数据安全怎么做:数据防泄漏 – 作者:Mark2019

前言

上一篇跟大家分享了数据的分类分级,今天承接分享下数据分类分级的一个落地实现,也是数据安全在端层管控的关键一环:数据防泄漏平台落地。

个人认为:防止数据丢失主要包含两个大的维度管控层面,一个是业务系统层面,一个是端的访问层面;端的访问层面又区分移动端和PC端,今天主要分享下PC端的数据防泄漏管控,移动端的可以参考另一篇文章《甲方数据安全:业务场景中BYOD安全的应用》。

什么是数据防泄漏

个人理解:数据防泄漏平台是基于定制的策略或规范,针对文件级别的数据进行自动发现、操作审计和分析管控的工具。

产品形态:终端层、网关代理层、邮箱代理层。

为什么要做数据防泄漏

简单说就是合规上有要求,业务上有价值!概述如下:

1、合规性要求

国内外相继出台了网络安全法、GDPR、CCPA、数据安全法草案等,将数据安全上升至法律层面,组织有保证自身收集使用数据不被泄露的责任和义务。

以国内现状举例,企业如果出现了数据泄漏并造成一定的影响,相关监管部门怎么来评定企业责任的大小呢?个人经验:是主要看企业对数据泄漏防范工作作为的多少,有哪些管控措施,是否对组织所存储的数据负了责,这直接关系到相应的惩罚尺度和力度。

2、业务价值

在当前的数据时代,越来越多的企业开始真正重视自身所持数据的价值,之前看逻辑思维罗胖子的一个视频里,节选一部分内容跟大家做个分享,他这样描述阿里:“早在2015年左右,马云开始在各种舆论场合呼吁公众重新认识阿里巴巴,马云说:阿里的本质是一家扩大数据价值的公司。带着这个定义我们可以看下阿里近几年在资本市场上的行为,我们会发现阿里旗下产业或入股的公司包含了我们的衣食住行的方方面面,数据方面之多,如果阿里愿意,他可以知道我们每个人每天都在干些什么,聊到这里我们才发现马云没有说谎!阿里确实是一家扩大数据价值的公司,且通过扩大数据价值成为了中国乃至全球的头部公司。”

阿里的成功绝非偶然,数据的价值显而易见。数据带来价值的同时,也带来了风险,据IBM《2019年全球数据泄露成本报告》显示,恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。

解决数据泄露需要一个整体数据安全解决方案,其中,端上数据防泄漏产品是端层访问数据管控和保障数据价值的相对可行方案。

数据泄漏的原因

内部人员威胁:一个常见的误解是数据丢失主要是由恶意攻击者造成的。但据proofpoint公司统计,43%的数据泄露是内部的;恶意内部人员或攻击特权用户帐户的攻击者滥用其权限并尝试将数据移出组织。

攻击者的入侵:许多网络攻击均以敏感数据为目标。攻击者使用网络钓鱼,恶意软件或代码注入之类的技术渗透安全边界,并获得对敏感数据的访问权限。

意外或疏忽的数据泄露:由于员工在公共场所丢失敏感数据,提供对数据的开放Internet访问或无法限制每个组织策略的访问而导致的许多数据泄漏。

如何落地数据防泄漏

1、明确场景

安全是基于业务的,业务中有需要落地的场景,明确和了解场景,我们才能制定与之匹配的数据防泄漏方案和策略,端层场景举例如下:

笔记本电脑和移动设备的丢失或失窃

未经授权将数据传输到USB设备

敏感数据越权访问和存储

员工或外部方盗窃数据

员工外发、打印和复制敏感数据

意外传输敏感数据

员工对文件进行造假

……

2、明确影响

不同事件场景的发生,势必带来不同的影响,很多影响是组织不可接受,亦或愿意增加投入进行降低或规避的影响, 举例如下:

品牌受损和声誉损失

失去竞争优势

失去客户

失去市场份额

损伤股东价值

罚款和民事处罚

诉讼/法律诉讼

监管罚款/制裁

大量的成本和精力

……

3、明确目标

知道场景,确定影响,制定解决方案的目标,即为:防止敏感数据出现被未经授权的用户访问、滥用和丢失等。

4、明确方案

明确目标后,制定对应的落地方案,如下:

组织:组织是基础,数据防泄漏方案是一个用户级别的项目,我们需要贴合业务,增加与业务人员的沟通和协调,提升整个项目

来源:freebuf.com 2020-10-11 13:00:17 by: Mark2019

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论