近日，在中國計算機學(xué)會(huì )抗惡劣環(huán)境計算機專(zhuān)業(yè)委員會(huì )指導下，由中國電子科技集團公司第十五研究所（信息產(chǎn)業(yè)信息安全測評中心）、安全牛和谷安研究院聯(lián)合發(fā)起編制的《數據防泄露（DLP）選型指南》報告（以下簡(jiǎn)稱(chēng)為“報告”）正式發(fā)布。

本次報告得到了來(lái)自多家大型大型企業(yè)（機構）的安全技術(shù)專(zhuān)家，和聯(lián)軟科技在內的八家國內DLP技術(shù)代表性廠(chǎng)商的大力協(xié)助與支持。在線(xiàn)上會(huì )議中，聯(lián)軟科技DLP解決方案專(zhuān)家分享了《企業(yè)數據安全合規建設實(shí)踐》。

1企業(yè)數據安全目標

企業(yè)的數據安全不僅僅是技術(shù)落地的問(wèn)題，更重要的是法律合規問(wèn)題。企業(yè)在做數據安全實(shí)踐過(guò)程中，一定要制定企業(yè)的數據安全目標：

數據合規管理

企業(yè)希望構建自己的數據合規管理體系，設置專(zhuān)門(mén)的數據合規管理部門(mén)，并能針對數據來(lái)源的合法性制定并不斷完善數據合規計劃，消除內部的管理盲區。

數據分析識別與處理

企業(yè)希望能夠通過(guò)現有的數據分析進(jìn)行合規風(fēng)險識別以及提高自身的應對能力，規范技術(shù)匯報審批流程，建立技術(shù)應用相關(guān)的合規評估制度，避免技術(shù)濫用，影響業(yè)務(wù)效率。

數據合規運行與保障

企業(yè)能夠持續化的數據合規運行，建立數據合規咨詢(xún)機制與數據不合規的發(fā)現機制，建立數據分類(lèi)分級管理制度以及員工數據安全管理制度，填補過(guò)去的制度空白。最終通過(guò)管理、技術(shù)制度等方面進(jìn)行自查整改以及第三方的監估監督和評估，達到數據合規整改工作有效落實(shí)。

2、五步措施保護企業(yè)數據安全

聯(lián)軟科技對于該企業(yè)的數據安全實(shí)踐過(guò)程中，主要分五大步：

第一：風(fēng)險識別

針對現有的情況進(jìn)行數據現狀的風(fēng)險評估，確定企業(yè)相關(guān)的風(fēng)險狀況和風(fēng)險等級，提供相應的解決方案。

第二步：建立企業(yè)的數據安全合規組織

提出相關(guān)的合規要求和人員管理，調動(dòng)各部門(mén)能夠共同促進(jìn)數據安全工作。

第三步：建立健全相關(guān)的數據安全合規制度

在企業(yè)中都會(huì )有非常多信息安全管理制度或網(wǎng)絡(luò )安全管理制度，但是數據安全管理制度相對還是比較欠缺的。

第四步：安全培訓

進(jìn)行安全宣傳教育，并且能夠聽(tīng)從各個(gè)部門(mén)的安全建議，以安全促進(jìn)業(yè)務(wù)發(fā)展為核心目標，然后對員工能夠有效的宣貫，知道安全是一種保護和促進(jìn)，而并非像過(guò)去的一刀切管控。

第五步：通過(guò) DLP 產(chǎn)品進(jìn)行相關(guān)的技術(shù)防護

讓各個(gè)部門(mén)能夠發(fā)現現存的數據安全風(fēng)險，發(fā)現業(yè)務(wù)系統的數據泄露風(fēng)險或者數據不穩定風(fēng)險，最終達到平衡業(yè)務(wù)與安全的效果。

3、具體實(shí)踐過(guò)程

>>>>確定各部門(mén)協(xié)同工作

聯(lián)軟科技在企業(yè)數據安全合規建設實(shí)踐中，主要是成立了數據安全部門(mén)之后，通過(guò)兩件事情作為出發(fā)點(diǎn)來(lái)協(xié)同各部門(mén)進(jìn)行相關(guān)的數據安全工作。第一制度審核與宣貫，第二是DLP系統測試，最后由這個(gè)風(fēng)險與審計相關(guān)的部門(mén)進(jìn)行風(fēng)險識別。

>>>>數據安全現狀調研

數據風(fēng)險防泄密的第一個(gè)重要的工作就是數據安全現狀調研。聯(lián)軟科技對于數據安全現狀調研做過(guò)非常多的成功示例，在本項目中有2個(gè)關(guān)鍵點(diǎn)：

第一，按各個(gè)業(yè)務(wù)部門(mén)進(jìn)行相互調研。

第二，調研的過(guò)程中是安全意識宣貫和培訓的過(guò)程，讓員工對于數據安全重視起來(lái)。

>>>>數據安全合規評估

在針對企業(yè)數據調研之后，聯(lián)軟科技做了兩個(gè)評估，第一個(gè)是數據安全合規評估，按照行業(yè)相關(guān)標準把數據安全評估域分成了數據安全管理、數據安全保護、數據安全運維三大這個(gè)評估域；第二個(gè)數據安全能力評估，依據國標委的數據成熟能力度評估后進(jìn)行一個(gè)量化評分。

>>>>建立企業(yè)數據安全風(fēng)險等級

通過(guò)參考行業(yè)標準，結合調研過(guò)程中對信息系統以及企業(yè)本身的數據使用情況進(jìn)行修正，最終建立企業(yè)自身的數據分類(lèi)分級參考標準，由各個(gè)部門(mén)一起梳理系統權限和數據資產(chǎn)，并且定期清查，這樣能夠持續地進(jìn)行更新。在企業(yè)梳理完數據安全風(fēng)險等級之后，總共分了 5 級，從外到內這幾個(gè)維度去建立風(fēng)險等級，搭建底線(xiàn)框架。

>>>>上線(xiàn)DLP系統

DLP 系統在使用過(guò)程中是一個(gè)非常重要的點(diǎn)，建立以數據為資產(chǎn)、以人員為核心的管理、技術(shù)、運營(yíng)三大體系。依靠現有企業(yè)中的一部分數據治理成果，加上調研樣本形成了相關(guān)策略，通過(guò) DLP 產(chǎn)品能夠以各種屬性的規則或者內容的規則去進(jìn)行識別。

聯(lián)軟科技通過(guò)結合業(yè)務(wù)場(chǎng)景進(jìn)行了掃描與控制的措施，例如安全隔離、加密存儲、水印、外發(fā)管控錄像、追溯取證等等，結合相關(guān)的教育培訓、震懾告警以及誘捕陷阱等，最終達到持續化的安全運營(yíng)，可視化企業(yè)的數據安全能力變化及風(fēng)險識別。

聯(lián)軟科技從數據安全法律法規的要求出發(fā)，以企業(yè)數據安全的目標入手，探索了包括風(fēng)險識別、組織建立、制度健全、安全培訓和技術(shù)防護等在內的DLP應用框架和良好實(shí)踐，能夠為企業(yè)提供體系化的DLP防護技術(shù)服務(wù)。同時(shí)為了促進(jìn)跨機構間的數據合作，聯(lián)軟不斷積極探索更多的數據安全新興技術(shù)，減輕數據安全管理員的工作量，幫助企業(yè)實(shí)現數據的精細化識別管理。

（該資訊首發(fā)于2022-06-08 ）