商業(yè)秘密數(shù)據(jù)在不同階段需要受到嚴格的保護,尤其是非結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)。本文將詳細探討非結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)在不同階段的安全保護要求和措施。
一、形成階段數(shù)據(jù)安全
商業(yè)秘密數(shù)據(jù)在形成階段需要經(jīng)歷明確的安全定密過程,以確保其安全性和保密性。以下是形成階段的安全保護要求:
密級標識管理:應(yīng)采取統(tǒng)一的定密標識管理,包括統(tǒng)一定密和定密標識變更等措施。
密級標識設(shè)置:服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等存儲商業(yè)秘密數(shù)據(jù)的設(shè)備和載體應(yīng)設(shè)置并管理密級標識。
不可篡改性:密級標識本身應(yīng)不可分離,并且不可篡改。
標識結(jié)構(gòu):密級標識應(yīng)包括單位規(guī)范簡稱或標識、密級、保密期限等三個部分。
變更標識:商業(yè)秘密的密級和保密期限發(fā)生變更時,應(yīng)在原標識位置附近明顯標注新信息,同時廢除原標識。
加密保護:終端上創(chuàng)建的商業(yè)秘密數(shù)據(jù)及其使用過程中產(chǎn)生的數(shù)據(jù)應(yīng)采取加密等技術(shù)進行保護。
訪問控制:商業(yè)秘密數(shù)據(jù)的知悉范圍和訪問權(quán)限應(yīng)進行細粒度的控制。
安全審計:商業(yè)秘密數(shù)據(jù)在形成階段的操作行為應(yīng)進行安全審計,并生成安全審計統(tǒng)計分析報告。
二、流轉(zhuǎn)與應(yīng)用階段數(shù)據(jù)安全
在商業(yè)秘密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段,重要的是確保數(shù)據(jù)的安全管控。以下是相關(guān)的安全保護要求:
1.流轉(zhuǎn)過程控制
數(shù)據(jù)傳輸保護:商業(yè)秘密數(shù)據(jù)在非內(nèi)部網(wǎng)絡(luò)傳輸時,應(yīng)采取商用密碼加密等技術(shù)進行保護,以防止信息被竊取。
數(shù)字簽名:采用數(shù)字簽名和時間戳等技術(shù),以防止參與通信的雙方或一方對自己的行為進行否認。
網(wǎng)絡(luò)嗅探工具禁止:在運行商業(yè)秘密信息系統(tǒng)的網(wǎng)絡(luò)中,不得使用帶有網(wǎng)絡(luò)嗅探功能的工具或設(shè)備,以防止未經(jīng)授權(quán)的監(jiān)控。
郵件和網(wǎng)頁審計:對電子郵件、網(wǎng)頁訪問、FTP、P2P等軟件的使用應(yīng)采取黑/白名單方式管理,并進行審計。
2.應(yīng)用控制
權(quán)限設(shè)置:對不同類別的商業(yè)秘密數(shù)據(jù)應(yīng)根據(jù)企業(yè)實際情況設(shè)置相應(yīng)的權(quán)限,確保只有授權(quán)人員可以訪問和編輯。
審計操作行為:對商業(yè)秘密數(shù)據(jù)的應(yīng)用操作行為應(yīng)進行審計,對違規(guī)操作行為進行報警,并保存審計記錄至少半年。
不影響正常業(yè)務(wù):商業(yè)秘密數(shù)據(jù)的管理和控制不應(yīng)影響員工的正常編輯、閱讀、數(shù)據(jù)處理等業(yè)務(wù)操作,同時不受網(wǎng)絡(luò)連通狀況的影響。
三、外發(fā)過程控制
審批與授權(quán):商業(yè)秘密數(shù)據(jù)的外發(fā)行為應(yīng)經(jīng)過審批和授權(quán)控制。
權(quán)限控制:對商業(yè)秘密數(shù)據(jù)的知悉范圍和權(quán)限應(yīng)進行精確控制,包括限制閱讀人員、閱讀次數(shù)和閱讀期限。
數(shù)據(jù)加密:外發(fā)的商業(yè)秘密數(shù)據(jù)內(nèi)容應(yīng)采用數(shù)據(jù)加密等安全技術(shù)進行保護。
審計外發(fā)行為:對商業(yè)秘密數(shù)據(jù)的外發(fā)行為應(yīng)進行審計,對違規(guī)操作行為進行報警,并保存審計記錄至少半年。
四、存儲階段數(shù)據(jù)安全
商業(yè)秘密數(shù)據(jù)在存儲階段需要受到特別的保護,以確保不被泄露或竊取。以下是相關(guān)的安全保護要求:
1.終端存儲保護
加密技術(shù):終端上的商業(yè)秘密數(shù)據(jù)應(yīng)采用商用密碼加密等技術(shù)進行保護,同時實施讀寫訪問控制,以防止數(shù)據(jù)泄露。
審批和審計:商業(yè)秘密數(shù)據(jù)導(dǎo)出時應(yīng)經(jīng)過審批,審批過程應(yīng)可審計。
移動存儲介質(zhì)保護:使用移動存儲介質(zhì)時應(yīng)進行嚴格的授權(quán)訪問控制,確保數(shù)據(jù)安全。
2.服務(wù)器存儲保護
數(shù)據(jù)加密:商業(yè)秘密數(shù)據(jù)在服務(wù)器中存儲應(yīng)采取商用密碼加密等技術(shù)進行保護,以防止數(shù)據(jù)被竊取。
完整性監(jiān)測:應(yīng)對存儲的商業(yè)秘密數(shù)據(jù)采取完整性監(jiān)測措施,以防止數(shù)據(jù)被篡改。
訪問控制:對于保存在服務(wù)器上的商業(yè)秘密數(shù)據(jù)應(yīng)實行訪問控制,防止未經(jīng)授權(quán)的訪問。
維修處理:需要維修的服務(wù)器存儲介質(zhì)應(yīng)進行數(shù)據(jù)擦除,確保數(shù)據(jù)不被泄露。
五、脫密及銷毀階段數(shù)據(jù)安全
最后,在商業(yè)秘密數(shù)據(jù)的脫密和銷毀階段需要采取以下安全措施:
脫密審批和審計:商業(yè)秘密數(shù)據(jù)的脫密應(yīng)經(jīng)過審批,審批過程應(yīng)可審計,對脫密的商業(yè)秘密數(shù)據(jù)進行審計。
數(shù)據(jù)銷毀:商業(yè)秘密數(shù)據(jù)銷毀后,應(yīng)對處理商業(yè)秘密數(shù)據(jù)的載體進行數(shù)據(jù)擦除和銷毀。
自動銷毀:超出使用權(quán)限的外發(fā)商業(yè)秘密數(shù)據(jù)應(yīng)自動銷毀,以防止越權(quán)訪問。
綜上所述,非結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)的安全保護要求包括形成階段的定密管理、流轉(zhuǎn)與應(yīng)用階段的數(shù)據(jù)管控、存儲階段的保密措施,以及脫密及銷毀階段的安全處理。企業(yè)需要綜合考慮這些要求,以確保商業(yè)秘密數(shù)據(jù)在整個生命周期內(nèi)得到充分的保護。