近日,斯诺登爆料美国“棱镜计划”成为大家关注的焦点,这让山姆大叔的自由、尊重人权的伪形象瞬间垮塌。我们暂且不说“棱镜事件”带来的国家层面的安全问题,仅就企业来说,核心数据时刻面临着被窃取的风险。威胁已至,如果企业不想重蹈山姆大叔的尴尬,那么此刻就要重视自身数据安全防护体系的建设了!
企业加强核心数据安全的防护已经刻不容缓,这次棱镜门的曝光给企业数据安全带来了哪些警示?如何提升企业保护数据泄密的意识?企业该如何做好数据安全策略?为此,我们专门采访了专注于数据安全领域的明朝万达总裁王志海。
▲明朝万达总裁王志海
“棱镜门”事件给企业带来的警示
王志海首先谈到,棱镜事件的曝光至少给企业用户带来了三方面的警示:一是获取企业有价值的数据已成为各类攻击者最主要的目标;二是依赖传统的边界防护、计算平台防护和恶意软件识别手段已无法完全保护企业的数据安全;三是企业要认识到数据泄密不是没有发生,而是大部分的泄密事件根本没被发现。
“提升企业保护数据的意识是系统工作,要把泄密风险培训、数据安全制度及相关技术措施结合起来,企业应该抓住这次棱镜事件结合自身信息化现状进行宣传教育工作,提升企业员工特别是高层管理人员数据安全保护意识。”王志海向企业这样建议到。
企业做好数据安全策略,首先要抓住四个关键点,包括数据流程的梳理、全面数据安全风险分析模型建立、统一数据安全体系规划和数据安全分步实施计划。统一数据安全体系规划和数据安全分步实施计划是数据安全防护具体落地工作中的两面,数据安全必然将成为企业信息化的核心问题,一方面要求企业有整体数据安全建设目标和规划,才能实现真正的数据安全防护;另一方面因为数据安全建设关系到全员意识和流程的改变,为了避免全方位实施带来的项目失败风险,建议企业要制定可行的分布实施计划。
“棱镜门”事件后企业该如何做好数据安全?
企业数据安全和员工个人隐私之间关系的处理是普遍关心的问题,尤其在BYOD模式下,问题更为突出。王志海表示,要想处理好企业数据安全与员工个人隐私之间的关系需注意两点:一是数据安全防护尽可能以企业应用系统为基准建立,这样可以精准定位需要防护的企业数据;二是尽可能以加密技术为核心建立事前控制防护机制,减少无差别的审计措施,从而降低对个人隐私侵犯的担忧。
不同行业企业对解决方案的需求差异性比较大,用户要将数据安全防护方案落到实处。因此,在方案选型时企业要根据自身的实际情况来选择切勿盲目,一是技术方案要考虑和企业的文化相匹配,例如国有企业可能要管理习惯和安全强度之间做适度平衡,而家长式的民营企业则可以考虑安全强度更高的方案;二是要结合具体的业务应用场景来选择制定方案,避免只在网络系统层面或者产品功能方面草率地选择方案;三是要选择行业内有一定规模的专业厂商,确保项目后续服务能够得到足够的保障。
另外,对于员工的安全培训和意识普及也是企业做好数据安全的重要一步。安全意识的提升一是可以通过一些负面的案例分析教育来提升,二是可以就其中一种业务流程建立数据安全防护措施,让大家在日常工作中逐步养成数据安全防护意识,这更加有效。
对于不同企业的数据安全解决方案,王志海谈到,不同企业数据安全防护模型差异较大,尤其是不同的行业之间,不存在普适性的最佳数据安全防护模型。建议企业应该以业务应用系统为主线,建立与业务应用系统紧密配合的数据安全防护模型,这或许就是每个企业最佳的数据安全防护模型。
总结:谈及数据安全未来发展的趋势,王志海讲到,信息化最核心的价值体现就是数据,如何守护这些数据的价值,就是数据安全要解决的问题。从此可以预见,数据安全以后必然是信息化的核心组成部分,信息化水平越高,对数据安全的需求越迫切,可以说数据安全将是信息安全实现数量级增长的一个主要支撑。