首页 > 业界动态 > 正文

企业数据安全防护不容忽视的几个问题
2016-02-25 16:32:02   来源: 国务院参事处 信息技术处 赵新启 51CTO.com    评论:0 点击:

目前,越来越多的企业开始重视业务数据安全防护工作,特别是随着有中国版“萨班斯法案”之称的《企业内部控制基本规范》颁布以及云计算技术的广泛应用,数据保护重心已从单纯针对系统与网络基础层面防护向关注应用和关键数据层面的防护转换。

随着网络信息技术和电子商务的发展,对于现代企业而言,关键业务数据已经成为其核心资产之一,也是企业核心竞争力的体现。一家现代企业能否对其关键敏感数据进行有效保护,已成为企业自身在激烈的商业竞争中能否立于不败之地的一项决定因素。敏感数据丢失对企业不但意味着重大经济损失,还会给企业信誉带来致命影响。2013年部分品牌连锁酒店“开房数据泄露”事件、2011年知名程序员网站CSDN 600多万用户信息泄露以及天涯社区4000万用户资料泄露等事件表明,数据安全无小事,如果不采取有效手段加强数据安全防护,由此造成的损失是难以估量的。

目前,越来越多的企业开始重视业务数据安全防护工作,特别是随着有中国版“萨班斯法案”之称的《企业内部控制基本规范》颁布以及云计算技术的广泛应用,数据保护重心已从单纯针对系统与网络基础层面防护向关注应用和关键数据层面的防护转换。尽管如此,仍有一些企业数据安全方面的问题没有得到足够的重视,所以,我们来看看目前企业CIO眼中普遍担心的数据安全威胁都有哪些?

◆敏感信息及数据在哪里?哪些是敏感数据?(关注度:5星)

◆怎么可视化数据在IT环境中的动向?(关注度:5星)

◆怎么制定一个既不阻碍业务发展,又能满足合规要求,还得具备与合作伙伴实现部分数据共享的整体数据保护策略?(关注度:4星)

◆如何智能地,主动地处理大量不同环境中进行交换的数据,如云环境、移动互联网环境等。(关注度:4星)

◆有哪些价钱合适又有效果的DLP解决方案、数据库防护技术,以及无缝的数据整合加密技术来帮助企业实现整体的风险控制与管理?(关注度:3星)

注:上面的关注度只是笔者给出的一个主观评价,不具备任何参考价值,提到的所有点,都是非常重要的,尤其对于一个CISO来说,这是你每天都要面对的事情,笔者也在寻求上面满足几个需求的整体数据安全保护解决方案,欢迎各位读者一起讨论。为了让大家更加深入的理解数据安全不容忽视的重要性,本文将从安全管理执行效果、新兴技术应用以及物理环境安全三方面进行阐述。

一、领导重视数据防护,但执行力有待提高

信息安全领域“三分技术七分管理”的理念,已是老生常谈,目前也逐渐被企业领导层所接受,但由此带来的“一分部署九分落实”的问题,则日益显现,并已成为信息安全建设,特别是数据安全管理方面的重点和难点。遗憾的是,在实际工作中,安全要求执行不到位的情况仍相当普遍。如有的企业在自主开发部分应用系统过程中,虽然能够按照内部整体安全策略制定了开发规范,但由于种种原因未将这些规范进行拆分和细化,导致开发人员在开发过程中很难将这些要求落实到具体的开发过程中去,这给应用系统在使用阶段留下了隐患,并可能导致关键数据泄露。这样的例子还很多,它们都是因为管理执行力不到位造成的。

“天下难事,必做于易;天下大事,必做于细”。对于企业来讲,领导重视了、制度有了、装备有了、部署有了,但是能否按质、按量、按时地将各项要求细化并落在实处,进而取得预期的效果,确实还要做大量周密细致的工作。“执行力就是战斗力”,只有数据安全管理的每一个执行者依据相关制度要求认真履行各自的岗位职责,才能使数据安全管理制度真正落到实处,才能使企业的数据安全保护水平达到应有的高度,而要想达到这个目标,企业内部自上而下、依法依规的办事风气、严格的惩罚制度、有效的激励政策等等都是必不可少的。

二、采用新兴技术体系框架,但数据防护应用能力滞后

作为计算机与互联网技术融合发展的产物,以云计算、物联网为代表的新兴技术体系,正逐步地被推广到各应用领域中,并为信息技术产业模式带来了重大革新,但由此带来的数据安全挑战也不容小觑。以云服务为例,2011年4月,亚马逊公司在北弗吉尼亚州的云计算中心宕机,致亚马逊云服务中断持续了近4天;2012年7月,云存储服务商Dropbox确认,有黑客盗取了部分用户信息并侵袭了他们的云服务账户。

采用新兴技术体系,特别是云服务技术的企业,无论是公用云,还是私有云环境,都应对不同的云服务模式(laaS、PaaS、SaaS)进行深入的研究,有针对性制定符合自身安全需求的数据防护方案,同时还要紧密跟踪安全防护技术发展的最新研究成果,从而“在战略层面”上,能够及时调整自身数据安全管理策略,“在战术层面上”,能够不断改进提高数据防护手段。

三、数据周边防护手段齐全,但物理环境安全投入不足

大家对于小沈阳在春晚小品《不差钱》里的那句经典台词一定印象深刻:“世界上最痛苦的事情,就是钱还在,人却没了……”。在数据防护领域,最痛苦的事情也莫过于此,技术人员在、防护设备在、严格管理在,但数据自身却不在了,更严重一点,机房也没了。

对于一名专业的信息安全主管领导而言,识别物理安全控制中所存在的重大缺陷并向高层管理者提出弥补这些缺陷的建议是其必须承担的重要责任。但我们又不得不承认,很多企业里的IT部门看起来基本上是效益不大、但成本不小的部门,年度预算中被挤来挤去、砍了又砍的情况也司空见惯。因此,如何把握物理安全控制的度,就是一个仁智互现的问题了。一般来说,基本的数据物理安全,应该兼顾考虑到机房场地选择、物理锁、安全警卫、监控设备、数据备份、应急电源、防火、防水、防雷等等。而其中,我认为数据备份,特别是异地和同城的数据加密备份,则尤为重要。美国“911”事件让许多公司长年积累的商务资料在瞬间毁于一旦,也足以说明远程数据备份在关键时刻所发挥的关键作用。

总之,企业数据安全无小事,数据安全防护永远在路上。只要我们能充分认识数据安全防护的重要性,做到未雨绸缪,积极建设全方位、多层次的数据安全保护体系,就能够将数据安全威胁将至最低水平,避免不必要的损失。

【责任编辑:张存 TEL:(010)68476606】

相关热词搜索:数据安全/数据泄漏

上一篇:强酸和激光可破解iPhone手机加密数据
下一篇:Linux Mint遭“猴赛雷”攻击 85美元可买全部账户信息

分享到: 收藏