企业如何管控敏感数据 | 研报×To B

T客汇官网：tikehui.com

撰文| 杨洋

这里是移动信息化研究中心在 T 客汇上的研报专栏。我们每周针对企业服务领域，进行深度解读。

企业敏感数据不单单驻留在数据库中

企业敏感数据主要驻留在数据库及文件系统中，但除此外，近 1/3 企业的敏感数据驻留在公有云及大数据平台中，甚至一小部分企业的敏感数据驻留在应用中。

企业敏感数据驻留在如此众多的位置，面临着更大的敏感数据泄露风险，企业在如此复杂的环境下究竟如何管控敏感数据？

企业管控敏感数据以策略管理为主

加密技术为辅

目前，企业用户管控敏感数据主要以强身份认证、设置安全密码、集中式用户管理等策略管理为主，并使用数据加密、网络加密等加密技术为辅。

根据国际著名研究公司 Forrester 2012 年的研究报告显示，绝大多数的企业敏感数据泄露事件往往是由于企业内部事件产生的，

企业通过管理用户一方面可以界定敏感数据的管理责任人，另一方面可以阻止非责任人的访问，从而将敏感数据的传播途径控制在可控范围内。

而为了防止用户管理过程中可能出现的漏洞而导致数据泄露，企业辅以加密技术进一步保证敏感数据的安全。

与「国字头」机构不同

私营机构更在意安全性与访问实效性的平衡

从整体来看，不同性质企业对于敏感数据的管控方式趋同，而国企较之私企管控更为严格。

进一步来看，不同性质企业对于数据保护功能模块的使用差异明显，「国字头」机构更重视网络的加密，私营机构更重视数据的加密。

「国字头」机构往往掌握大量关乎国家政治、经济等重要敏感数据，其往往是在保证安全的基础上再考虑业务的实效性，虽然在交换机和路由器提供两层加密将使企业访问核心业务数据更加困难。

但也因此使得恶意的网络攻击变得更加困难，他们期望通过网络做第一道防线，以将企业敏感数据与非授权用户直接隔离在网络环境外。

而私营机构往往是在保证业务运转通畅的基础上再谈安全，随着移动互联网时代大量私营机构敏感数据泄露事件的频繁发生，他们一方面迫切需要加密技术以补强传统信息化时代的安全技术漏洞。

另一方面又期望加密技术不影响敏感数据访问的实效性。而网络加密技术对于敏感数据访问的实效性影响较大，因此，其更重视数据加密技术的使用。

建议企业加强监控审计功能模块的使用

Ponemon Institute 的研究表明，在大部分数据泄露事件发生时，企业之前平均有 256 天可以发现安全漏洞。如果在 100 天内发现安全漏洞，企业的损失至少要降低 25%。

因此，企业需要能够自动监视整个数据环境，检测可疑活动并采取预防措施的机制。

在建立数据监控机制时，企业需要做到以下几点以保证监控审计的低成本驱动高效率：

i. 减少人力去提取审计日志，提高过滤有意义事件的效率，及时纠正所识别的问题；

ii. 保障关键型业务应用的性能和稳定性；

iii. 确保收集的数据是实时的；

iv. 确保能有效满足审计人员的职权分离需求；

v. 建立统一标准，对不同系统的手动审计得到一致的信息；