在当前复杂多变的市场环境下,企业机密数据和员工隐私信息频繁遭遇被泄露的风险,这一问题已经引起了广泛关注和重视。同时,随着《数据安全法》的发布,企业对于数据安全的重视程度被提升到了新的高度,企业不重视数据安全的后果日益凸显。
近期,行业内发生的多起企业员工信息大量泄露事件更是敲响了警钟。为此,我们采访了几家业内知名的安全企业,包括熠数信息、和人广智和云创数安,以下是他们对于企业如何防范机密数据泄露的看法。
熠数信息创始人-姚威
在熠数信息创始人姚威看来,当前企业频繁遭遇信息泄露事件的一个核心问题在于,企业过往过于聚焦对外业务数据的安全防护,却忽视了内部数据安全的全面审视与管理。这种偏颇导致内网数据监测存在显著缺口,进而使得数据泄露的风险急剧上升。姚威强调,数据安全审计具有不可或缺性,是保障企业内部数据安全的关键一环。
在加强企业数据安全治理方面,他提出了综合性的策略。首先,对内,要通过技术手段,实时全面监测员工和第三方在数据访问、使用、流转的过程中的操作行为,实现业务数据审计,对内部人员的疏忽行为、组织员工内外串谋、离职前获取数据等进行监控;其次,对外合作方面,企业必须在与第三方合作前对其数据安全能力进行严格评估,并签订详尽的数据保护协议,以清晰界定双方的权利、责任及行为规范。同时,建议企业应建立健全的监控审计机制,全面监控和审计数据访问及操作行为切实降低数据安全风险。
此外,在评估措施方面,姚威着重提出了三个关键方向。首先,他强调合规约束评估的重要性,建议企业全面审视数据源、数据使用、数据共享及第三方委托等各个环节,精准识别数据类型及其潜在的合规风险,并通过实施分类分级措施来有效降低这些风险。其次,姚威指出应进行风险管控评估,这包括深入评估企业在管理、技术等方面的不足,以发现数据处理、安全管理、安全技术及个人信息保护等领域的安全隐患,并迅速采取相应措施予以解决。最后,他提倡进行综合的数据安全评估,确保评估场景全面覆盖,并自动生成风险评估报告,从而助力企业更好地达成合规约束和风险管控目标,全面提升其数据安全水平。
通过与姚威沟通,安全419注意到,熠数信息在数据安全领域的产品策略注重对内、对外及评估三个方面的全面覆盖。在内网监测方面,推出了烽火系统,其通过流量镜像和实时监测技术,形成完整的数据使用画像,及时发现异常行为,有效防止内部数据泄露。在外部数据泄露风险监控方面,推出了烛火系统,其利用先进的OSINT方法在互联网、深网和暗网上进行海量数据检索和监测,一旦发现数据泄露事件,立即预警并协助企业采取措施。在企业数据安全评估方面,推出了炬火系统,该系统依据国标《信息安全技术 数据安全风险评估方法》和《网络数据安全风险评估实施指引》的要求,提供流程化的评估过程指导,并自动化生成数据安全风险评估报告,帮助企业全面了解自身的数据安全风险状况,为制定数据安全战略和指导管理活动提供依据。
云创数安创始人兼总经理-白云
在云创数安白云看来,在企业安全防护的范畴中,人一直是最为脆弱的部分。除了利用技术手段实施企业内部管理工作外,员工数据安全意识培训工作不容小觑。要让员工清楚知晓数据泄露、窃取以及贩卖个人信息等行为所对应的法律责任。这对于强化企业安全防线意义重大,能从人员意识层面有效减少安全风险,避免企业因员工疏忽或违规行为而遭受重大损失。
据白云介绍,云创数安自主研发了数据安全一体化平台,该平台可以在免改造的前提下助力企业实现基于数据分类分级的全生命周期安全防护。解决企业在数据安全建设过程中“改造多、成本高、周期长、效率效果低”等实际问题。白云表示:“利用云创数安自研的云智·安全垂域大模型作为产品底座可以实现字段级、用户级的动静态数据全管控,有效减少数据泄露风险。”
此外,安全419注意到,这种基于大模型的数据安全一体化平台还具有很高的可扩展性和灵活性,能够适应企业不断变化的数据安全需求。比如,随着企业业务的拓展和数据的增长,平台可以轻松地进行升级和扩展,确保数据安全防护的持续有效。
和人广智创始人兼CEO-宋琰
在和人广智创始人兼CEO宋琰看来,当前企业信息泄露事件频发,其中一个重要原因是难以追查责任。他强调,建立强有力的数据失泄密追踪溯源能力至关重要。通过技术手段追查到泄密源头,并对责任人进行处罚,可以构成强大的威慑力,有效降低失泄密风险。这种追责机制不仅能够保护企业的核心机密,还能提升员工对于数据安全的重视程度。
在加强数据管控方面,宋琰提出了多项具体措施。首先,在企业内网的终端侧加强文件敏感信息发现、文件编辑、拷贝、外发的监测能力。其次,在网络侧加强流量协议检测、流量还原分析的能力。通过这两方面的监测,企业可以实时掌握数据的流转情况,及时发现并处置潜在的安全风险。此外,宋琰还建议打造数据安全监测平台,实现数据资产发现和管理、敏感信息分布和流转监测、异常文件传输行为的发现与预警等功能,进一步提升企业的数据安全管理水平。
除了技术手段外,提高员工的数据保护意识也是防范信息泄露的关键。宋琰表示,企业应当通过数据资产分析,了解自己有哪些敏感信息,并在使用中有意识地加以保护。例如,通讯录中可以在满足基本使用需求的情况下尽量进行脱敏处理,如删掉部门信息等,以降低失泄密后所造成的损失。这种脱敏处理方式既保护了员工的隐私权益,也避免了因信息泄露而引发的法律风险。
通过与宋琰沟通,我们了解到和人广智在多媒体数据安全防护领域拥有深厚的专业实力。其业务更是围绕各种媒体数据在产生、传输、使用、交换、存储和销毁全生命周期的安全防护展开。通过数字水印、数字指纹、信息加密以及终端行为和网络行为监测等技术手段,为客户提供全面的数据安全解决方案。针对失泄密、篡改伪造、盗版、越权使用等安全风险,和人广智可提供了针对性的技术和产品支持。例如,基于数字水印技术的电子文件追踪溯源产品可以实现对电子文档、图片、视频、音频等文件的追踪和监测;微变字技术则能够抵抗打印、拍屏、重复复印等攻击,提供跨媒介的取证能力。
综上所述,在当前复杂多变的市场环境中,企业数据安全和员工隐私保护已经跃升为至关重要的议题,不容忽视。和人广智、熠数信息以及云创数安等业内知名企业纷纷提出了各自的解决方案,从技术手段、管理策略到员工意识培养等多方面入手,共同构建更加坚固的企业数据安全防线。
这些企业的经验和建议表明,数据安全不仅是一个技术问题,更是一个涉及企业管理、员工行为和文化建设的系统工程。因此,深入探讨并应用企业数据泄露的最新防护技术,积极吸纳并践行专家的宝贵见解,对于全面提升企业的整体安全水平、确保企业稳健发展具有至关重要的战略意义。
热门跟贴