客服热线:400-820-2885 800-820-2885

NEWS INFORMATION新闻动态

“棱镜门”引思索:企业如何才能保护好数据安全

2013年08月6日  【比特网】http://cloud.chinabyte.com/219/12682719.shtml

 

 

在信息化建设中,遇到的一个比较突出的问题,就是信息安全问题。计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密,虚假有害信息和网络违法犯罪等 问题日渐突出。这些问题与现象出现在全球范围内,如应对不当,可能会给我国信息化建设乃至于经济社会发展和国家安全带来不利影响。

当下最火爆的数据安全事件,当属“棱镜门”事件。也许,这不过是全球数据失守事件中的冰山一角,但依然令人瞠目结舌。“棱镜门”事件给政府、企业及个 人上了一堂现实版的信息谍战课。以前人们在电影中看到的窃密桥段,在互联网时代的今天,已成为不争的现实。“棱镜门”事件引发了各国政府、企业和个人对信 息安全的重新审视和认识——在对信息化和网络化高度依赖的今天,如何保护自己的信息数据安全,将变得比以往更为迫切。

天玑科技是IT服务领域的领先企业,多年的IT服务经验使天玑科技深刻理解数据安全对企业发展的重要意义。回顾天玑科技的服务历程,十年前,数据安全 问题远远排在企业信息化建设规划的末端,大多数企业还没有意识到数据安全会对企业造成怎样的重大影响。彼时,在多数IT管理者的概念中,只要安装几套杀毒 软件就足矣。时至今日,杀毒软件、防火墙已不足以防范各种层出不穷的黑客手段,有意或者无意的数据泄密促使企业建立一套从软件到硬件、从制度到流程的全方 位“安全网”。可以说,数据安全问题已经不再是简单的防毒杀毒事件,而是一个长期的、多角度的系统工程。

作为业内知名的“整体运营专家”,天玑科技对于数据安全有着深刻的体会。天玑科技集成事业部总经理认为,“棱镜门事件”让更多的企业开始正视数据的安全问题,开始将注意力放到内部的信息安全上,警惕那些可能造成数据泄露的漏洞。

今天的企业信息系统安全建设,与以往有何不同?

根据美国CSI/FBI的调查显示,80%的安全威胁来自企业内部,将近60%的离职者或被辞退者在离开时会携带企业数据。Ponemon研究所进行的一项最新研究调查显示,内部泄密已经成为企业数据外泄的头号原因,而黑客仅位列第五。

由此可见,企业信息系统安全建设中,要加强对内部威胁的防范。根据天玑科技多年来为用户提供数据安全服务的经验,内部数据泄密的比例越来越高。然而, 多数企业在考虑数据安全时,依然将防御外部窃密作为第一要务,花费了大量的投资购买和建设对外“屏蔽墙”,却忽视了对内管理,留下大量的管理漏洞,使得企 业重要信息在不知不觉中丢失。

因此,数据安全管理,需要采用“两手同时抓”的策略,建立完善健全的管理制度,借助先进的技术手段,在严格的数据使用和监管流程下,确保企业数据面对外部和内部威胁都能安然无恙。

建立全面的信息防泄漏体系,天玑科技认为应在管理制度上做好哪些工作?

天玑科技认为,要建立全面的信息防泄漏体系,要做好以下四点:

第一步,事先预防,控制管理。要建立以实现防范为主的安全管理系统,全方位保护敏感数据,需要企业严格遵循数据访问授权和审批管理,做到数据库管理员 的职责分离,并限制特权用户的权限,同时禁止任意的非法访问行为,如基于规则访问控制和多因素的访问控制,并区分敏感数据,从而防止旁路应用程序。

第二步,事中审批,关键操作授权和审批。以事中授权和流程审批制度,进一步保障“关键数据”的访问安全。企业通过规则配置的方式来识别不合法的关键数据操作,每次“关键数据访问”的操作,都需按照严格的执行授权,并授权到人。

第三步,事中通知,订阅和告警管理。及时发现非法访问或操作关键业务数据,并第一时间告警及提示信息管理者,以及提供自定义订阅敏感事件告警通知管理,为安全管理者掌握谁在什么时间、地点、用什么应用对关键数据做了哪些操作。

 

第四步:事后审计,追踪和发现提供审计威慑力。通过各级别的审计行为追溯能力,提供详细的审计报表,并针对海量审计信息进行筛选,定位准确的事件,为惩戒提供精细的证据。

天玑科技如何看待数据安全未来的发展趋势?

据TMT调研数据,目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%,对安全性要求比较高的金融行业为10%,而欧美互联网公司的安全支出占比普遍为8%~10%。中国企业的数据安全建设道路依然漫长。

今天,中国的企业正在由中国制造转变为中国创造,企业内部的关键数据,包括:客户资料、营销方案、财务报表、研发数据等信息资产,成为企业的核心竞争 力,是绝对不可流失的重要资产。同时,企业内部的IT应用不断的增多,由于对于IT系统的依赖性越来越强,导致信息外泄的渠道也大大增多,安全风险无处不 在。

所幸的是,已经有越来越多的政府官员和企业管理者认识到数据安全管理的重要性,并快速做出反应。他们积极吸纳国外先进技术,并灵活地与实际需要相融 合。一方面,中国本土的数据安全技术得到了快速发展和应用,另一方面,覆盖核心部门和重要企业的信息安全管理制度已经落地,并取得了一定成效。可以说,中 国的数据安全市场,是个庞大的、并且依然在深度和广度上发展的市场。在这片广袤的沃土上,中国的数据安全解决方案提供商们应把握机遇,借鉴国外经验教训, 尽量不走弯路,撑起中国全民信息安全的保护伞。