数据分类方案用于区分各种信息本身的价值,以及这些信息对企业的价值。信息因其价值不同而获得不同的对待方式。例如,对于知识产权信息,必须限制这类信息的传播才能保护其价值;而对于公开销售信息,则是传播范围越广泛越好。
商业企业典型的数据分类方案将数据分为以下四种:
• 公共
• 敏感
• 私有
• 机密
公共信息可以在企业外部共享,而不会对企业造成影响。此类信息几乎不需要任何防泄露保护。(但是,仍然需要保护此类信息的完整性,例如,应该控制公共网站的访问权限,以防止攻击者破坏公司的网站。)
敏感信息不应该公开,但是一旦被泄露也不会对企业造成很严重的影响。敏感信息包括:项目计划、普通业务合同(如租赁合同)、交货时间表等,此类信息透露的少量内容可能会使竞争对手从中分析或拼凑出企业运营和战略方面的信息。因此,敏感信息在防泄露方面需要比公共信息获得更多保护。虽然敏感信息的丢失不会造成太大影响,但是私有或机密信息的丢失将使企业损失惨重。
私有信息是指与客户、员工、委托人以及其他利益相关人有关的数据。信用卡数据和身份证号码泄露等都属于私有信息丢失。此类信息丢失将会给企业带来以下损失:品牌形象受损(例如,如果百货公司出现大规模的用户信息泄露事件,购物者就可能投向竞争对手的怀抱)、罚款以及其他由于违反隐私权法规所面临的处罚。
机密信息泄露将对企业造成极大的负面影响,因此机密信息必须受到限制。商业机密、合同谈判过程以及战略规划信息都属于机密信息,受保护级别高于敏感信息或私有信息。
采用一种分类方案(如上述分类方案)之后,企业所管理的所有信息都必须按照该方案进行归类。这项工作可能非常耗时,并且有时分类的界限不明显;例如,季度盈利报告有时可能属于敏感信息或机密信息,但有时又可能是公共信息。
数据防泄漏基本思路:
1.企业核心客户资料、技术档案等机密数据。这类数据需要制定特定的加密策略,方法可以是采用专用数据库,设定高限制性的管理权限以及高级别的加密算法等。
2.企业的敏感数据和私有数据。这类数据并不需要进行高级别加密保护,但是防泄漏工作仍是十分必要的。这类数据的保护措施可以为数据库安装防火墙,及时清除过期的数据资源等。
3.对于公开的公司新闻类的公共数据。这类数据没有防泄漏的具体要求,管理的策略可以是合理的设置访问和修改的权限。以免这类数据大规模的泄漏影响到企业其他重要的数据安全。
