shè)

針對(duì)敏感數(shù)據(jù)，時(shí)代億信構(gòu)建了電子文檔安全加密平臺(tái)，與各業(yè)務(wù)系統(tǒng)進(jìn)行高度集成，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)落地加密。

1) 權(quán)限策略制定

該平臺(tái)建設(shè)成后，可從后臺(tái)針對(duì)單位人員的部門、職位、角色等信息對(duì)其進(jìn)行權(quán)限設(shè)置，管控不同人員對(duì)加密文件的操作權(quán)限?？商峁┑墓芸貦?quán)限有閱讀、編輯、復(fù)制、打印、截屏、分發(fā)、離線、外發(fā)、解密等。業(yè)務(wù)人員每臺(tái)終端電腦安裝有客戶端程序，當(dāng)其打開電腦登錄后，相應(yīng)的權(quán)限信息會(huì)自動(dòng)從后臺(tái)同步至客戶端。

2) 業(yè)務(wù)人員操作管控

對(duì)業(yè)務(wù)人員而言，該平臺(tái)能提供相關(guān)接口，與業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)集成。

可實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)訪問頁面的管控

平臺(tái)可對(duì)不同人員賦予或禁止其對(duì)頁面進(jìn)行復(fù)制、截屏、另存為、打印等操作的權(quán)限。對(duì)有相關(guān)權(quán)限的人員，可在顯示時(shí)進(jìn)行管控：如強(qiáng)制加入屏幕水印(水印信息可顯示操作人、操作時(shí)間、部門名稱、職位信息、IP地址等)，以震懾其進(jìn)行拍照等行為?？稍诖蛴r(shí)進(jìn)行管控：如打印紙質(zhì)文件強(qiáng)制加入打印水印(水印信息同上)，以達(dá)到“涉密信息紙質(zhì)文件可知道從哪兒來”的效果。

D1Net評(píng)論：

作為安全領(lǐng)域的不安定因素，敏感數(shù)據(jù)的威脅不容忽視，從敏感數(shù)據(jù)的來源，使用和防范方面來看，敏感數(shù)據(jù)防泄露是非常關(guān)鍵的，然而，敏感數(shù)據(jù)也具有兩面性，將敏感數(shù)據(jù)轉(zhuǎn)化為可利用的數(shù)據(jù)，也是值得研究的課題。