今天，四川信息保密设备公司小编为大家讲解一下企业数据防泄露问题，一起来看看下文内容：

数据防泄漏大部分企业的痛点，数据的保密性这也是解决信息安全较根本的三要素CIA原始驱动力。绝大多数企业决定弥补信息安全功能，成立信息安全团队，投资信息安全的初衷就是防止企业核心数据外泄。数据安全是一个永恒的领域，从较原始的网站防篡改，到如今五花八门的各种数据安全产品和咨询方案，每个产品和服务都有自身适用场景，任何企业的数据防泄漏都不能割裂处理看，就像CISSP中经常讲到的没有One Size Fits All的通用解决方案，只能根据企业的实际情况适配不同的场景，不同的场景选择不同的解决方案。

由于安全攻防（攻击防护、监测和响应）是数据防泄漏的基础，没有了防火墙、威胁情报、APT攻击发现、IDS、大数据风险监控系统等通用的安全基础设施，没有强有力的安全运营团队，光靠买几套数据防泄漏软件（防水墙、终端/网络DLP软件、数据库防火墙、桌面管理软件等）和服务（数据安全咨询服务）是无法达到预期效果的。

从技术角度来看数据防泄漏就是要保障核心数据存储、使用、传输三个过程的安全，防止信息泄露成为企业数据安全保护建设工作的关键和核心，通过事前、事中、事后的整体策略对敏感数据采取全过程保护。事前预防应做到避免安全事件的发生或降低安全事件发生的概率，事中监控应尽可能发现安全风险，尽可能较少误报，减少安全事件造成的影响，事后审计应做到在安全事件发生后根据数据标签或指纹可进行全程追溯。下面将从存储、使用和传输的三个过程进行阐述。

存储中数据：存放在数据库、文件服务器、存储于备份设备上的数据等，存储中的数据通常包括企业全部核心商秘信息，因此对企业的核心数据库、文档管理系统等进行安全防护成为重中之中。如果数据比较集中，而且分类明晰，如很多企业有文档管理系统，可以通过数据库防火墙、数据库透明加密、以及敏感数据发现系统进行扫描，做指纹，然后指纹分发到各出口安全设备进行阻拦。除此以外：文件服务器、应用系统和数据库应采取基于用户角色的授权访问控制，并且赋予用户所需较小权限，如进行“三员管理”：系统管理员、安全管理员、审计员相互独立相互制约。对处理核心商秘上产生的工作文档和通过各种方式从数据库或网络应用中获取的核心商秘数据，均应采取技术措施防泄漏，核心商秘数据的外发，需经过审批授权，并对数据做集中式留档审计; 对于如何防止脱裤、撞库、注入、虚假注册、地下交易的技术措施由于主要涉及到攻击防护技术，本章不做详细阐述。

传输中数据：通过网络应用程序传输的数据，对商业秘密数据的存储、传输、使用行为进行审计，审计记录集中保存。目前主要是微信、QQ、邮件等。因此上网行为管理、NAC、网络DLP、防水墙等均能派上用场。通过SIEM或大数据数据防泄漏系统将审计内容（部分日志记录需要业务系统进行定制开发）：访问者、访问目标、访问方式、访问结果（下载、上传、删除、查询、更新等）、访问时间、访问所在服务器或终端的主机名、IP地址、MAC等进行记录和审计，基于源目IP，端口、协议、账户、访问行为、时间等作出异常模型（如特殊时间段的访问、超过平均值的单IP或单账户的流量等），进行用户画像和告警。基于信息的敏感度、企业资源成本、信息安全团队能力、满足《网络安全法》的前提下建议审计记录至少保存六个月，核心商秘审计记录至少保存十二个月，当然有个前提是企业的安全团队（风险/审计/IT）能基于企业实际情况建立数据风控模型，能基于人物画像和行为画像在六个月内发现异常情况，不然审计记录保存再长的时间也只是没有价值的“沉睡数据”。

使用中的数据：通过终端访问的数据，包括保存在终端磁盘上的数据、终端内存中的数据、屏幕显示中的数据等。终端防护历来是重点同时也是难点，之所以说是重点，因为所有服务器上的数据均能在广泛的终端存在，服务器可以重重防护，但终端上可能很容易就出去了。之所以说是难点，因为终端分布广，100%覆盖率基本不现实（终端多样性、不兼容性、网络稳定性、用户水平和接受性、推广成本、业务多样、用户易用性）、终端软件安装覆盖率、失联率、拦截率等是考核的重点。对于终端追求的是“突出重点”，对重点信息和重点岗位力求百发百中，对低敏感内容终端尽可能的覆盖，覆盖不到的通过网络等其他风控系统做风险补偿。

成都杰创华汉数码科技有限公司是专业从事四川保密办公室设备，四川信息安全设备，四川信息保密设备，四川涉密载体及安全检查设备等保密产品的销售，如有需求，我们期待能够为您服务！