数字化办公,企业终端电脑上存放着重要的资料,包括商业合同、源代码、财务信息、设计图纸、研发资料等,这些数据一旦泄露将会给企业带来重大的损失。企业是否对这些文档做了有效的针对性保护呢?北京企业应该通过哪些措施可以保护企业重要数据?
敏感内容分析
Ping32提供灵活的敏感数据库,通过关键字和正则表达式定义敏感内容,可以自定义的内容、身份证、手机号、银行卡等,帮助企业标识文件的敏感级别、所属分类、所在位置、文件大小等,了解企业重要数据的保存情况。
对含敏感内容的文档外传时进行检测和拦截,外发的渠道包括U盘拷贝、移动硬盘、文件共享、邮件、即时通讯工具、网页上传、网盘上传等。同时也可以对这类外发的动作进行记录方便企业留痕、溯源。
敏感内容自动加密
将文档透明加密与敏感内容识别相结合,对于包含敏感内容的文件自动加密,对重要文件进行强加密保护,为企业数据提供更准确的保护。支持对含敏感内容的文档进行落地加密,比如:新建文档、从服务器下载文档、通过即时通讯工具或邮件客户端接收文档、U盘拷入文档等,均可实现落地加密,保障文档存储安全。
当今的企业需要能够保护数据及其所有路径的安全解决方案。实现这一目标的最佳方法是通过安全性,提供从边缘到应用程序再到数据本身的真正深度防御。理想的场景是“分层”安全模型,其中恶意行为者必须通过多个门才能执行攻击,而不会引入延迟或危及基本业务流程。DLP只是这种“分层”安全模型中的一道防线。组织可以通过保护其数据库环境来进一步减少攻击面。持续执行发现和评估 (DAS) 以定位敏感信息并发现安全漏洞是保持组织安全态势并消除数据库环境中的不良做法的好方法。
Ping32终端数据安全一体化平台,其OneDLP数据防泄漏子系统发现敏感行为并对其告警或阻断,以先进的机器学习,大数据分析处理引擎通过持续分析用户、进程和应用程序的访问行为来保护数据。在某些事情发生之前保护个人数据和相关的敏感数据,比如数据泄露。通过持续自动识别整个资产范围内的不适当或有风险的数据访问行为,并通知您违反政策或正在发展的威胁,您可以在可疑行为成为事件之前予以纠正。
此外借助Ping32文档透明加密系统对企业核心数据进行加密处理,Ping32文档加密系统以驱动层加密的透明加密技术为核心,运行安全稳定,整个加密过程透明无感知,并且不会改变用户的使用习惯。
1、如何识别敏感数据?
针对企业内部文档类型数据,像产品资料和商业合同对于企业来说,机密程度显然不同,企业数据防泄漏工作的重点也应该侧重于敏感数据的防护。如何识别企业存储的非结构化数据中哪些包含敏感信息,Ping32敏感内容分析引擎为此做了深度分析。
首先,在Ping32数据放泄漏系统中,用户需建立自身企业敏感数据的数据分类库,如金融行业对客户信息、手机号、身份证号、合同、订单等关键词是敏感信息。敏感信息确定后,Ping32会扫描终端的静态数据,使用中的数据,分析其中是否存在敏感信息,进行展示。
进一步确定敏感数据的机密程度,如名片中的手机号码和采购合同中客户的联系方式明显敏感等级是不同的,所以,Ping32数据分类库中,我们进一步创建了数据条件规则,如:在一个文件中,“合同”出现了三次;“手机号码”出现了四次,由以上条件,我们可以把此文件定义为:机密等级。
2、敏感数据的加密规则
在Ping32文档透明加密系统中,Ping32智能加密策略,通过敏感内容分析引擎,可以识别在用户在创建文件时是否编辑了敏感信息,以及扫描终端文件,对包含敏感信息的文件进行加密。
3、敏感信息的保护策略
借助于Ping32数据安全一体化平台,在数据防泄漏方案中,Ping32可以分析用户在发送邮件、聊天、通过U盘拷贝数据、在论坛发布言论时,行为中是否涉及企业敏感信息,Ping32为此提供审计、拦截的解决方案。
随着企业信息化的发展和业务的扩大,对外合作日益增多,越来越频繁地需要和大量业务伙伴之间进行文件数据交换,如:向供应商提供产品设计图纸,向甲方提供设计方案…文档加密后会面临一个问题:需要外发的文档怎么处理?如果将文件解密后外发,那代表着一旦文件离开企业,泄密风险将大大增加,文件在外不受控,如果不解密,合作伙伴在没有加密软件的支持下,是无法查看加密文件的,文件外发包由此诞生。
1、通过合规流程创建文件外发包
文件外发包旨在当文件接收方非公司人员,并且需要控制接收方的文件使用权限,防止外部人员泄密,如:禁止文件接收方复制编辑文件、打开时显示水印、过期自动删除等等。
当企业对外交互业务中,终端用户可通过审批或者自行将加密文件创建成文件外发包,事先设置接收方的文件使用权限,接收方在不需要安装加密客户端情况下通过Ping32外发文件查看器查看加密文档,此方案可有效防止文件外发后的二次泄密。
2、审计文件外发行为
同时为确保企业内部人员的文件外发行为合规,Ping32文档安全模块可以限制终端文件外发权限,限制私人邮箱、网盘、QQ、微信等私人聊天软件,只允许通过企业微信、钉钉等方式外发,审计每一次外发行为,从文件本身以及用户行为确保文件安全。
金融机构比以往任何时候都更依赖网络应用程序来维持运营并与其他企业合作为客户提供服务,但过去几年针对该行业的网络攻击数量显着增加有可能削弱消费者信心不仅在您的组织中,而且在更广泛的行业中。
为了减少敏感个人数据的暴露和泄露,Ping32数据防泄漏解决方案可以提供:
识别敏感数据并应用适当的安全控制。
除非绝对需要,否则不要存储敏感数据。丢弃敏感数据,使用标记化或截断。
使用强大的加密算法、协议和密钥对所有静态敏感数据进行加密。
使用安全协议(如 TLS 和 HTTP HSTS)加密传输中的数据。
如何识别敏感数据并加以保护
利用Ping32强大的数据分类,对组织企业中的数据进行智能化归类,数据在组织中可分为三种,一个是静止数据,即已经存在的数据,保存在组织不同的终端,动态数据、使用中的数据。如新建的演示文稿,表格等,或者打印机的队列。数据安全解决方案可以通过金融行业的敏感信息如用户个人信息,正则式来定义敏感内容并归类进行加密、脱敏的管理需求。
根据美国银行数据公司 Novantas 的数据,数据泄露在金融服务中的事件数量最多,为 22%。同样,这可能是由于使用网上银行管理财务的人数众多,而且金融机构持有的数据价值很高,这使其更成为网络犯罪分子的目标。
数据泄漏的不断增加是多种因素的结果,我们生活在一个数字化时代,每天消费的服务越来越多,其中大部分是在线的,这会使它们更容易受到攻击。Ping32数据防泄漏解决方案可实现快速事件解决内部威胁检测以及自动响应程序。从而实现内部数据的和规划管理。
在 Gartner 最近的一份报告《2020-2022 年隐私和个人数据保护状况》中,作者假设“到 2022 年,全球数据防泄漏合规工具支出将增加到超过 80 亿美元。到 2023 年,世界人口的 65% 的个人信息将受到现代隐私法规的保护,而今天这一比例为 10%。
将数据防泄漏成功纳入组织的数据战略,独立于监管要求,带来可量化的商业利益,有鉴于此,将此计划视为创收计划而不是降低成本具有良好的商业意义。那么企业应该如何应对不断发生的数据泄漏?
Ping32文档加密数据防泄漏解决方案
对于数据的保护,不仅需要控制数据的访问权限,还需要保护存储数据的文件。除了在操作系统层面对文件进行访问控制之外,还要确保文件被窃取后依然可以保护数据不泄露,这就需要对文件进行加密。即使文件被窃取,如果不能对文件进行解密,那么数据也是安全的。
近年来,研发资料、开发代码、图纸等泄露事件屡见不鲜,对于企业来说这些数据都是企业最宝贵的财富,一旦遭到泄露都会对企业的发展造成巨大的影响。
如何保证文档的安全,Ping32为企业提供完善的解决方案,文档透明加密对文档实现加密强保护,防止数据泄露事情的发生。
外接设备的管控
Ping32 可以规范、限制 U 盘、移动硬盘等移动存储设备的使用,除了移动存储设备外,打印机、便携 WIFI、刻录光驱、蓝牙等设备都可能使你的网络面临安全风险。通过设备管控你可以为不同设备做细粒度的权限划分,规范设备的使用,杜绝非法设备的接入。一 夫当关,万夫莫开。
灵活的文档透明加密
Ping32提供多种加密方式,对本地的重要数据文件进行加密保护。对企业内部敏感数据分级管理,针对核心 数据、非核心数据实现不同程度的加密保护,实现对外发文件可控、可查、可管理,有效防止企 业敏感数据泄漏,实现电子文档的数据安全。
文档操作审计、管控
Ping32可以对重要文档的操作进行记录和审计,全面掌握文档的交互和流转动态,可以及时发现安全风险,并根据当前的安全策略是否有效、完善,及时调整安全管理措施。对通过移动存储、即时通讯、邮件、文档共享、打印等方式流通的文件信息进行全面审计。
企业使用文档加密软件的目的在于保护核心数据,防止泄密。相关的核心数据被加密后,该文件的访问权限也是需要我们关注的,前期使用规则设置无懈可击,更有利于在确保数据安全的同时,提高加密文件在内、外部流转的效率问题。
规范数据访问控制,我们可以这样做:
文档透明加密,保障文档在企业内外均安全
使用Ping32文档透明加密软件之后,可以更好的管控无关人员访问内部数据文档的权限,Ping32可以为内部的核心数据提供更有针对性的保护措施,确保核心加密文件在内部之间流转不受限,相关文档流转到公司外部未授信环境,将不被允许正常读取该文件,打开为乱码;
解密网关,严格管控数据访问
内部业务办公系统的多样化,为确保加密文件可以高效的在内部间流转,Ping32文档加密软件中的解密网关,可以实现加密文件上传到指定的业务系统时,网关可以对其自动解密,下载自动加密。
分部门、分人员控制加密文件的访问权限
可以结合Ping32安全域、密级等相关功能,为不同部门、不同人员设置对加密文件的访问权限。比如我们根据部门划分多个安全域,现有财务部这一安全域,可以实现财务部创建的加密文件仅能在财务部范围内读取相关文件,该文件流转到经营部则不被允许访问。同时,可以对终端用户赋予不同的密级权限,密级权限低的用户无法打开高密级文档,确保文档权限安全可控。
为防止无关人员访问相关的加密文件,Ping32加密软件权限管理模块,可通过多种方案解决加密文档的访问问题,分级保护企业的核心数据安全。
· 划分安全域和密级,防止无关人员访问加密数据导致泄密
Ping32加密软件采取分部门管理加密数据的机制,比如在企业内部我们可以划分不同的安全域,一般是根据部门属性进行划分,比如财务部、经营部、生产部、设计部…等部门分布归属在不同的安全域内,每个安全域内都与之对应的相关员工,可以实现财务部的文档如果流转到经营部,将不允许被访问,非同一个安全域内的加密文档不被该安全域外的终端所访问。
根据各员工工作属性、职位等级我们也可以赋予相关的密级,可实现低密级人员无法打开高密级人员产生的加密文件,对于加密文件起到等级保护的效果。低密级终端如有特殊请求必须要查看该加密文件,可向管理员提交降低该加密文件密级的申请,通过之后方可正常查看加密文件。
· 对加密文件临时外发,可创建文件外发包
已经加密的文件,需要临时发送给接收方,这种情况在日常办公中是在所难免的。Ping32加密软件提供文件外发包相关功能,在文件需临时外发时,可给接收方创造短暂的可查看加密文件的环境,比如设置加密文件在某时间范围内可打开,超出时间自动加密。可限制加密文件的打开次数、禁止截屏、打开添加水印等,给接收方创造临时可查看加密文件环境的同时,保障了内网数据安全。
内部人员是安全事件特别是数据泄漏的重大原因。由于内部威胁行为夹杂在大量正常工作行为中,且内部人员熟悉内部环境并且拥有合法身份。员工在工作期间难免会使用到微信、FTP、网盘、Webmail等网络方式储存及传输数据,企业的核心数据也容易从这些渠道泄露,但是光靠员工自我的约束和领导的监督是很难有效地实现全面的防护。
北京企业应该如何防止内部数据泄露呢?Ping32成为大多数企业的首选。
Ping32针对员工行为进行分析、管控
能够对企业的敏感数据进行识别,判断哪些数据需要保密,对上网的内容进行记录,对上网外发进行精准定位,过滤某些传输应用,防止敏感数据通过应用传输出去,深度识别即时通讯、邮件等的正文、附件,阻断保密数据的网络传输路径,确保发送出去的文件的合法性。同时,它能够分析上网的行为,评估数据网络泄露的风险,帮助企业及时修补漏洞,检测到高风险行为时进行警告,及时提醒员工。
Ping文档透明加密,保护数据安全
透明加密技术采用驱动级强制性加密技术,对企业中涉密的重要图纸、财务数据、文档数据进行强制性自动加密,加密后的图纸和文档只能在本企业内部安装过加密软件的电脑上正常使用,未经授权加密后的文件被外带则变为乱码,无法正常打开。整个加密过程,不改变员工任何工作习惯和界面。
