企業(yè)敏感數(shù)據(jù)主要駐留在數(shù)據(jù)庫(kù)及文件系統(tǒng)中，但除此外，近 1/3 企業(yè)的敏感數(shù)據(jù)駐留在公有云及大數(shù)據(jù)平臺(tái)中，甚至一小部分企業(yè)的敏感數(shù)據(jù)駐留在應(yīng)用中。

企業(yè)敏感數(shù)據(jù)駐留在如此眾多的位置，面臨著更大的敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)，企業(yè)在如此復(fù)雜的環(huán)境下究竟如何管控敏感數(shù)據(jù)？

 企業(yè)管控敏感數(shù)據(jù)以策略管理為主

加密技術(shù)為輔

目前，企業(yè)用戶管控敏感數(shù)據(jù)主要以強(qiáng)身份認(rèn)證、設(shè)置安全密碼、集中式用戶管理等策略管理為主，并使用數(shù)據(jù)加密、網(wǎng)絡(luò)加密等加密技術(shù)為輔。

根據(jù)國(guó)際著名研究公司 Forrester 2012 年的研究報(bào)告顯示，絕大多數(shù)的企業(yè)敏感數(shù)據(jù)泄露事件往往是由于企業(yè)內(nèi)部事件產(chǎn)生的，

企業(yè)通過(guò)管理用戶一方面可以界定敏感數(shù)據(jù)的管理責(zé)任人，另一方面可以阻止非責(zé)任人的訪問(wèn)，從而將敏感數(shù)據(jù)的傳播途徑控制在可控范圍內(nèi)。

而為了防止用戶管理過(guò)程中可能出現(xiàn)的漏洞而導(dǎo)致數(shù)據(jù)泄露，企業(yè)輔以加密技術(shù)進(jìn)一步保證敏感數(shù)據(jù)的安全。

與「國(guó)字頭」機(jī)構(gòu)不同

私營(yíng)機(jī)構(gòu)更在意安全性與訪問(wèn)實(shí)效性的平衡

從整體來(lái)看，不同性質(zhì)企業(yè)對(duì)于敏感數(shù)據(jù)的管控方式趨同，而國(guó)企較之私企管控更為嚴(yán)格。

進(jìn)一步來(lái)看，不同性質(zhì)企業(yè)對(duì)于數(shù)據(jù)保護(hù)功能模塊的使用差異明顯，「國(guó)字頭」機(jī)構(gòu)更重視網(wǎng)絡(luò)的加密，私營(yíng)機(jī)構(gòu)更重視數(shù)據(jù)的加密。

「國(guó)字頭」機(jī)構(gòu)往往掌握大量關(guān)乎國(guó)家政治、經(jīng)濟(jì)等重要敏感數(shù)據(jù)，其往往是在保證安全的基礎(chǔ)上再考慮業(yè)務(wù)的實(shí)效性，雖然在交換機(jī)和路由器提供兩層加密將使企業(yè)訪問(wèn)核心業(yè)務(wù)數(shù)據(jù)更加困難。

但也因此使得惡意的網(wǎng)絡(luò)攻擊變得更加困難，他們期望通過(guò)網(wǎng)絡(luò)做第一道防線，以將企業(yè)敏感數(shù)據(jù)與非授權(quán)用戶直接隔離在網(wǎng)絡(luò)環(huán)境外。

而私營(yíng)機(jī)構(gòu)往往是在保證業(yè)務(wù)運(yùn)轉(zhuǎn)通暢的基礎(chǔ)上再談安全，隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代大量私營(yíng)機(jī)構(gòu)敏感數(shù)據(jù)泄露事件的頻繁發(fā)生，他們一方面迫切需要加密技術(shù)以補(bǔ)強(qiáng)傳統(tǒng)信息化時(shí)代的安全技術(shù)漏洞。

另一方面又期望加密技術(shù)不影響敏感數(shù)據(jù)訪問(wèn)的實(shí)效性。而網(wǎng)絡(luò)加密技術(shù)對(duì)于敏感數(shù)據(jù)訪問(wèn)的實(shí)效性影響較大，因此，其更重視數(shù)據(jù)加密技術(shù)的使用。

建議企業(yè)加強(qiáng)監(jiān)控審計(jì)功能模塊的使用

Ponemon Institute 的研究表明，在大部分?jǐn)?shù)據(jù)泄露事件發(fā)生時(shí)，企業(yè)之前平均有 256 天可以發(fā)現(xiàn)安全漏洞。如果在 100 天內(nèi)發(fā)現(xiàn)安全漏洞，企業(yè)的損失至少要降低 25%。

因此，企業(yè)需要能夠自動(dòng)監(jiān)視整個(gè)數(shù)據(jù)環(huán)境，檢測(cè)可疑活動(dòng)并采取預(yù)防措施的機(jī)制。

在建立數(shù)據(jù)監(jiān)控機(jī)制時(shí)，企業(yè)需要做到以下幾點(diǎn)以保證監(jiān)控審計(jì)的低成本驅(qū)動(dòng)高效率：

i. 減少人力去提取審計(jì)日志，提高過(guò)濾有意義事件的效率，及時(shí)糾正所識(shí)別的問(wèn)題；

ii. 保障關(guān)鍵型業(yè)務(wù)應(yīng)用的性能和穩(wěn)定性；

iii. 確保收集的數(shù)據(jù)是實(shí)時(shí)的；

iv. 確保能有效滿足審計(jì)人員的職權(quán)分離需求；

v. 建立統(tǒng)一標(biāo)準(zhǔn)，對(duì)不同系統(tǒng)的手動(dòng)審計(jì)得到一致的信息；