完结小说排行榜,小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

【廉環(huán)話】不要讓數(shù)據(jù)安全成為“盲盒”里的那只貓--淺談咨詢業(yè)數(shù)據(jù)安全體系建設(shè)

不知大家是否注意到這樣的現(xiàn)象：雖然我們近年來(lái)不斷增加對(duì)于信息安全的重視和投入，但是安全攻擊與破壞事件卻屢見不鮮。且不談攻擊者如何“不講武德”，我們是否過度地通過硬核技術(shù)的堆砌，盲目地為數(shù)據(jù)與信息安全打造銅墻鐵壁，卻反而忽略了構(gòu)建和實(shí)施具有本企業(yè)針對(duì)性的數(shù)據(jù)安全體系，從而將其放入了一個(gè)未知的“盲盒”中。

在應(yīng)城等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都做網(wǎng)站、成都網(wǎng)站建設(shè)、成都外貿(mào)網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作定制網(wǎng)站制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計(jì),網(wǎng)絡(luò)營(yíng)銷推廣,成都外貿(mào)網(wǎng)站建設(shè)公司,應(yīng)城網(wǎng)站建設(shè)費(fèi)用合理。

本文將以尤其注重?cái)?shù)據(jù)安全的咨詢業(yè)為例，按照“人、貨、場(chǎng)”的思路，有的放矢地和您討論，如何以數(shù)據(jù)中心，調(diào)動(dòng)不同人員的職能，在具體的使用場(chǎng)景中，逐步構(gòu)建并做實(shí)安全體系架構(gòu)，以促進(jìn)數(shù)據(jù)在企業(yè)中的良性內(nèi)循環(huán)與“保值”。

為了方便大家理解和掌握，我為該體系架構(gòu)擬出了如下二十四字口訣：“找對(duì)人 - 認(rèn)清物 - 細(xì)分類 - 賦權(quán)值 - 分等級(jí) - 辨風(fēng)險(xiǎn) - 定規(guī)則 - 審管理”。下面讓我們來(lái)逐條進(jìn)行探討與研究。

找對(duì)人

我們可以根據(jù)企業(yè)當(dāng)前的組織架構(gòu)，以數(shù)據(jù)為中心，定位各種職能部門、以及包含的角色，并按需明確他們的職責(zé)。其中包括：

決策人員

對(duì)整個(gè)組織負(fù)責(zé)，制定符合法律、法規(guī)、以及行業(yè)規(guī)范的數(shù)據(jù)安全管理戰(zhàn)略、目標(biāo)和總體要求。
指派、授權(quán)和指導(dǎo)合適的管理人員，開展日常數(shù)據(jù)管理工作，批準(zhǔn)管理人員制定的各項(xiàng)數(shù)據(jù)安全策略。
對(duì)審計(jì)人員反饋的問題進(jìn)行問責(zé)和督導(dǎo)解決。

管理人員

根據(jù)企業(yè)具體業(yè)務(wù)的發(fā)展或當(dāng)前項(xiàng)目的特征，制定數(shù)據(jù)處置的具體執(zhí)行步驟。
定期向決策人員匯報(bào)數(shù)據(jù)管控的態(tài)勢(shì)。
對(duì)執(zhí)行人員的日常實(shí)際工作進(jìn)行檢查和指導(dǎo)。
配合審計(jì)人員順利開展審查工作。

執(zhí)行人員

具體實(shí)施和執(zhí)行數(shù)據(jù)安全的日常工作。
定期向管理人員匯報(bào)安全態(tài)勢(shì)以及各類事件。
接受和配合審計(jì)人員的監(jiān)督和審查。

外包人員

按照既定的合同，提供約定的產(chǎn)品或服務(wù)。
定期向管理人員匯報(bào)執(zhí)行的結(jié)果，及時(shí)溝通任何意外狀況。

最終用戶

按照既定的處置策略使用軟、硬件、及數(shù)據(jù)。
及時(shí)報(bào)告面臨的各項(xiàng)數(shù)據(jù)問題。
接受和配合審計(jì)人員的審查。

審計(jì)人員

對(duì)管理人員、執(zhí)行人員、以及最終用戶的日常工作進(jìn)行監(jiān)督和審查。
將檢查結(jié)果反饋給決策人員。
跟蹤審查問題的解決情況等。

下圖展示了這六種人員角色之間的關(guān)系：

當(dāng)然，上述人員角色是比較典型的組織架構(gòu)。您也可以靈活地根據(jù)新的業(yè)務(wù)需求，臨時(shí)規(guī)劃和設(shè)計(jì)出針對(duì)特定意圖的專項(xiàng)小組，及時(shí)協(xié)調(diào)，構(gòu)建，改進(jìn)和保障某個(gè)特定業(yè)務(wù)服務(wù)，在落地過程中的數(shù)據(jù)安全水平。

認(rèn)清物

找對(duì)了人，我們就可以通過與不同人員的交流，獲悉他們?nèi)粘＝佑|到的各種軟、硬件介質(zhì)。我們通常以數(shù)據(jù)為原點(diǎn)，認(rèn)清那些存儲(chǔ)著靜態(tài)數(shù)據(jù)的有形硬件設(shè)備，處理著實(shí)時(shí)數(shù)據(jù)的軟件應(yīng)用，承載著動(dòng)態(tài)數(shù)據(jù)的網(wǎng)絡(luò)，包含著結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)庫(kù)，存放著非結(jié)構(gòu)化數(shù)據(jù)的云平臺(tái)，以及被用于持續(xù)讀寫數(shù)據(jù)的文件系統(tǒng)服務(wù)器、以及用戶各類終端等數(shù)據(jù)資產(chǎn)。

同時(shí)，為了全面、完整、直觀地梳理出不同數(shù)據(jù)資產(chǎn)的相互關(guān)系，充分利用和發(fā)掘數(shù)據(jù)的價(jià)值，以利于決策，我們需要在邏輯關(guān)系上，對(duì)IT資產(chǎn)所隸屬的部門、項(xiàng)目組等屬主類元信息(Metadata)，進(jìn)行發(fā)現(xiàn)和完善，構(gòu)建出以節(jié)點(diǎn)、屬性、流轉(zhuǎn)方向?yàn)榫W(wǎng)結(jié)狀結(jié)構(gòu)的關(guān)系圖表。

此外，在實(shí)際梳理的過程中，我們可以采用射頻識(shí)別(RFID)、以及二維碼(QR code)等技術(shù)，運(yùn)用“自動(dòng)化工具發(fā)現(xiàn) + 人工錄入 + 二次審核”的循環(huán)流程，對(duì)現(xiàn)有IT資產(chǎn)進(jìn)行持續(xù)標(biāo)記與采集。

細(xì)分類

在識(shí)別了各種有形的硬件設(shè)備與無(wú)形軟件系統(tǒng)之后，我們需要通過手動(dòng)或自動(dòng)化的管理工具，以制表或建庫(kù)的形式，對(duì)它們進(jìn)行分類。在此，我們可以參照ISO27001里提到的如下安全分類方法：

當(dāng)然，在實(shí)際操作過程中，我們也可以從業(yè)務(wù)的角度出發(fā)，按照項(xiàng)目種類、客戶類型、利益沖突、甚至是領(lǐng)域互斥性等維度，進(jìn)行分析與劃分。我的經(jīng)驗(yàn)是：細(xì)分的深度不宜超過三層，類別不宜超過二十種。

賦權(quán)值

在完成了資產(chǎn)的梳理和分類之后，我們可以從信息安全的經(jīng)典理論出發(fā)，充分考慮資產(chǎn)在其機(jī)密性(C)、完整性(I)和可用性(A)缺失的情況下，可能給企業(yè)帶來(lái)影響程度，對(duì)每一項(xiàng)IT資產(chǎn)的C、I、A三個(gè)維度賦予相應(yīng)的數(shù)值。在此基礎(chǔ)上，我們進(jìn)而基于如下的公式，計(jì)算出資產(chǎn)的權(quán)重值(V)：

分等級(jí)

既然給數(shù)據(jù)分配了價(jià)值，那么我們就可以進(jìn)一步掌控哪些數(shù)據(jù)需要被加密存放，哪些數(shù)據(jù)在使用后需要立即清除，哪些數(shù)據(jù)僅能在內(nèi)部被受限制地使用，哪些數(shù)據(jù)可以被直接對(duì)外開放。為了達(dá)到此類效果，我們就需要進(jìn)一步對(duì)數(shù)據(jù)、及其對(duì)應(yīng)的介質(zhì)進(jìn)行分級(jí)。

在具體實(shí)踐中，我們可以根據(jù)本企業(yè)的習(xí)慣與偏好，設(shè)定不同的權(quán)值區(qū)間。在此基礎(chǔ)上，我既可以簡(jiǎn)單地劃分出：“高、中、低”三個(gè)安全級(jí)別，又可以采用：“絕密、機(jī)密、隱私、敏感、公開”等復(fù)雜的分級(jí)標(biāo)準(zhǔn)。最終，我們還需要以物理或邏輯標(biāo)簽的形式，來(lái)標(biāo)識(shí)對(duì)象的準(zhǔn)確密級(jí)。

值得一提的是，在一些保密性要求非常嚴(yán)格的場(chǎng)合，我們甚至需要對(duì)某些結(jié)構(gòu)化數(shù)據(jù)表中的字段，非結(jié)構(gòu)化數(shù)據(jù)域中的鍵/值(K/V)，以及某個(gè)介質(zhì)對(duì)應(yīng)的屬性標(biāo)簽里的元信息，進(jìn)行不同安全級(jí)別的區(qū)分。

辨風(fēng)險(xiǎn)

對(duì)于資產(chǎn)的分類、分級(jí)，我們?cè)谇懊嬷饕崂淼氖菍?duì)象自身的安全性。由于這些對(duì)象持續(xù)被使用或提供服務(wù)，因此我們需要識(shí)別出它們所在企業(yè)運(yùn)營(yíng)環(huán)境中的各種外部威脅、以及內(nèi)部弱點(diǎn)等方面。通常我們需要通過如下四步走，來(lái)辨析存在的風(fēng)險(xiǎn)：

收集與識(shí)別：根據(jù)過往的記錄、以及業(yè)界經(jīng)驗(yàn)，召集上述不同角色的人員，使用頭腦風(fēng)暴、互動(dòng)訪談、矩陣與圖表分解等方法，識(shí)別目標(biāo)資產(chǎn)在現(xiàn)有環(huán)境中的風(fēng)險(xiǎn)特征。例如：

技術(shù)層面上 - 軟、硬件介質(zhì)的故障與損壞、應(yīng)用系統(tǒng)的自身缺陷、惡意軟件的死鎖、以及網(wǎng)絡(luò)上的各種拒絕服務(wù)的攻擊等。
支撐系統(tǒng)層面上 - 機(jī)房停電、辦公區(qū)漏水、以及運(yùn)營(yíng)商網(wǎng)絡(luò)中斷等。
人為層面上 – 訪問掛馬的網(wǎng)站、各種操作性的失誤、以及文件數(shù)據(jù)被誤改或篡改等。
管理層面上 – 人員意識(shí)的缺乏、處置方式的錯(cuò)誤、以及規(guī)章制度的不完善等。

分析與評(píng)估：運(yùn)用定性/定量等不同的方法，對(duì)已發(fā)現(xiàn)的風(fēng)險(xiǎn)從程度、范圍、以及可能性三個(gè)維度進(jìn)行評(píng)估與排序，進(jìn)而得出風(fēng)險(xiǎn)等級(jí)矩陣。在實(shí)際中，我們可以參考如下的界定標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)的量化：

損害的程度 – 輕微、一般、較大、嚴(yán)重、特大等。
影響的范圍 - 整個(gè)企業(yè)、所有外部客戶、多個(gè)分站點(diǎn)、某個(gè)部門、部分系統(tǒng)、單個(gè)服務(wù)等。
發(fā)生的可能性 – 可考慮物理與邏輯上所處的區(qū)域、自身的容錯(cuò)能力、等級(jí)保護(hù)與合規(guī)的達(dá)標(biāo)情況等。

應(yīng)對(duì)與處置：如前所述，我們需要根據(jù)本企業(yè)的風(fēng)險(xiǎn)偏好(即風(fēng)險(xiǎn)接受能力)，在通用的風(fēng)險(xiǎn)減輕、轉(zhuǎn)移、規(guī)避、以及接受等處置方法中進(jìn)行選擇，并予以應(yīng)對(duì)。其中，我們需要對(duì)如下兩個(gè)方面引起重視：

根據(jù)木桶原理，我們應(yīng)當(dāng)注意處置措施的一致性，以免出現(xiàn)局部“短板”。
在分清風(fēng)險(xiǎn)的所有者、以及控制實(shí)施者的基礎(chǔ)上，兼顧時(shí)間、預(yù)算等成本，靈活增減各項(xiàng)管控策略。

監(jiān)控改進(jìn)：通過運(yùn)用持續(xù)監(jiān)控與跟蹤事件等方式，我們既能夠以“增量”的方式識(shí)別出新的風(fēng)險(xiǎn);又能夠在現(xiàn)有“存量”上獲悉管理的效果，以及殘留風(fēng)險(xiǎn)的態(tài)勢(shì)，進(jìn)而提出糾正或改進(jìn)的計(jì)劃。

總之，我們可以從“知己”的角度出發(fā)，進(jìn)行業(yè)務(wù)影響分析(BIA)，同時(shí)從“知彼”的方面，借用各種風(fēng)險(xiǎn)評(píng)估(RA)的方式，確保風(fēng)險(xiǎn)管理的落地，并為必要時(shí)的全面復(fù)盤做好基礎(chǔ)性的準(zhǔn)備工作。

定規(guī)則

當(dāng)然，前面的風(fēng)險(xiǎn)識(shí)別與管控，主要還是由決策人員和管理人員共同完成的。而對(duì)于執(zhí)行人員與外包人員而言，我們需要通過一套完整的規(guī)章制度，來(lái)指導(dǎo)他們的日常工作，并規(guī)范他們的數(shù)據(jù)處置行為。也就是說，作為安全體系中必不可少的一部分，企業(yè)需要制定出全面、適當(dāng)、明確的安全執(zhí)行方案和標(biāo)準(zhǔn)，以妥善管控企業(yè)內(nèi)部的信息、以及流入流出的各種重要數(shù)據(jù)。同時(shí)，我們也要確保整個(gè)運(yùn)營(yíng)過程，能夠持續(xù)遵守所在地區(qū)的法律、法規(guī)。

為了讓大家有個(gè)直觀的概念，下面我列舉出本企業(yè)正在恪守執(zhí)行的典型數(shù)據(jù)系統(tǒng)管理與實(shí)施細(xì)則：

硬件

用戶電腦

僅使用安裝了企業(yè)統(tǒng)一化的定制操作系統(tǒng)鏡像，訪問并處理工作中的相關(guān)數(shù)據(jù)。
通過組策略(Group Policy)禁止用戶擅自修改系統(tǒng)環(huán)境與安全設(shè)置，并啟用無(wú)使用時(shí)的自動(dòng)鎖屏等功能。
禁止用戶修改瀏覽器的代理、隱私等安全設(shè)置。
預(yù)安裝惡意軟件防護(hù)工具，并使用戶無(wú)法禁用其守護(hù)進(jìn)程。
普通用戶登錄賬戶不應(yīng)具備本地管理員權(quán)限，既無(wú)法寫入或修改系統(tǒng)注冊(cè)表，也無(wú)法將電腦退出或修改企業(yè)的域控。
通過管理工具對(duì)用戶電腦進(jìn)行統(tǒng)一的更新、修改和信息收集。
通過啟用硬盤加密功能，來(lái)保證設(shè)備在丟失或被盜時(shí)，文件的機(jī)密性得以保障。

服務(wù)器

統(tǒng)一安裝企業(yè)定制的、滿足安全基線的操作系統(tǒng)鏡像。
預(yù)安裝企業(yè)級(jí)惡意軟件防護(hù)工具，并實(shí)現(xiàn)集中化的管理和更新。
通過刪除和重命名默認(rèn)管理員帳號(hào)等方式，來(lái)加固服務(wù)器。
通過管理工具對(duì)服務(wù)器進(jìn)行統(tǒng)一的更新、修改和信息收集。

移動(dòng)設(shè)備

任何移動(dòng)設(shè)備都必須通過認(rèn)證，方可連接到企業(yè)郵箱。
可通過移動(dòng)設(shè)備管理(MDM)系統(tǒng)，遠(yuǎn)程鎖定或擦除丟失設(shè)備上的數(shù)據(jù)。
默認(rèn)啟用自動(dòng)鎖屏、強(qiáng)鎖屏密碼等安全策略。

機(jī)房

安裝能夠保持常鎖狀態(tài)的門禁系統(tǒng)，且開鎖的權(quán)限僅限于部分人員。
進(jìn)出機(jī)房要有記錄。
機(jī)房應(yīng)配備有架空防靜電地板、7×24小時(shí)空調(diào)、不間斷電源、以及安全攝像頭等。
對(duì)于托管類數(shù)據(jù)中心，應(yīng)參照ISO27011的相關(guān)標(biāo)準(zhǔn)，配有7×24小時(shí)監(jiān)控、雙路供電、以及主從DNS的雙線制等，ITIL服務(wù)類型的管理。

軟件

應(yīng)用程序

針對(duì)不同的應(yīng)用程序，設(shè)置不同的用戶和組別，以及不同的訪問權(quán)限。
通過單點(diǎn)登錄(SSO)來(lái)統(tǒng)一各種應(yīng)用，以實(shí)現(xiàn)用戶賬號(hào)權(quán)限的自動(dòng)匹配。
根據(jù)程序的功能和使用的范圍，擬制所有應(yīng)用的全量列表，其中包含：類別、基本描述、版本號(hào)、許可證、獲取方式等信息。
通過工具繪制某類數(shù)據(jù)在內(nèi)部各個(gè)應(yīng)用(或系統(tǒng))之間進(jìn)行流轉(zhuǎn)的用例圖(如下圖所示)。

文檔及其管理平臺(tái)

建議將工作相關(guān)文檔存入指定的共享目錄，而非用戶電腦的本地磁盤;將客戶或特定項(xiàng)目的相關(guān)文檔導(dǎo)入特定的協(xié)作管理平臺(tái)。
文檔在存儲(chǔ)過程中，除了指定其公開(Public)或私有(Private)屬性外，還應(yīng)當(dāng)對(duì)具體用戶和組別，指定“讀、寫、改、刪”等細(xì)粒度權(quán)限。
通過管理平臺(tái)，持續(xù)記錄并保存用戶的各項(xiàng)操作日志，并能夠?qū)Σ缓弦?guī)的行為予以警告。

郵件管理

對(duì)出入本系統(tǒng)的郵件配置防病毒、防惡意軟件、反垃圾郵件、黑/白名單、加密歸檔等服務(wù)。
對(duì)郵件的PC客戶端、移動(dòng)端、以及基于網(wǎng)頁(yè)的郵件訪問方式等，啟用安全設(shè)置。
禁止用戶通過手動(dòng)、或自定義設(shè)置規(guī)則進(jìn)行批量轉(zhuǎn)發(fā)。
通過SaaS服務(wù)等方式，保持郵件系統(tǒng)在斷網(wǎng)情況下的可用性。

網(wǎng)絡(luò)

連網(wǎng)方式

發(fā)現(xiàn)并繪制詳細(xì)的網(wǎng)絡(luò)連接設(shè)備與端口狀態(tài)的拓?fù)鋱D。
對(duì)各種網(wǎng)絡(luò)連接設(shè)備采用統(tǒng)一化的配置模板，并對(duì)各個(gè)設(shè)備的配置進(jìn)行集中式備份。
劃分僅供外部用戶以安全套接層(SSL)方式訪問的DMZ區(qū)域與資源。
在網(wǎng)絡(luò)邊緣與接入處，對(duì)出入向數(shù)據(jù)包執(zhí)行內(nèi)容掃描，請(qǐng)求特征分析，策略合規(guī)判斷，以及跟蹤記錄等操作。

無(wú)線連接

提供全覆蓋的統(tǒng)一ID和企業(yè)版加密連接控制。
允許域賬號(hào)通過無(wú)線網(wǎng)絡(luò)訪問企業(yè)資源;而非域用戶僅能訪問公共的資源。

數(shù)據(jù)

對(duì)本地和云端存儲(chǔ)空間實(shí)施邏輯隔離，確保數(shù)據(jù)的物理存放符合所在區(qū)域的本地法律規(guī)范。
按需對(duì)測(cè)試、共享、以及發(fā)布類數(shù)據(jù)進(jìn)行脫敏(Data Desensitization)和加噪，并按照ISO/IEC 27018的相關(guān)標(biāo)準(zhǔn)，保護(hù)數(shù)據(jù)隱私。
對(duì)靜態(tài)存放與動(dòng)態(tài)流轉(zhuǎn)的數(shù)據(jù)，按需采用企業(yè)級(jí)的加密標(biāo)準(zhǔn)(如：AES 256 bit和TLS v1.3)，并對(duì)歸檔數(shù)據(jù)實(shí)施恰當(dāng)?shù)牧舸媾c銷毀策略。

訪問

訪問賬號(hào)

通過基于角色的訪問控制(RBAC)，來(lái)實(shí)現(xiàn)最小特權(quán)(LUA)管理。
執(zhí)行人員僅使用特殊賬號(hào)進(jìn)行運(yùn)維與管理類操作，以方便跟蹤和審計(jì)。
按照職權(quán)分離(SoD)和須知(Need to know)的原則設(shè)定不同的用戶組。
對(duì)所有賬號(hào)統(tǒng)一采取強(qiáng)密碼策略。

遠(yuǎn)程接入

統(tǒng)一采用多因素的訪問認(rèn)證方式。
允許任何設(shè)備接入基于網(wǎng)頁(yè)的遠(yuǎn)程桌面與應(yīng)用;僅允許本企業(yè)移動(dòng)設(shè)備連接虛擬專用網(wǎng)。
為外包人員提供特殊賬號(hào)、受限的虛擬專用網(wǎng)連接、以及必需的應(yīng)用。

協(xié)作平臺(tái)

以集中化管理的協(xié)作平臺(tái)，實(shí)現(xiàn)內(nèi)、外部人員的溝通、協(xié)作、以及文件交換。
使用統(tǒng)一的內(nèi)部平臺(tái)，實(shí)現(xiàn)對(duì)所有的事件、問題、請(qǐng)求、以及變更的管理。
使用統(tǒng)一的資源平臺(tái)，實(shí)現(xiàn)對(duì)各類客戶，以及項(xiàng)目進(jìn)度的跟蹤與管理。

防御

以服務(wù)級(jí)別協(xié)議(SLA)的方式，制定完備的備份與恢復(fù)策略，以及恢復(fù)點(diǎn)(RPO)和恢復(fù)時(shí)間目標(biāo)(RTO)，并將備份介質(zhì)離站放置。
使用安全信息與事件管理(SIEM)系統(tǒng)對(duì)日志予以集中和分析。
監(jiān)控各種網(wǎng)絡(luò)設(shè)備和服務(wù)器硬盤的使用率、以及在線狀態(tài)等指標(biāo)。
制定并定期更新應(yīng)急響應(yīng)流程，組織相關(guān)人員進(jìn)行演練。
定期對(duì)軟、硬件進(jìn)行滲透測(cè)試，對(duì)人員進(jìn)行社會(huì)工程與郵件釣魚等安全意識(shí)測(cè)試。

可見，上述細(xì)則涵括了硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)、訪問、防御，六種企業(yè)里最常見的數(shù)據(jù)流轉(zhuǎn)領(lǐng)域，以及各類人員能夠頻繁接觸到的場(chǎng)景。

審管理

常言道：“三分技術(shù)、七分管理?！鼻懊嫖覀兺ㄟ^理論和技術(shù)的介紹，為前四種角色人員，分步驟展示了基本的安全體系結(jié)構(gòu)。而對(duì)于最終用戶和審計(jì)人員來(lái)說，則需要通過如下方面，培養(yǎng)自己的安全意識(shí)和基本應(yīng)對(duì)能力，并且據(jù)此來(lái)指導(dǎo)日常的各項(xiàng)工作。

定期以海報(bào)、電子郵件、速查手冊(cè)、以及面對(duì)面技能培訓(xùn)等方式，來(lái)參與并獲取安全與風(fēng)險(xiǎn)意識(shí)。
禁止安裝并使用那些非企業(yè)認(rèn)可的社交賬號(hào)、即時(shí)通訊軟件、以及在線文件平臺(tái)。對(duì)在各大平臺(tái)上發(fā)布、轉(zhuǎn)發(fā)、披露本企業(yè)數(shù)據(jù)和敏感信息的行為，進(jìn)行規(guī)范、限制和監(jiān)控。
定期執(zhí)行和參與內(nèi)、外部審計(jì)，重視審計(jì)中發(fā)現(xiàn)的問題，并及時(shí)整改。
接受上下游合作商、以及由客戶所主導(dǎo)的，參照《通用數(shù)據(jù)保護(hù)條例(GDPR)》或《網(wǎng)絡(luò)安全法》等法律法規(guī)，所開展的各類安全評(píng)審活動(dòng)。

結(jié)語(yǔ)

掌握著各類敏感數(shù)據(jù)的咨詢業(yè)，比其他領(lǐng)域更需要重視數(shù)據(jù)安全。通過上述針對(duì)安全架構(gòu)的逐層討論，希望您已經(jīng)對(duì)其中涉及到的人、貨、場(chǎng)等方面有所了解。當(dāng)然，理論概念是需要實(shí)踐和落地的。如果我們只注重技術(shù)的堆砌，而與業(yè)務(wù)脫鉤，那么將會(huì)淪為疲于撿漏、甚至消極應(yīng)對(duì)。因此，讓我們以上述要點(diǎn)為參考，制定出屬于自己企業(yè)與行業(yè)特點(diǎn)的可實(shí)現(xiàn)安全體系，一邊搭建一邊改進(jìn)，不斷迭代。常言道：“與其臨淵羨魚，不如退而結(jié)網(wǎng)?！弊屛覀償]起袖子，下場(chǎng)搏擊吧。

標(biāo)題名稱：【廉環(huán)話】不要讓數(shù)據(jù)安全成為“盲盒”里的那只貓--淺談咨詢業(yè)數(shù)據(jù)安全體系建設(shè)
鏈接URL：http://fisionsoft.com.cn/article/cdggegi.html