【IT168 评论】透过棱镜门事件的影响,企业越来越清晰的看到了数据安全的重要性。随着信息化的深入,数据已经成为企业的无形资产,因此,企业必须正视这些无形资产的防护问题。为此,我们采访了天融信数据安全中心经理李海鹏,共同探讨企业数据安全防护的话题。
▲天融信数据安全中心经理李海鹏
“企业管理层认识到数据的价值和数据保护的复杂性是企业提高企业保护数据泄漏的关键!”
棱镜事件的曝光在带来国家层面网络安全的普遍关注外,也给企业数据安全带来了一些警示,李海鹏谈到,棱镜事件至少有三个主体的数据泄漏,从美国政府而言,它的数据被前雇员泄漏;从普通用户而言,他的数据被为他提供服务的厂商泄漏;对第三方国家或组织而言,它们的数据被入侵而泄漏。由此,对于企业数据安全得到的警示就包含了几个方面,分别是数据泄漏很烦恼、数据资产最重要、人员管理是基础、IT供应链管理不可少、技术防范要打牢。
信息化的浪潮使经济形态发生了巨大变化,企业的价值越来越体现在无形资产中,数据日益体现出资产的属性。数据是资产,所以吸引了犯罪分子从物理空间转向网络空间;数据是企业赖以生存与发展的基础,所以企业要加强保护数据资产。企业管理层认识到数据的价值和数据保护的复杂性是企业提高企业保护数据泄漏的关键,企业在日常经营中正确平衡数据利用和数据安全的关系的行为是树立全员数据安全意识的基础。
“数据保护是涉及人、流程和技术的一体化工作!”
数据保护是涉及人、流程和技术的一体化工作,既要有高层数据治理的高层建设,也要有数据管理体系建设和人员意识培养的制度。既然数据是资产,数据就要分类分级,对重要资产重点保护;数据是资产,数据就应明确生命周期各阶段的权属关系,明确数据使用的规则,以及出现泄漏的责任判定与罚则;数据是资产,就应明确数据的流动环节和授权,明确数据与应用的关系。
企业数据策略就是要回答什么人在什么时间能通过什么应用与环境访问什么数据,以及回答如何对数据使用的审计等。李海鹏介绍到,在数据安全项目中,首先企业用户要进行业务梳理,通过业务分析确定数据模型、数据流模型、数据分级分类等,进而完成数据资源与数据保护的整体规划。特别地,在数据安全策略实践中要明确数据安全与网络环境安全的协作关系,充分利用已有的安全策略基础和安全建设基础。
企业数据中含有许多员工的个人隐私数据,毫无疑问,关于具体个人的隐私数据在企业内部应当可以在不违背法律规定情况下经过授权使用,但同时绝对不能提供给外部使用。总体原则是个人隐私相关要通过授权使用。
“对企业而言,在认识到数据资产的价值和数据泄漏的危害后,以往的安全防护模型依然有效!”
数据安全解决方案是体系化的,要依据企业的数据安全策略理出实现的优先级,数据安全产品和方案都要围绕核心目标。李海鹏向记者介绍到,“通过大量的数据安全项目实践,我们总结出一套工程化的方法论,通过数据安全服务形成安全策略,通过数据安全解决方案解决整体保障,通过数据安全产品解决重点防护,通过广泛的合作来保障实施效果。”
目前数据安全产品可以分为结构化数据安全产品、非结构化数据安全产品、数据使用与内容审计产品、数据防泄漏产品、数据加密产品、数据安全存储与备份恢复产品、人员与授权管理产品等,每类产品解决的问题有所差异,在选择时要重点考虑投入产出比、扩展性、兼容性等。李海鹏谈到,由于数据安全产品与数据管理、业务系统等直接相关,要发挥产品的最大效果,需要不断优化与调整策略,所以在选择产品时要特别注意售后服务能力。
数据安全的风险与其它安全风险有许多不同之处,如数据泄漏不易被发现、数据泄漏对当前系统运行无影响,因此员工的数据安全意识的培训更加重要。李海鹏介绍到,企业许多员工并不了解他们正在使用的数据的价值所在,并错误地以为安全是由专人负责的,事不关己,并未充分认识到自己也是在企业数据安全中的重要角色,对员工的数据安全培训要进行纵向及交叉的培训,让各部门对彼此在数据安全职责进行了解,并结合周期性的安全攻击演习,以发现问题并进行警示。
李海鹏谈到:“对企业而言,在认识到数据资产的价值和数据泄漏的危害后,以往的安全防护模型依然有效,如访问控制模型,现在的关注点从管制主体和网络中策略执行点转移到数据这个客体上。对数据保护,由于数据种类繁多、数据流动变化多、数据分散等,在数据保护中更加要重视事前的策略设计和数据的分类分级,要更加重视重点防护和事后的审计追踪。”
对目前多数企业而言,建议首先开展数据的备份恢复建设,保证数据在灾难时能找到与可用,其次要对核心的在线系统的数据库数据进行重点保护,如加固、加密和审计,再者要进行网络数据防泄漏的建设,以便发现敏感数据流动情况并进行控制,同时要进行整体的非结构化数据集中管控,把分散的数据统一管起来,最后与企业数据资源规划同步形成完整的数据保护体系。
“数据安全正在从网络环境安全向数据本身安全转移!”
首先,随着云计算、虚拟化、移动互联网的发展,网络边界、应用和服务的边界迅速模糊化,数据安全迅速从网络环境安全向数据本身安全转移,传统的基于边界的手段虽然还能保持一定的作用,但却会因相对无效性从未来的安全体系中逐渐淡出。随着技术的发展,在企业级数据安全中数据的机密性保护和数据使用的审计会占据突出位置。
其次,随着大数据的来临,数据的窃取会形成更加庞大的产业,企业数据的利用和企业数据安全的关系更加复杂,会更加体现安全促进利用、安全创造价值的趋势,数据安全关注的范围更加广泛,如个人隐私等等。