企业资产很多,但真正敏感、需要重点保护的是有限的。不可能把所有资产都用最高级别保护,那样成本根本扛不住。优先保护这几类:
| 类型 | 说明 |
|---|---|
| PII 个人身份信息 | 身份证号、社保号、原始 IP 地址、邮箱、生物特征、教育经历等 |
| PHI 个人健康信息 | 病历、处方、体检记录、身体状况(受 HIPAA 保护) |
| 专有数据/知识产权 | 专利、版权、商标、商业秘密 |
分类的目的是按敏感度分级,再匹配相应的保护力度,避免一刀切。
| 政府/军事 | 商业组织 |
|---|---|
| 绝密 Top Secret | 机密 Confidential |
| 机密 Secret | 私有 Private |
| 秘密 Confidential | 敏感 Sensitive |
| 敏感(未分类) / 未分类 | 公开 Public |
数据分了级,承载数据的物理介质(U盘、硬盘)也要打上对应的密级标签。否则别人不知道它有多重要,可能误用、误删、误传。
就像快递箱上不贴"易碎品"标签,搬运工就会乱扔。数据介质不打密级标签,员工就会乱用。一个没贴标签的箱子,宁可当贵重物品小心处理。
| 状态 | 在哪 | 怎么保护 |
|---|---|---|
| 静止 At Rest | 硬盘/数据库 | 磁盘/文件加密(AES,如 BitLocker) |
| 传输中 In Transit | 网络上 | TLS、VPN、IPSec |
| 使用中 In Use | CPU/内存 | 最难保护,需同态加密/安全飞地 |
这三种状态都要保护,不能只保护其中一个。最佳保护方法是加密——讲师说"加密是对数据最大的尊重"。不同密级用不同密钥。
"保护硬盘上的数据"→静止加密;"保护网络传输"→TLS/VPN;使用中的数据最难保护。机密性的两大手段:加密 + 授权。
安全基线 Baseline = 资产必须满足的最低安全标准。基线必须同时满足两件事:① 合规性(法律法规/行业标准)+ ② 企业自身风险需求。
| 标准 | 管什么 |
|---|---|
| GDPR | 欧盟通用数据保护条例(美国企业在欧洲展业必须遵守) |
| PCI-DSS | 支付卡行业数据安全标准(禁止存储 CVV) |
| HIPAA | 美国健康信息隐私保护 |
基线=最低必须达到的标准(ISO 27001、等保、COBIT 是最佳实践模板,需裁剪)。基线同步:在家办公的设备也要通过 VPN+补偿措施,拉到和内网一样的安全水平。
| 概念 | 含义 |
|---|---|
| 数据本地化 Localization | 数据在某国境内存储/处理/传输,就受该国法律管辖 |
| 数据主权 Sovereignty | 数据归谁所有、谁来治理(拥有权 + 控制权) |
DLP(Data Loss Prevention)是企业用得最多的数据保护方案。它有三大核心能力:
每台电脑装一个 DLP 小程序(Agent)。你保存文件时,它按密级自动加密。内网里大家都有密钥,能正常打开;一旦文件被发到外网(微信/邮件),没密钥就是乱码。所以文件丢了也不怕。要外发给合作方?走审批流程解密。
| DLP 类型 | 位置 | 方式 |
|---|---|---|
| 端点型 DLP | 每台终端 | 加密(国内常用) |
| 网络型 DLP | 网络边缘(防火墙/邮件网关) | 阻断 |
| 云 DLP | 云环境 | 由 CASB 实现 |
| 隔离方式 | 手段 | 说明 |
|---|---|---|
| 物理隔离 | 信息孤岛 / 网闸 | 完全断开物理连接;网闸单向传输(光闸) |
| 逻辑隔离 | 防火墙 / DLP | 防火墙默认"防外不防内" |
讲师举例:早期交电费要去营业厅,用一张卡插到电表上充值。因为电力网是完全独立的内网,跟互联网不连——"我有很多漏洞,但我没有威胁,因为我跟你不连"。
资产生命周期结束 → 可降级(撕掉标签)、解密、按保留期销毁。日志通常要求保留 180 天。