安全資訊

隨著(zhù)數字經(jīng)濟的深入發(fā)展，企業(yè)在各種業(yè)務(wù)活動(dòng)中產(chǎn)生了大量數據，包括個(gè)人身份信息、交易信息等。而數據價(jià)值也越來(lái)越凸顯，在商業(yè)策略的制定過(guò)程中，數據起到了重要的決策支撐作用。

企業(yè)在獲得了大量的個(gè)人數據之后，他們會(huì )利用人工智能等技術(shù)來(lái)處理、分析數據，并且挖掘出有價(jià)值的信息，然后根據這些信息來(lái)促進(jìn)業(yè)務(wù)的發(fā)展。價(jià)值的背后潛藏著(zhù)巨大風(fēng)險，大量敏感數據被販賣(mài)、竊取和無(wú)授權濫用，這一問(wèn)題已經(jīng)嚴重危害到個(gè)人隱私、企業(yè)發(fā)展甚至國家安全。

為了保證企業(yè)、組織和國家機關(guān)數據安全性，應該對數據進(jìn)行有效分類(lèi)，避免一刀切的控制方式，而應采用更加精細的管理措施，使數據資產(chǎn)在共享使用和安全使用之間獲得平衡。其一，就是企業(yè)要對敏感數據進(jìn)行管理。

敏感數據，或者叫做敏感信息就是一類(lèi)特殊的數據類(lèi)型，需要采用特殊的手段進(jìn)行管理，包括個(gè)人隱私數據，如姓名、身份證號碼、住址、電話(huà)、銀行號、郵箱、密碼、醫療信息、教育背景等；也包括企業(yè)或社會(huì )機構不適合公布的數據，如企業(yè)的經(jīng)營(yíng)情況，企業(yè)的網(wǎng)絡(luò )結構、IP地址列表等。敏感數據一旦泄漏，就可能會(huì )給社會(huì )或個(gè)人帶來(lái)嚴重危害。

那么，企業(yè)要如何進(jìn)行敏感數據管理呢？

一是，將敏感數據進(jìn)行分類(lèi)，如，可以將數據劃分為四個(gè)大類(lèi)，按照敏感性程度由高到低，分別是：受限（Restricted）、高度機密（Highly Confidential）、機密（Confidential）、公開(kāi)（Public）。

對于會(huì )接觸到敏感數據的人群，也要進(jìn)行明確的分組，例如分成：數據所有者/受托人（Data Owners/Trustees），數據保管人（Data Custodians)，以及數據用戶(hù)（Data Users)。不同組人群接觸到的分類(lèi)數據也不同。

二是，制定敏感性分類(lèi)管理策略，例如，制定數據所有者指南、組織級指南和企業(yè)級指南來(lái)實(shí)施數據管理（Data Stewardship），一旦實(shí)施分類(lèi)準則出現沖突或者難以界定的情況時(shí)，將按所遵從指南的等級高低進(jìn)行評判。

三是，利用規則、相關(guān)算法、關(guān)鍵字、人工、智能識別等方法，對多源頭（如已淘汰的、動(dòng)態(tài)運行的、使用中的和在線(xiàn)系統和設備）的數據信息進(jìn)行發(fā)現、識別（如借助數據識別和存儲的數據全景圖來(lái)實(shí)現）、并對數據信息基于業(yè)務(wù)場(chǎng)景進(jìn)行分類(lèi)和標記，從而最終完成數據的分類(lèi)認證標記工作，形成有效載荷或者源信息、元數據、應用或文檔來(lái)用于實(shí)施輸入控制。

四是，對敏感數據進(jìn)行脫敏、加密。利用DES、3DES、AES、數字簽名、數據庫加密等技術(shù)對敏感數據進(jìn)行加密管理，以及利用泛化、抑制、擾亂和有損四種方法、隱私計算等技術(shù)對敏感數據進(jìn)行脫敏管理。