資料管理與數據洩漏防護　7步成「私」的管理法則

近幾年以來，網路犯罪活動所引發的資料洩露風波頻頻登上新聞，這種醜聞很快便如病毒般傳播千里，越知名品牌，其影響更越深。大部分類似事故的根源並非攻擊活動本身，而是由於企業負責人未能妥善管理敏感資料及低估風險所造成。理由很明顯：對於犯罪分子來說，針對此類企業開展個人可識別資訊的收集要簡單得多，而這些缺乏充分安全控制方案的組織相當於將大量資料拱手讓給了不法分子。

資料管理　與　數據洩漏防護

對於資料保護工作而言，最具成效的策略是採取全面的應對措施，大部份企業無法分清敏感資料管理與Data Lost Prevention(DLP)這兩類解決方案，在本文我們就以此著手進行一番探討。

DLP的意義在於保證關鍵性資料始終處於內部網路環境的限制之下，從而避免員工在不經意間將其通過郵件及任何想像得到的途徑發送出去。

敏感資料管理則是一整套策略方針，其中包括人為因素、流程以及技術，而技術又涵蓋資料發現、分類、安全管理以及保護等不同範疇。敏感資料管理當中包括了對DLP技術的實際應用，但作為一個整體策略，敏感資料管理的核心任務在於識別使用者資料的所處位置、哪些資料可能面臨風險、哪些使用者能夠觸及到資料、資料何時被訪問以及如何對資料加以保護。

大多數企業會將以下七個步驟作為資安Best Practice：

- 定義哪些內容應該為敏感資訊

- 瞭解這些敏感資料位置以及哪些使用者訪問權限

- 根據重要性及潛在危害對資料進行分類

- 認證數據的合法持有者

- 對資料持有者的職責加以控制

- 檢測資料是否必要或時效

- 如果資料已經不必存在則應第一時間刪除，如果必須保留則加以嚴密保護

企業負責人需要了解資安風險的可能性及作出評估，下面舉出事資料洩漏導致的具體後果：

法律責任、訴訟費用以及保險成本提升，從HIPAA(即健康保險流通與責任法案)到薩班斯法案再到PCI-DSS 3.0，眾多法規明文要求企業對資料加以保護，並需要在未能符合規定要求時接受制裁。 營業額將不可避免地受到影響。一份Javelin研究報告顯示，在金融、零售以及醫療行業當中，高達三分之一的消費者會在發現企業出現資安事故後失去信任。 IT成本不斷提高，效率沒有按比例增加。龐大的資料規模不僅容易造成資安問題，同時也會佔據大量企業網路資源並導致資料定位變得低效率。更重要的是，為客戶提供的資訊作出全面保護是企業無可推委的義務與責任。

各行各業的從業組織都需要在資料管理領域準備一份令人滿意的答卷。很多企業保留的資料量高於其實際需要，因此面臨著重要資訊被盜或者洩露的巨大風險。在如今這個高速發展的時代，網路犯罪分子們幾乎每天都在調整並改進自己的攻擊手段，這就意味著企業必須打理好自己手中掌握著的所有資料，對其進行分類、保護以及訪問管理。資料洩露已經夠糟糕了，但資料丟失帶來的後果將更為可怕。