来源: 发布日期:2020.07.03 点击量:
随着制造企业信息化建设的不断深入,在数字化、网络化的转型趋势下,企业引入了多种信息应用系统,如OA、ERP、CRM、PDM、PLM等。这些应用系统已经成为了企业高效运作的重要基础,覆盖了企业的设计、研发、生产、营销、财务、办公、人力资源管理等各个环节。这些数据资产由企业投入大量人力、物力得以形成,包含了企业通过长期积累、多方协作而形成的核心竞争力。
01-企业数据资产安全的挑战
制造业企业的重要数据资产主要分为两类:一类为核心知识产权数据,如设计方案、设计图纸、三维模型、源代码等;一类为重要商业信息数据,如客户资料、项目资料、招投标文件等。这些数据具有“数量多、形态多、可复制、流动快、跨组织”等特点,在数据保护目标落地方面会面临很多困难:
(一)分类难
·数量多、形式多,数据关系复杂,难以进行梳理;
·缺乏自动化的数据内容分类和标记技术手段;
(二)识别难
·无法明确某类敏感数据在组织的整体分布情况;
·数据资产的价值由人主观意愿判定,缺乏标准性;
(三)防护难
·缺乏针对不同类别数据的分类分级防护策略;
·缺乏对不同数据在不同位置的风险评估视图;
·需要覆盖终端、网络、系统、数据库、存储等所有位置;
(四)评价难
·缺乏数据保护评价指标、方法和数据;
·数据保护管控措施的有效性无法客观评价;
·缺乏评价导致无法有效改进,难以保证事件再次发生;
近年来制造业专利纠纷的诉讼、商业秘密间谍、恶意数据窃取等事件发生,数据信息已经是企业运营中不得不面对的问题。数据资产所面临的风险主要包括:
(一)数据风险
·核心数据以明文方式分散储存,难以采取有效的安全管理;
·核心数据的传输环节有较多合法或非法的输出途径,且无法有效监管;
·遭受网络入侵、感染病毒后导致的数据外泄。
(二)人员风险
·越权访问非授权数据,有意或无意间造成对外泄密;
·人员外出将数据带离企业后面临外部扩散泄密风险;
·人员离职时可以将数据资产带离公司环境,造成损失;
·合作伙伴、外协人员接入内部网络非法获取数据泄密。
(三)环境风险
·对服务器、终端、网络接口缺乏管理造成非授权的数据访问和外泄;
·对打印机、复印机、传真机、移动介质缺乏管理造成泄密。
02-数据安全防护体系的构建
建设数据安全防护体系,应以数据资产为中心,围绕数据采集、传输、存储、使用、共享、销毁的完整生命周期,由管理制度、技术支撑两个方面构建策略和落地措施,对实际业务场景中数据泄漏以及敏感信息非授权访问等风险形成有效的安全防护。
体系的建设和实施主要可分为以下4个部分:
①数据梳理
企业参照相关法律法规、监管要求及技术标准,对信息系统中的数据进行发现和梳理,了解数据资产的所有者、业务用途、存储位置、使用范围等基本属性,根据安全性制订分类分级标准,形成数据资产清单,为制订数据保护策略提供基础信息。
②风险评估
在数据梳理工作的基础上,根据数据保密性、完整性、可用性的要求对数据资产进行风险评估,评估在数据全生命周期不同环节所面临的风险(包括人员风险、环境风险、数据风险),为数据安全管理策略、技术防护控制的规划设计提供依据。
③管理策略
通过以上各阶段资产梳理、风险评估的结果,制定适用于企业实际业务场景的数据安全防护目标和政策,建立适用、有效的数据保护制度规范及流程,并确保得到落实和有效执行。
④技术控制
根据数据安全管理策略,选择和评估不同的数据保护技术方案,充分评估不同解决方案的方法论、可操作性和优缺点,通过实施技术控制对数据进行有效的安全管控。同时,还需要建立响应的审计、评价机制,不断发现问题并优化管理,持续提升数据安全治理和防护水平。
03-基于数据全生命周期的安全防护措施
目前多数企业已经制定并实施了程度不一的信息安全管理制度及控制措施,但在数据安全保护层面的措施仅限于传统网络安全、系统管控、数据备份等,对于各类数据均未进行重要性识别和分类分级管理,对数据资产的生成、使用、传输、存储、销毁的全生命周期未经全面的安全风险管理。
基于数据全生命周期的管控措施主要包括:
数据生成:在数据采集环节,需要对来源属性进行识别、验证、标记;
数据传输:在数据传输环节,通过安全网关进行传输安全控制(包括网络访问控制、加密传输协议、数据完整性校验等),保障数据传输过程中的完整性和真实性;
数据存储:数据加密存储可以防止明文存储引起的数据泄密、外部网络攻击泄密、内部非授权访问;
数据使用:通过设置数据访问安全网关(如运维堡垒机、数据库防水坝)对数据访问进行动态授权和访问控制,实现设备认证授权、应用认证授权、数据访问授权、数据鉴权管理、数据动态脱敏等功能;
数据共享:通过数据防泄漏、异常行为发现、安全态势感知技术在保证数据共享的同时及时发现、阻断数据泄露行为;
数据销毁:对于不再使用的数据及时进行销毁(如消磁、粉碎)。
04-基于行为分析的数据安全防护
企业在建立了完善的数据全生命周期防护体系后,可以DLP作为技术支撑点,进一步运用基于大数据分析、机器学习的用户和实体行为分析(UEBA)技术,实现自适应的、动态安全控制的数据安全防护。
UEBA从面向数据对象转变为面向用户行为,采用“数据+行为”的数据防护策略:
·通过对大量数据的学习和分析,找出异常行为用户;
·通过对准确定义的策略场景进行基于用户行为的深度分析;
·通过综合分析模型确认用户的威胁概率。
通过采用基于行为分析的数据防护策略,能够发现潜在和正在发生的内网威胁事件并及时阻断,从而实现自适应的动态安全控制,对数据资产实现全面保护。
在数字化转型的时代背景下,制造业数据安全面临更多的风险和挑战,传统数据安全监管手段和能力难以有效应对数据作为生产资料无处不在的新环境,需要在实践中不断完善管理方法,进一步加强数据全生命周期保护和管理。
更多相关业务与内容,请持续关注安言咨询微信公众号。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015