企業數據安全的痛點與策略？

隨著大數據時代的到來，數據安全和敏感信息問題越來越被個人、企業乃至國家所重視。那么，我們要怎么看待數據安全相關的各種問題和痛點？又應該如何應對呢？

數據安全是個老生常談的課題了，過去一年，人民銀行、人民法院、公安部等多家機構發布了有關數據安全和客戶敏感信息保護的要求，各單位也紛紛開展相關的安全自查和整改工作。由于司法機關的介入，數據安全已經不僅僅是管理的問題，而是上升到刑事責任啦，出了問題是會定罪入刑的哦！這也給許多以數據為生的創新型企業（特別是互聯網金融）帶來了很多壁壘和問題，許多企業為了規避合規風險，選擇了縮小業務范圍，甚至出現了叫停部分業務的情況。

那么，我們要怎么看待數據安全帶來的各種問題？又應該如何應對呢？讓我們首先還是回到數據安全的本質來吧。

要把數據安全講透，無非是要講明白數據安全的對象和手段，而且在很多情況下，講清楚對象反而比手段更為關鍵，對象也比手段更容易混淆。如果說保護的對象都錯了，或者根本沒法說清楚，那還談何保護呢？

現實工作中，存在很多企業，連自己要保護的對象都搞不清楚！甚至在數據安全比較成熟的金融機構，也難以避免出現保護對象不清晰的問題。大家千萬別覺得這是危言聳聽，在過去一年中，和多家金融機構的業務和科技部門都聊過，當問業務主管部門，你們如何界定敏感信息的范圍啊？業務部門回答說，我們沒有界定，數據安全這是科技部門的事情?。辉偃タ萍疾块T問同樣的問題，科技部門的答復是，我們制定了一系列強有力的安全保護技術手段來保護生產數據的安全，不過哪些是敏感信息，這個需要業務部門來界定吧。嗯，好吧，陷入沉默中… …大家看到問題所在了吧！

那么，科技部門是數據的所有者嗎？顯然不是，科技部門不產生數據、不修改數據、不定義數據，只是負責數據在系統的落地，那么只應是數據的技術實現者，最多可以作為數據的托管者。而業務主管部門，才是數據真正的所有者，要對數據承擔最終責任，負責定義數據、解釋數據、對數據質量負責。因此，業務主管部門應對自身數據的業務重要性，包括敏感等級進行定義，當然，這里也需要有統一的數據管理部門（可以是信息技術部）統籌管理并制定分類標準，并組織業務部門對各自數據的敏感等級進行認定。當然，這個過程也不是那么簡單的，因為這里面涉及企業內部多個部門的溝通和協調，而且往往業務部門會傾向于說“我的數據就是最重要的，最敏感的，最需要保護的。

在這里就可能又出現另外一個極端，再用一個例子來給大家說說吧。之前曾問過一家機構的業務部門，你們日常經營分析想用的數據都能順利拿到嗎？這位業務部門主管義憤填膺地說：“拿不到啊！我們要的數據都在別的某某、某某部門，每次問他們要數據，都說這涉及敏感信息不能隨便給，說是要這樣那樣的審批。我們就問合規部門、科技部門的意見，大家覺得這里面可能、似乎、好像會有合規隱患，沒有人敢做決定??！往往最后就這樣不了了之了！”是啊，特別是在目前這種數據野蠻生長和嚴監管互為矛盾的時代背景下，得數據者得天下，得天下的也不會輕易把數據讓出來給別的部門共享和使用，又沒有明確、清晰的合規監管解讀（大家都明白，監管條文只是一般性的原則要求，可不會說得那么具體），那么只會不了了之，最終嚴重影響業務用戶的用數需求！

做風控出身的同僚們都知道，風控和效率之間是需要平衡的，沒有絕對的管控，也沒有百分百的效率。數據安全也是這樣，需要在合規前提下結合企業自身的風險偏好，建立適合企業的一套管理機制，否則就容易陷入兩個極端：要么是觸碰合規的遭到處罰，要么是太過保守無法有效開展業務，相信這都不是投資人與管理者愿意看到的結果。

那么，在目前這種情況下，企業要如何有效應對呢？可以從以下幾個方面入手：

意識！意識！意識！
這里連著提三個意識，除了重要的事情說三遍以外，其實它們的含義都有所不同。

第一個意識，指的是一定要意識到數據安全或敏感信息保護不是某一個部門（特別是科技部門）的事情，而是公司管理層以及所有部門的事情，不要想著把工作簡單交給信息科技部門，就能解決數據安全的問題，那是不現實的?？萍疾块T在這方面往往是“弱勢群體”，需要管理層的大力支持和決策，以及各部門主動承擔相應的安全管理職能，方可推動實現的?？萍疾块T的新年美好愿望是，公司管理層不是等到出現重大安全事件后才出現并指責，而是能在日常安全管理中給予重視和資源支持。

第二個意識，要關注流程和人員的管理。如果大家仔細分析過往一年來業界的敏感信息泄密事件，就可以發現大部分數據泄密的原因不是由于企業的安全技術不夠先進、安全文件加密強度不足等等，往往出問題的這些企業（特別是金融機構）在安全技術上已經是很領先、很成熟的了，問題往往出在內部管理流程和人員上。比如企業內部人員舞弊作案，有再強的安全技術手段那又有什么用？直接內部突破！

第三個意識，指的不是企業自身的意識，而是員工和客戶安全意識的長期培養。是的，這不是一件容易的事情！因為人總是有惰性的，不論是作為公司員工還是作為客戶，原來都怕麻煩啊。以前朋友總是取笑，說這是“醫者不自醫”，聽起來似乎有道理呀。再次自省、自?。∵@倒是和“天下無賊”的理想一般，一方面希望所有客戶都有很強的安全保護意識、不受安全誘導和欺騙，一方面希望員工能夠遵循公司安全政策、嚴守職業道德，另一方面又希望外部少一些安全隱患或惡意事件。這就需要整個行業乃至全社會的安全意識培養，任重而道遠哪！

清晰界定敏感信息的范圍
首先讓我們看看國標是如何界定敏感信息的，根據國家質量監督檢驗檢疫總局和國家標準化管理委員會最新發布的《信息安全技術個人信息安全規范》，所謂個人敏感信息，是指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。除了財產信息、健康生理信息、生物識別信息、身份信息和網絡身份標識信息以外，還包括電話號碼、網頁瀏覽記錄、行蹤軌跡等。在國家標準層面，首次界定和例舉了個人敏感信息的內涵與外延，這為企業、監管部門和第三方評估機構的監督、管理、評估，提供了基本依據。

盡管有相關國家標準作為依據，但是如何要把數據安全落到實處，企業一定要進一步明確具體的數據項和敏感分類等級。不具體、不精細化、不可執行是業界目前存在的通病。筆者和一些金融機構主管人員經常會聊到如何進行界定，似乎有一些字段是非常明確的，一定需要納入敏感信息保護范圍的，比如客戶的身份證號、電話號碼、支付密碼等；但是有些字段就比較模糊，比如姓名（包括曾用名）、性別等信息，而且結合不同的數據應用場景和使用對象，又會有不同的考慮，在界定方面確實情況比較復雜。

一些主管人員會直接問，說想把子公司客戶數據進行整合，支持跨業務條線和板塊的客戶數據分析和交叉營銷，提升集團內產業協同并促進業務發展，這樣可行不可行啊？在此不傾向于、也無法給出簡單的是與否的答案，而都會反問一個問題：你想怎么整合，有什么樣的安全保護機制和手段？這些，都是需要進行詳細的合規要求解讀、用數據目標和需求調研、以及詳細方案設計的。從合規視角而言，拋開其他因素，假定現在監管機構就來你們這里檢查了，如何說明敏感信息是得到了清晰的界定和恰當的保護，沒有違反相關合規要求的，并且能夠提供相應的證據（制度、文檔等）來證明這些嗎？

要想說服審計機構或監管機構，首先要先說服企業自身，你自己是如何理解監管指引的要求，并且把這些原則性的要求進行細化，落實到日常的經營和管理活動中去，通過什么方式進行了管控，效果又是如何。如果你自己都說不圓，或者被問住了，無法進行合理解釋，那么一定就有問題了！

比如，企業可以解釋說：基于對監管要求的解讀，可以把客戶信息分為三類，一類是完全敏感信息，這類字段有J項，嚴格保護且不允許單獨使用；一類是非敏感信息，這類字段有Q項，在既定業務場景和恰當的授權下可使用；另一類是類敏感信息，一共有K項，單獨出現時不作為敏感信息，參考非敏感信息進行使用和管理，但是一旦和其他特定A項數據組合使用時，就上升為敏感信息進行管理；再把針對這三類數據的相應管理辦法、機制和具體手段進行明確規范，并落實到具體的信息系統進行保護。這樣一來，至少可以說明企業自身已經明確了敏感信息管理的范圍以及配套管控體系，在不違背監管硬性條款要求的前提下（除非連原則都無法遵守），一般情況是能夠合理解釋的。當然，審計機構（或監管機構）也是在不斷的檢查和摸索中，結合看到不同企業的不同做法后，對具體的監管要求進行詳細解讀和細化，并對被審計（或監管檢查）的對象單位提出問題發現和整改建議。因此，就看企業是否有能力先一步走在審計或監管機構的前面了。

當然，以上只是針對個人敏感信息，也就是從個人客戶敏感信息保護的角度而言。對于企業客戶，除了保護客戶敏感信息以外，企業自身的業務和管理信息（如財務信息等）也需要進行敏感信息的界定。方法其實都是一致的，此處就不再贅述了。

管理流程和機制設計
在明確敏感信息管理的范圍和邊界后，針對不同的敏感分類提出具體的保護和管控要求，那么就需要通過相配套的管理流程和機制實現了。

不過這項工作也貌似不是那么簡單的，因為首先要回答一個問題，就是這些流程和機制誰來設計?。科髽I內部沒有這樣一個部門能牽頭做這件事。如果這是單純的科技問題，那么可以由科技部門來完成，但是很多敏感信息保護的管理流程和機制，是要落實到具體的數據采集、數據維護、數據使用的業務流程中的，一旦和業務流程掛鉤，涉及業務流程變更，那么就需要相關業務部門的主導了（注意是主導，不是參與那么簡單）。

這么說吧，我們可以把敏感信息保護看成一個內控合規的要求要落地實施，以前參與過SOX或企業內部控制基本規范實施的老同志們都知道，這需要把企業的業務流程及存在的風險和控制都梳理一遍，形成內控手冊，然后要開展內控評價等等工作。企業的合規部門一般就那幾個人，只能起到統籌協調的作用，真正的內控手冊、風險和控制矩陣的制定，都需要依賴各業務和管理部門自己開展梳理和評價的，只是最后的成果在合規部門進行整合而已。敏感信息保護也是如此，除了設計一套相對獨立的敏感信息管理辦法外，還需要充分調動業務部門加入，結合業務流程把敏感信息的要求落到具體的業務環節中去。

如果有人還覺得以上流程設計說得太空泛，那么就再舉個例子吧。比如，企業在客戶辦理業務時如何規定敏感信息的采集和維護；在進行客戶分析和營銷時如何使用客戶敏感信息；在外部合作機構（如支付機構）管理的過程中如何保證客戶的敏感信息不被獲取，以及如不得不獲取時如何保證及時刪除與保密；在開展風險管理時如何使用客戶敏感信息；對于客戶提出的信息投訴和問題如何管理；如何設計風險模型，監測客戶異常行為并進行提示；在開展財務分析（如客戶盈利分析）時如何使用客戶敏感信息；如何開展敏感信息的內部審計和稽核等等?？纯?，這不就把企業前、中、后臺各個部門的相關流程都納進來了，無處不客戶，感覺這真是個復雜的系統性工程?。∧鞘亲匀?，所以這才更需要引入外部咨詢機構的協助嘛！

另外需要提示的是，在進行敏感信息的業務流程設計時，一定要回歸到業務的本質上去，回頭看看業務的本質是什么，需不需要這些敏感信息。特別是要結合不同的數據應用場景，進行訪問權限最小的差異化設計。比如，對于營銷人員而言，最主要的就是要拿到目標客戶清單以及給客戶的推薦產品，那么就無需看到客戶的身份證號等與營銷無關的敏感信息；而對于產生目標客戶清單的數據分析人員，完全可以進行客戶敏感信息脫敏（需要借助一定的脫敏技術手段）后，通過模型進行計算和分析，而不讓分析人員直接看到單一客戶的明細信息。說白了，必須要用到什么，才給什么，而且是經過適當的授權和監督。

有些互聯網金融公司的同僚們可能會說，我們在使用客戶信息時，都是有提前獲得客戶同意的，所以是不是無需這么費勁的區分不同的使用場景？在這里要說的是，往往在獲取客戶信息或達成業務交易前，企業確實會設置一些條款需要強制客戶認可，一般都是在網頁或APP上打勾，表示“本人已閱讀以上條款并認可… …”，大家都很熟悉吧。但是要提醒的一點是，這只是最低限度的要求，真到了客戶信息被泄密或使用了，打起官司來也不是那么容易解釋的，另外有多少客戶是真正仔細閱讀過這些條款的，里面很多內容甚至可以被解讀為“霸王條款”不合理、不合法而被質疑。而且，即使客戶允許使用的情況下，一般也會把使用場景限定為比如“評估客戶信用情況”等具體的場景，如果不對企業使用客戶信息的業務應用場景進行嚴格管理的話，也會產生相應的安全和法律合規隱患。因此，從未來整個行業精細化管理的發展趨勢看，對于敏感信息管理，企業也必將走上精細化的這條路。

安全技術手段
說到最后，終于提到安全技術手段了。不可否認，安全技術也同樣是實現有效敏感信息保護的重要手段，技術和管理兩者缺一不可。當然，由于過去企業都比較重視安全技術，也已投入了很大資源進行相關技術和平臺建設。

首先就是新技術標準的應用問題。大家都知道，近期監管機構以及行業協會等發布了很多新的技術標準和要求，比如支付標記化技術等。雖然這些技術本身不難實現，但是難得是如何在現有的系統架構基礎上實現，說白了就是新老平臺和設備替換的問題。大家都知道，目前許多機構用的設備（比如POS等）都是老舊設備，如何全面替換的話，成本效率和客戶體驗都是個問題。此外，傳統金融機構的系統架構如何能夠支持新的技術方案實現也是一個重大挑戰。

另外一點就是第三方數據接口管理。按照敏感信息保護的要求，金融機構是不得允許第三方保留客戶敏感信息的，而且必須定期（如每年）對其開展獨立性的安全評估，并形成報告存檔備查。當然，這部分難的環節不完全在于技術本身，而更多的在于如何進行第三方管理，特別是強勢的合作機構。

最后，當然還是回歸到技術如何更好地和業務結合并支持業務。目前行業上的新技術日新月異，云計算、區塊鏈、人工智能等等，都是熱點。

實施策略和路徑
在文章最后，還是回到管理策略上，總結一下如何更好地規劃并推動數據安全和敏感信息保護工作。

很多人可能會說，數據安全更多是為了合規要求、聲譽風險，本身不創造任何業務價值，只要從合規角度進行推動，滿足最低限度要求即可。確實，這種觀點不是完全沒有道理，至少從很多公司高管來看，只要不出安全事件就是實現了管理目標。

但是，新的環境下一定有新的挑戰。數據安全和敏感信息保護不應該僅僅是合規管理，更應該支持業務的發展。就像上面筆者曾舉的一個例子，為了合規要求，難道就一刀切地不讓業務部門使用敏感信息了嗎？這對業務發展沒有任何好處。大家想想，如果真的能夠把企業自身的用數需求和應用場景梳理清楚，并且明確在不同場景下數據如何有效、合規地使用，那么一定是能夠促進業務發展，而不是限制業務發展的。

因此，數據安全和敏感信息保護未來要站在企業級數據共享和應用的視角，以合規要求為前提，以數據應用為基礎，以滿足業務用數需求為驅動，從技術導向轉變為業務和管理導向，來進行統籌規劃。當然，由于各類數據應用場景較為復雜，可以先從管理框架入手，先以監管合規要求構建數據安全和敏感信息保護的專項機制，并選擇關鍵的幾個業務應用試點作為切入，梳理并制定業務流程和應用場景層面的數據保護要求（保護的另一面就是允許使用數據的需求），并逐步納入各類不同的業務應用場景，形成完整的體系。基于此，可以考慮和企業級數據治理工作同步推進，通過數據治理自上而下的解決數據需求和認責管理，以此作為數據安全和敏感信息保護的重要業務和管理輸入，并基于此進行開展安全專項工作。

企業數據安全保護軟件推薦
安秉網盾保護系統：保護更全面，滿足個性化需求
有價值的商業機密資料被高強度文件加密存放，企業用戶無須解密成明文即可對高強度文件加密過的文檔進行查看、編輯、修改、打印等操作，文檔始終以高強度文件加密方式存放，因此文件無論以何種方式，何種途徑泄露，始終是密文，從而保障企業核心機密不被非法竊取或直接泄露。
1、高強度文件加密保護重要文檔
   安秉網盾保護系統可以為各種模式的電子文檔（設計圖紙、財務報表、研發數據、客戶名單、新品資料等）提供高強度的文件加密保護，結合驅動層及應用層透明文件加密技術，采用AES256,512，SM2、SM3等高強度文件加密算法，經過文件加密保護后的文檔，即使被竊取也無法被打開查看。
2、多種文件加密模式滿足不同需求
   統企業版擁有高度的集中管理、集中策略控制、靈活的分組（部門）管理機制。企業可以根據實際的需求對不同的部門設置不同的文件加密策略及相應的控制策略。
3、提供豐富的文檔權限設置
    企業可以對機密文檔建立“分部門分級別”保密機制，防止無關人員查看重要文檔；對文檔的安全等級分為三檔：普通、機密、絕密，其中高密級擁有打開低密級文檔的權限，低密級無法打開高密級文檔權限。安全等級往往在實際使用中與“安全域”配合使用，安全域是用于隔離不同的企業部門，在相同的安全域內的文件加密文檔可以互相打開，只要具備相應的安全等級。不同安全域的文檔互相無法打開，但同一個帳號可以歸屬多個不同的安全域。

為給客戶提供更全面的保護，也在不斷豐富、加強產品功能，管控應用也更貼合用戶的實際需要。越來越多知名企業在做信息管理時也選擇應用的文件加密產品進行數據保護，通過對數據文件加密管理，保證企業信息數據不被外泄。

• 

• 透明加密策略

  透明加密：在文件創建或編輯過程中自動強制加密，對用戶操 作習慣沒有任何影響，不需手動輸入密碼。當文件通過非正常 渠道流至外部，打開時會出現亂碼或無法打開，并且始終處于 加密狀態。加密過程在操作系統內核完成，保證了加密的高效 性。
  半透明加密：用戶可以打開加密文件，新建的文件不加密。

• 

• 解密在線審批

  解密外發：當與外部交流，需要解密文件，員工可以通過申請 解密文件，管理人員受到申請信息，根據收到申請解密文件， 決定是否通過審批?？梢栽O置多人審批，分級審批等流程。
  防泄密外發：當員工外發重要文件時，可以向管理員申請外發 ，同時可以設置外發出去的文件的打開次數，打開時間，是否 可以打印、截屏等操作。可以設置多人審批，分級審批等流程。

• 

• 文件外發設置

  外發文件時，申請者可以設置外發文件的使用權限，包括外發出去的文件的打開次數，打開時間等信息，過期自動銷毀！

• 

• 文件密級設置

  通過劃分安全區域、設置文檔密級，建立分部門分級別的保密機制
  文件密級管理：根據保密制度和策略，通過部門、密級、文檔類型的相關聯， 細化到各部門加密的不同文件類型，劃分“公開”、“普通”、“私密”、“保密”、“機密”、“絕密”六個等級。 每個部門有單獨的權限，不同部門之間默認不可互相訪問，可以根據需求進行一些必要的設置和授權。

• 

• 剪切板加密

  透明加密：在文件創建或編輯過程中自動強制加密，對用戶操 作習慣沒有任何影響，不需手動輸入密碼。當文件通過非正常 渠道流至外部，打開時會出現亂碼或無法打開，并且始終處于 加密狀態。加密過程在操作系統內核完成，保證了加密的高效 性。 半透明加密：用戶可以打開加密文件，新建的文件不加密。

• 

• 郵件白名單

  發件人白名單：管理員可以設置發件人白名單，白名單中的發件人發出的郵件中的附件會自動解密。
  收件人白名單：管理員可以設置收件人白名單，白名單中的收件人收到的郵件中的附件會自動解密。

• 

• 離線電腦設置

  離線用戶管理(長期)： 若員工不能夠與企業內網中的服務器相連，可以利用單機客戶端的方式。
  離線用戶管理(短期)：若員工臨時出差在外，可以通過離線策略對其進行管理。設置員工離線的時間，比如72小時，當計算機離線大于72小時后，所有加密文件將不能打開。

• 

• 加解密網關

  安全網關對訪問服務器的計算機進行嚴格的身份驗證，防止未授權的用戶和進程訪問服務器獲取機密數據。 通過上傳解密、下載加密及通訊加密，實現對加密文檔上傳、下載與傳輸過程中的全面防護，防止機密數據被竊取。

• 

• 加密文件備份

  審批日志備份：系統會記錄所有申請解密操作、外發操作、審批操作。同時將把所有相關操作的源文件備份到服務器上。
  加密文件備份：所有加密的文件，定時備份到服務器上，已經備份過的，沒有修改過，不備份。加密文件修改過，會自動備份到服務器上，同一個文件，每天只備份一個版本。