EISS-2021企業(yè)信息安全峰會之上海站于11月19日圓滿召開，本次峰會約有300位的安全專家、安全從業(yè)者參加，安全運(yùn)營、安全新技術(shù)、數(shù)據(jù)安全+云原生安全等專場精彩呈現(xiàn)，為與會者帶來更多具有實(shí)踐與借鑒意義的干貨分享。聯(lián)軟科技受邀出席，分享了《新形勢下，企業(yè)如何構(gòu)建數(shù)據(jù)安全防護(hù)體系》為主題的精彩內(nèi)容。

隨著企業(yè)數(shù)據(jù)化轉(zhuǎn)型，企業(yè)的網(wǎng)絡(luò)安全和業(yè)務(wù)環(huán)境都發(fā)生了很大變化，越來越多的企業(yè)在辦公方式上已邁入智能移動辦公。業(yè)務(wù)應(yīng)用也慢慢走向云端，網(wǎng)絡(luò)邊界變得越來越模糊，業(yè)務(wù)場景變得越來越復(fù)雜。在這樣的現(xiàn)狀下，導(dǎo)致企業(yè)對數(shù)據(jù)的安全保護(hù)越來越困難。

根據(jù)數(shù)據(jù)安全的形勢來看，在嚴(yán)峻的數(shù)據(jù)泄露形勢下，隨著網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護(hù)法的頒布，法律法規(guī)逐步健全。但從現(xiàn)實(shí)來看，有些企業(yè)雖然部署了傳統(tǒng)的防火墻、防毒墻、終端安全管理等安全措施，但如何發(fā)現(xiàn)識別敏感數(shù)據(jù)，如何做到安全與效率的平衡，如何提高員工薄弱的安全意識等問題依然存在。

在各項(xiàng)安全現(xiàn)狀和政策驅(qū)動下，企業(yè)數(shù)據(jù)安全體系該如何建設(shè)？

從數(shù)據(jù)安全建設(shè)視角來看，要以數(shù)據(jù)資產(chǎn)為基礎(chǔ)，從管理、技術(shù)、運(yùn)營三個方面去建設(shè)，要關(guān)注基于人員相關(guān)的底線和紅線（備注：底線為企業(yè)最基本的安全基線，紅線為法律規(guī)定，企業(yè)人員要有很強(qiáng)底線思維和紅線意識）。

首先是管理體系，主要根據(jù)國家要求、行業(yè)監(jiān)管部門要求以及企業(yè)的現(xiàn)狀去建設(shè)，了解企業(yè)現(xiàn)狀，找出潛在的核心問題和風(fēng)險。再去制定總體的安全策略，確定組織架構(gòu)與職責(zé)、制定戰(zhàn)略目標(biāo)。最后圍繞從數(shù)據(jù)采集到銷毀的數(shù)據(jù)全生命周期去制定相關(guān)管理制度和實(shí)施細(xì)則。

聯(lián)軟數(shù)據(jù)的安全技術(shù)體系從數(shù)據(jù)梳理開始，對數(shù)據(jù)進(jìn)行分類分級，然后通過準(zhǔn)入控制、終端安全等基礎(chǔ)安全保護(hù)措施對終端進(jìn)行統(tǒng)一管控，保障終端自身能夠持續(xù)穩(wěn)定運(yùn)行；通過豐富全面的技術(shù)手段，對不同業(yè)務(wù)場景下的數(shù)據(jù)進(jìn)行靈活的保護(hù)；通過安全數(shù)據(jù)擺渡系統(tǒng)幫助企業(yè)建立安全可靠的跨網(wǎng)數(shù)據(jù)傳輸通道；針對移動辦公場景下的數(shù)據(jù)保護(hù)，可基于零信任架構(gòu)的統(tǒng)一終端安全管理去解決。最后結(jié)合數(shù)據(jù)安全中臺，去做全網(wǎng)的數(shù)據(jù)分析和風(fēng)險感知，從而為企業(yè)打造統(tǒng)一的數(shù)據(jù)安全管理中心、統(tǒng)一的安全策略管理中心、統(tǒng)一的端管云安全運(yùn)維中心。

隨著遠(yuǎn)程辦公、跨安全域辦公、互聯(lián)網(wǎng)隨時隨地辦公越來越普通，帶來便利的同時也增加了許多風(fēng)險，在互聯(lián)網(wǎng)下，任何漏洞都會被黑客捕獲并無限放大，攻擊變得很容易，業(yè)務(wù)數(shù)據(jù)泄密的風(fēng)險增加了。針對企業(yè)業(yè)務(wù)數(shù)據(jù)保護(hù)，聯(lián)軟以零信任理念為基礎(chǔ)、認(rèn)證授權(quán)體系為基石、業(yè)務(wù)安全為核心，實(shí)現(xiàn)安全和業(yè)務(wù)的統(tǒng)一。通過持續(xù)的信任評估、細(xì)粒度的安全訪問控制手段、輕量級安全沙箱技術(shù)，提供按需、動態(tài)的可信訪問。在實(shí)現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)的基礎(chǔ)上，保障企業(yè)業(yè)務(wù)數(shù)據(jù)的安全可控。

對于企業(yè)來講，常見的數(shù)據(jù)安全技術(shù)手段很多，數(shù)據(jù)保護(hù)方案必須基于復(fù)雜多變的業(yè)務(wù)場景，需要在不同的網(wǎng)絡(luò)區(qū)域和應(yīng)用場景下采取不同的管控手段。在辦公區(qū)域主要部署終端DLP、加密、水印等；在網(wǎng)絡(luò)層部署網(wǎng)絡(luò)DLP、Web DLP及跨網(wǎng)數(shù)據(jù)交換平臺，針對外部接入就部署基于零信任架構(gòu)的SDP和EMM產(chǎn)品；服務(wù)器區(qū)主要就是內(nèi)容識別、數(shù)據(jù)庫審計(jì)和脫敏等。全面靈活的實(shí)施部署，使得企業(yè)的數(shù)據(jù)安全技術(shù)體系變得更加完善。

管控的技術(shù)手段很多，但如何高效的運(yùn)行也是需要企業(yè)去考慮的，最關(guān)鍵的是數(shù)據(jù)安全運(yùn)營的指標(biāo)，作為運(yùn)營者，即企業(yè)的IT科技部門可以通過大數(shù)據(jù)分析平臺，根據(jù)指標(biāo)結(jié)果情況反饋給業(yè)務(wù)部門，告知業(yè)務(wù)部門數(shù)據(jù)安全管理的能力達(dá)到的水平程度，是否達(dá)標(biāo)，還存在哪些風(fēng)險問題，解決這些問題的過程就需要通過培訓(xùn)、核查、自查等去持續(xù)不斷的完善和優(yōu)化，從而保障數(shù)據(jù)的“長治久安”。

聯(lián)軟數(shù)據(jù)安全防護(hù)體系的最佳實(shí)踐，首先是基于戰(zhàn)略體系規(guī)劃，確定了管理組織、制定了管理制度。企業(yè)在做數(shù)據(jù)治理的過程中及數(shù)據(jù)治理本身都會有數(shù)據(jù)分類分級的依據(jù)，通過這些樣本去得到我們的規(guī)則，從而來建立策略，通過屬性和內(nèi)容的規(guī)則來定義敏感，發(fā)現(xiàn)敏感數(shù)據(jù)，了解敏感數(shù)據(jù)的分布情況，哪些敏感數(shù)據(jù)落在哪些終端上面，從而進(jìn)一步提供保護(hù)手段，針對不同的業(yè)務(wù)場景，采用不同的控制手段，去自動發(fā)現(xiàn)數(shù)據(jù)泄露的風(fēng)險；同時通過培訓(xùn)、水印等技術(shù)提高員工的安全意識。

數(shù)據(jù)安全建設(shè)是一個長期的過程，不是一蹴而就的。需要從風(fēng)險暴露面的終端出發(fā)，加強(qiáng)安全的運(yùn)營，通過數(shù)據(jù)分析平臺的結(jié)果，不斷去提高運(yùn)營指標(biāo)，完善數(shù)據(jù)安全體系建設(shè)。

展會現(xiàn)場