其实,我们第一步还要明确敏感信息在哪里,敏感信息在整个业务流程中是怎样流转的。其实,不外乎咱们的业务系统就是通过人员,还有相应系统,相应的流程进行整个运作。这边,我们可以看到我们整个运作当中分几个步骤,分别识别整个信息相关的系统,了解咱们这些信息,把相关信息出入口进行研究,包括系统当中一些和人员接口当中这些问题。接下来我们可以通过一个方式,通过我们的调研访谈方式,通过我们安全服务多年来的经验积累,我们通过顾问级咨询来了解咱们整个敏感信息载体和相关帐号权限,进而我们了解相应信息之后汇成整个客户信息的示意图,描绘出信息内容以及信息出口,以及涉及的系统和相关人员。
总结来讲,通过访谈和调研的方式,辅助一些工具,比如说咱们的创新审计工具等等方式,通过咱们整个业务创新测试,最终传承整个数据配置图,绘制出整个数据流程的表。找到信息,知道了流程,我们下面该做的就是在相应接口和相应位置进行访问控制与审计管理,这边举一个例子,比如说涉及到比较敏感的资金信息,以这个信息为载体作为我们第一步,然后在下面确定控制的类别,包括几个方面,分别是对外接口访问控制,运营状态,以及登录帐号的合规性,具体分开来讲防控制里面又包含对关键布置文件修改,以及敏感数据库表修改,包括涉及到帐号的权限,把访问控制,控制类别确定完之后,通过这些点控制相应内容,通过这些进行描述,分别是审计类别,整个业务整体描述,级别,数据来源,审计中心,通过这一连串三步走,把服务和管理敏感信息进行访问控制和审计。
下面举了一个例子,其实也是沿用我们刚才论调,具体聚焦在计费系统当中涉及的资金敏感信息和文表库,右边涉及到咱们的资费配置表祥单,控制类别访问控制就是最关键的文件修改,以及素材表库修改文件,以及对外接口。然后确认这种审计内容,包括相对配置表,就可以来具体展开,就是我们的访问控制,比如说稳定特殊帐号去访问相应配置文件,以及审计的一些细则,响应方式,数据来源等等。
前面就是我们这块讲的敏感度梳理,主要从安全管理咨询方式去梳理出相应的信息。其实,在这一块更加强调的是管理制度建立,通过我们和运营商合作,帮他们建立起来相应敏感数据梳理。同时,第二部分要做的工作就是第三部分,整个安全保护平台在构建数据输入。其实,我们在整个防护平台构建之初我们也是要考虑,我们考虑是从敏感数据全生命周期进行管理,怎么来讲呢?从数据整个从产生使用传输一直到销毁,我们要严格进行审计要求数据安全管理,防止相应记录和相应数据有泄露途径和方式。咱们数据安全防护重点其实也是围绕刚才我们所构建的方法来讲,在整个产生,传输,使用过程当中我们总结了几点,主要是提高三个方面的能力和落实五个方面工作。
三个方面能力,第一点更多数据管控和敏感数据访问当中,我们要提供相应的技术防护手段。同时,我们要把数据传播泄露复制才会产生一些泄露问题,所以我们在传播复制当中,我们要提高管控腾空。第三步就是整个数据,其实在一定程度上,人员操作,批量操作是一个重点,在这块,我们要第三个能力建设出来审计能力。这三个能力,其实在具体落实当中,具体落实到相应平台系统当中。具体来讲,包括我们强化整个应用系统安全管理,维护人员帐号口令,敏感信息交互流程当中访问控制,以及对最后行为审计。
这张图我们整个搭建敏感数据管控平台整体框架,从这张图上是一个标准平台性,涉及的层面分别是咱们整个访问功能层,以及数据加密的交换层,接口层。从这三个测量角度来讲,我们整个平台可以做到三方面工作,一方面我们可以做到从上至下数据管控策略者提下发,直接和相应数据防泄密,加秘进行一个策略下发管理工作。同时,我们还可以做到从上到下相关信息,审计信息总体收集,包括陆续关联分析过程,从下可以做到信息收集。同时,我们在整个平台过程之间我们采用加密方式来保障整个平台自身安全性,从而确保数据泄露风险,使这块得到有效保证。
这里面涉及到几个组件分开介绍,第一个组件就是DLP,就是信息防泄露功能,我们通过部署方式在服务端识别咱们整个敏感信息,以及相关人员文件相关安全的趋势,同时可以对咱们整个泄密风险进行有效评估,在客户端采用操作人员不知会情况下我们可以借助相关员工对电脑,文件,软件操作,并将相关操作分析结果上传到服务端进行服务。总而言之,我们系统功能是可以实现管理,发现以及监控保护方面工作,同时我们整个这套部件也可以成为整个系统当中模块。比如说QQ应用在外发文件的时候,我们都可以做到监控。同时,对这种文档内容提取,可以支持咱们办公当中主要应用的offices内容提取,同时对这种文件外泄渠道进行一个有效监控,以及审计管理。
