傳統信息安全體系忽視了數據本身的安全，已經成為數據泄密大規模爆發的溫床。隨著移動應用的廣泛使用，和大數據時代海量數據的新特點出現，數據泄密將會進一步加劇發生。而正在到來的云計算時代，數據安全更成為最重要的關注點。如何通過全新的數據安全理論和技術架構，從根本上避免數據泄密？

    針對當前的數據安全現狀，和面向未來的云計算時代，全球頂尖的數據安全專家各抒己見，各展其能，紛紛推出了不同類型的數據安全理論。多年以來的探索和發展中，以解決下一代數據安全為核心任務的全新體系已經誕生。

    北京思智泰克是由全球頂級密碼學和防泄密專家劉昊原所創立，基于十年來在密碼和加密技術方面的深度研究，以及在政府、軍隊軍工、涉密單位和企業級用戶的廣泛應用基礎上，已經推出面向當前和未來數據安全需求的全新數據安全體系。

一、傳統網絡分層安全體系的缺陷是大規模數據泄密的根源

    有效地分析網絡安全現狀和數據泄密的各種原因，找出根本點，是創建全新數據安全體系的第一步。這一步往往是最重要的，直接決定著新體系的成敗。

    劉昊原，這位獲得過世界最高級別的密碼學成就的專家指出，傳統的信息安全體系，以BMB-17為例，主要從物理安全、網絡安全、主機系統安全、應用安全和數據安全等五個方面來評估企業的安全現狀。在這樣的信息安全體系中，雖然應用安全和數據安全是其所強調的核心部分，也是評估企業保密工作情況的重要參考點，但恰好在數據安全環節基本上是一片空白。

    在過去十多年的信息安全發展史上，不管是殺毒軟件、防火墻、入侵檢測防御這“老三樣”，還是終端管理、桌面管理、郵件管理、應用管理等，都不是直接以數據為中心的安全產品。這些產品主要的作用，是用來保護網絡系統的物理安全，以及各種應用的業務安全，而不是用于防止數據泄密的措施。

    由于傳統的分層安全體系，在建設中缺少“數據安全”這一環節，所以才存在這么多的數據泄密漏洞，直接導致大規模數據泄密事件的發生。

二、基于業務流，建立數據的全生命周期安全體系是前提

    在傳統安全防護模式下，各個系統都得到了嚴密的保護。但是各個系統內的數據卻并沒有直接進行保護。而且，由于各種系統之間的連接，以及數據在脫離系統之后的應用方面，缺少有效的防護，結果形成了一個又一個的獨立“安全孤島”。

    從各種惡意攻擊中也發現，攻擊系統之間的連接比直接攻擊指定系統要容易得多，相關流程中的薄弱環節會讓安全防護崩潰。云計算的出現增加了安全防護的復雜性與未知性，對數據的不同生命周期都提出了安全考驗，可信云計算面臨新的挑戰。用戶數據從終端通過傳輸環節進入云端，在虛擬化環境中分散存放。受“安全孤島”效應的影響，數據在云端的存儲、遷移、應用過程中都面臨著未知的安全風險。數據是云計算的核心，所以，保護數據的安全性是云計算的重點與難點。這就需要從源頭上考慮，并且消除獨立的“安全孤島”，消除分散系統之間的薄弱環節，讓云計算變得可信。

    在數據的不同生命周期，所面臨的可信環境不同，其安全風險也就不同，只有在全生命周期里都能對用戶數據提供可靠的安全防護，才是可信的云計算。簡單而言，能夠保護數據生命周期的各個方面安全性的云計算才是可信的云計算。這就需要將信息安全保護方式從關注處理數據的系統的可信性模型轉到為數據本身提供安全防護的模型。

    數據的全生命周期安全防護，意味著從數據創建、存儲、使用、流轉和銷毀的整個過程對數據進行保護。要分析數據的全生命周期，就不得不基于業務流進行。單純地談數據保護，往往只會覆蓋部分環節，而基于業務流，對于數據的全生命周期保護才有更為全面和實際的意義。

    針對企業級用戶來說，用全生命周期來分析，數據可以分為以下幾個部分：

    1、數據的創建、產生環節

    內部核心數據部門，比如研發部、設計部等

    內部的辦公區域，比如財務、銷售、行政機構等

    2、數據的使用環節

    針對具體的文檔和數據的使用、分配等

    3、數據的存儲環節

    服務器區、臺式機、工作站、移動存儲設備、筆記本電腦等

    4、數據流轉環節

    個體之間的、部門之間的數據交互，以及數據需要交換到外部等

    5、數據的銷毀環節

    針對數據的直接刪除，或者各種存儲設備如服務器、移動存儲設備、硬盤等的報廢等

三、部署和實施針對數據進行安全保護的先進系統是關鍵

    要想實現這種全數據生命周期的安全防護，至少需要做的五點：

    1、對數據進行嚴密的加密防護；

    2、更加精準的身份認證；

    3、確保數據的細粒度使用權限；

    4、對數據流轉和使用的各個環節進行掌控；

    5、對數據全生命周期進行安全審計。

    如前所述，不管是殺毒軟件、防火墻、入侵檢測防御這“老三樣”，還是終端管理、桌面管理、郵件管理、應用管理等等，都不是直接以數據為中心的安全產品。

    目前全球針對數據安全為中心的系統，有兩大類型，一類是以賽門鐵克為代表的數據丟失防護（DLP），另一類就是以思智泰克為首的企業權限管理ERM。

    思智泰克，創立于2001年，是中國首批從事加密技術和產品開發的國內安全廠商，與國家信息安全技術研究中心簽署有戰略合作協議。思智ERM是第五代革命性數據無損加密系統，在政府、軍隊軍工、電信、制造、汽車、設計院所等近萬家用戶實施，是國內加密軟件行業處于領先地位的品牌，一直處在加密軟件產品研發和應用的前沿。

四、科學而有效的數據防泄密風險評估和治理是保證

    要確保建立全生命周期的數據安全體系，就必須有一套科學嚴謹的方法論。以全球領先的企業權限管理ERM產品的代表者思智泰克的體系為例，主要有以下三個方面的要點：

    1、數據安全評估

    思智泰克有一套自成體系的數據安全評估方法，主要針對數據安全保護的意識、措施和制度三個方面來考察。評估一家企業的數據安全現狀，要考慮三個基本環節：人、設備和數據。其中必須以人為本，以數據為中心，以設備為落腳點。

    企業領導是否有數據保密意識？員工是否能遵守保密制度？這些都是重點。企業領導和員工具備良好的保密意識，部署實施先進的防泄密系統，輔之健全措施和制度，能大大提升企業核心資產的信息安全。

    2、數據安全風險分析

    不同類型的數據形式，以及數據的不同狀態，都有其不同的泄密風險層級。根據思智泰克的方法論，對數據可以分為以下幾種類型:業務類(客戶資料、財務報表、交易數據、分析統計數據);行政類(市場宣傳計劃，采購成本、合同定單、物流信息、管理制度等);機要類(公文、統計數據、機要文件，軍事情報、軍事地圖);科研類(調查報告、咨詢報告、招投標文件、專利、客戶資產、價格;設計類，包括設計圖、設計方案、策劃文案等)。文檔和數據往往并不是以靜態的方式保存，還包括數據的使用、流轉、外發等形式。

    針對數據，可以分為不同的風險等級，比如內部核心數據部門，像研發部、設計部等，風險高度集中；而內部的辦公區域，比如財務、銷售、行政機構等，也需要加強防范；對于服務器區域，數據的存在方式以及訪問的權限都需要重點把控；對外出辦公的人員，注重安全的同時也需要兼顧便捷；對外發數據和文檔，需要嚴密控制。往往在實際應用中，數據處于不同的場景，其管控的方式也不一樣。

    3、數據安全風險治理

    面對前面提到的種種風險，企業該如何避開這些風險？將企業面臨的數據泄露風險降到最低？這就是涉及到對風險的管控和治理。

    要做好企業風險治理，首先必須明確目標，這個目標就是將企業信息泄露風險降到可接受水平。，就是要分析企業信息安全盲點，包括技術上和制度上的，然后逐一消除這些盲點。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：下一代數據安全之：全新的數據防泄密體系

本文網址：http://www.guhuozai8.cn/html/consultation/1083955156.html