非结构化数据安全管理遵从信息安全和网络安全体系总体要求,侧重对非结构化数据在行为安全管理、统一存储安全、安全管理方法、事件阶段管理、安全制度标准等方面进行体系化构建。
行为安全管理 :基于非结构化数据全生命周期的视角,对非结构化数据全生命周期中的采集、存储、传输、处理、交换、管理、洞察、归档等行为进行安全管理。非结构化数据全生命周期安全管理需要遵从行业级业务数据安全监管标准,基于非结构化数据全生命周期,提供有效的安全管理工具及方法,包括网络隔离、安全预警、权限控制、访问监控、行为管控、内容识别、数据过滤、数据加密、数据脱敏、审计溯源等措施。
非结构化数据全生命周期管理需要构建数据安全体系及策略,包括非结构化数据分级分类管理、访问授权体系、身份认证、行为监控等环节,且需要提供完备的数据安全分析支撑。
统一存储安全 :非结构化数据主要分为应用系统文件、体系文件和过程文件三种类型。其中应用系统文件是指各种业务系统中的业务支撑文件和成果文件;体系文件则是已经形成体系的存储于共享服务器中的电子文件;过程文件是指个人电脑的各类文件、电子邮件系统中的附件等。通过安全防控场景化、手段措施多样化、业务渗透融合化、防控环节串联化的多维技术视角,基于统一存储的非结构化数据安全管理才能更可落地、更可控。
安全运维手段:为了对企事业单位组织内的数据进行全生命周期的操作追溯与风险管控,需要采取符合非结构化数据自身特征的安全管理方式。这就需要考虑到数据防勒索、日志溯源等多个方面,在建立起全面的文档安全体系的同时,持续地对非结构化数据管理系统进行监控与测试,通过数据备份、实施校验与日志记录等技术与功能,实现非结构化数据的长治久安。
事件阶段管理策略: 根据事件发展的事前、事中与事后的三个阶段进行划分,通过事前预防、事中控制、事后审计机制的事件管理策略,进行非结构化数据事件的闭环管理。
安全制度体系 :安全制度体系包括对人员安全、场所安全、活动安全、系统安全、数据安全等方面的体系建设。
除以上五方面的安全体系建设之外,非结构化数据安全应用架构技术还包括登录安全、访问安全、传输安全、数据安全交换、内容安全、日志审计、“文件不落地”、终端安全、离线安全、纸质文件安全、存储安全和预警以及安全分析等核心功能。
(1)登录安全: 非结构化数据安全应用架构需要保障登录安全,主要保障措施包括确立密码策略、实施网际互连协议过滤、设立验证码、强制设备绑定、设置登录访问协议单点登录和双因子验证等。
(2)访问安全 ;访问安全需要确保包括权限模板、访问权限、多级还原、密级权限验证、动态安全水印和共享范围等环节的安全可控。
(3)传输安全: 传输安全的环节主要包括安全登录、安全隔离、安全绑定、安全限制、套接字协议加密安全传输等。
(4)数据安全交换: 数据安全交换是指不同安全域之间的数据安全交换,其交换方式包括流程审批交换、直接触发交换、批量交换和智能交换等。
(5)内容安全: 内容安全主要是通过敏感词汇、智能定密、防勒索、安全域、文控流程、历史版本、病毒扫描、隔离区等功能实现。
(6)日志审计 :日志审计主要以日志分析引擎、操作日志留痕、审计报告追踪等方式来实现内容安全审计的目标。
(7)文件不落地: 文件不落地需要通过虚拟盘、强制采集和文档安全阅读等技术实现,从而保障用户“操作完全本地化,而数据在云端”。用户能够像在本地磁盘中一样,在虚拟盘中操作各种文件,但数据全部存储于企业服务器中,且能够进一步禁止文件在运行时保存于本地磁盘或外设中,通过这种方式提升了对文件安全控制的能力,更易实现专业和严密的安全防护,从而保障了企业数据不泄露。
(8)终端安全 :终端安全的保障能够通过终端数据防泄漏的整合、网关数据防泄漏整合、数据安全漏洞排查、数据安全网关和网闸建设、网络数据安全集成传输、终端防泄漏预警等措施实现。
(9)离线安全: 通过透明加密、外发加密、权限管理系统加密整合等措施,实现数据的离线安全。
(10)纸质文件安全 :纸质文件的安全在非结构化数据安全应用架构中同样重要,主要体现在对多功能一体机对接、打印留底与审计追溯、光学字符的全文与区域识别等环节。
(11)存储安全: 非结构化数据安全应用架构需要依靠多副本存储、切片存储、强制一致性校验、数据加密、自我恢复、数据备份、多数据中心容灾等措施,实现存储安全。
(12)预警及安全分析 :非结构化数据安全应用架构需要具备预警与安全分析的能力,需要对敏感操作进行预警,并在运维、安全、业务分析等方向实现相应的安全分析等。
