《企业网D1Net》1月15日讯

在当前的安全领域，数据已经充斥着各行各业，数据的影响无处不在，其中，敏感数据也已经成为非常不安定的因素之一，随着信息化的发展，产生了越来越多的电子信息。这些电子信息可分为结构化数据与非结构化数据。

敏感数据来源

非结构化数据即我们日常生活中经常遇到的电子文档、图片、图像、音频、视频等。结构化数据又称为行数据，即存储在数据库里，可以用二维表结构来逻辑表达实现的数据。信息社会，结构化数据大量存在于政府部门、商业银行、电信运营商、大型企事业单位等机构的业务系统内部。具体而言，有记录国家机密的涉密信息，有存储单位内部人事情况的人员信息，有关于单位总体收支情况企业总体经营情况的财务数据，有涉及企业经营方向客户情况的详实客户信息，有反映企业实时经营情况的交易数据，有统计各部门、各项事务的各种收益报表等。这些结构化数据对于政府、银行、大型企事业单位而言，从一方面而言是关乎国计民生的敏感数据，从另一方面而言是关乎政府声誉、企业生存发展的核心数据。

敏感数据使用

在应用这些数据时，主要分为前台业务人员的使用和后台维护人员的使用。

1) 业务人员的使用

业务人员一般是通过登录业务系统直接对这些数据进行相关操作。数据通过浏览器展现在页面上，业务人员可以直接通过业务系统的各项功能对其进行计算、整合、统计等操作，同时可通过截屏、导出、另存为、打印等功能把数据落地到本地电脑上或者纸质文件。

2) 维护人员的使用

系统维护人员可以直接通过后台进入业务系统对页面数据进行导入导出操作，或者直接进入数据库对相关重要数据进行导入导出操作。

根据以上分析，无论是业务人员还是维护人员，都有可能进行敏感数据的导出并明文存储。而这些明文的使用、流转、存储都不可控。由此我们得出结论：无论是业务人员还是维护人员，他们的操作都可能会造成敏感数据的泄露。那么如何构建完善的数据防泄露体系以防范业务人员、维护人员正常操作造成敏感数据泄露的隐患呢?

敏感数据防泄露

国家从法律法规方面给敏感数据泄露制定了政策上的规定。有全国人大制定的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，有工信部制定的《电信和互联网用户个人信息保护规定(征求意见稿)》。另外各大型企事业单位也对内制定了相应的管理条文。那从技术手段该如何着手呢?首先，我们可对业务系统进行一些简单改造。使其在显示关键字段时可以用星号替代某些关键信息。比如身份证号可隐藏中间出身年月，姓名可隐藏最后一个汉字。有效防止信息被整体拷贝。其次，要制定非常严格的数据库访问规章制度，维护人员必须进行严格的数据库操作记录登记。还有就是可采取堡垒主机等技术手段隔绝维护人员直接操作数据库，避免对数据库的直接操作。当然，这些措施只是一些常规的堵漏措施，要想完全实现敏感数据的防泄露，我们还要更具体的措施，那就是从技术上实现对每个人、对每个文件进行管控。

电子文档安全加密平台建设

针对敏感数据，时代亿信构建了电子文档安全加密平台，与各业务系统进行高度集成，实现各业务系统敏感数据落地加密。

1) 权限策略制定

该平台建设成后，可从后台针对单位人员的部门、职位、角色等信息对其进行权限设置，管控不同人员对加密文件的操作权限。可提供的管控权限有阅读、编辑、复制、打印、截屏、分发、离线、外发、解密等。业务人员每台终端电脑安装有客户端程序，当其打开电脑登录后，相应的权限信息会自动从后台同步至客户端。

2) 业务人员操作管控

对业务人员而言，该平台能提供相关接口，与业务系统实现集成。

可实现对业务系统访问页面的管控

平台可对不同人员赋予或禁止其对页面进行复制、截屏、另存为、打印等操作的权限。对有相关权限的人员，可在显示时进行管控：如强制加入屏幕水印(水印信息可显示操作人、操作时间、部门名称、职位信息、IP地址等)，以震慑其进行拍照等行为。可在打印时进行管控：如打印纸质文件强制加入打印水印(水印信息同上)，以达到“涉密信息纸质文件可知道从哪儿来”的效果。

D1Net评论：

作为安全领域的不安定因素，敏感数据的威胁不容忽视，从敏感数据的来源，使用和防范方面来看，敏感数据防泄露是非常关键的，然而，敏感数据也具有两面性，将敏感数据转化为可利用的数据，也是值得研究的课题。