企業(yè)如何維護數(shù)據(jù)安全

2013-11-12 16:06:35 大云網(wǎng)　點擊量：評論 (0)

近幾年來，網(wǎng)絡(luò)安全事件頻頻發(fā)生。人們對外部入侵和網(wǎng)絡(luò)安全日益重視，大多企業(yè)重視提高企業(yè)網(wǎng)的邊界安全，暫且不提它們在這方面的投資多少，但是大多數(shù)企業(yè)網(wǎng)絡(luò)的核心內(nèi)網(wǎng)還是非常脆弱的。08年突如其來的經(jīng)濟危機，使得飽受成本激增、外部需求減緩、人民幣升值等因素影響的我國中小企業(yè)而言，更是雪上加霜。這使得那些企業(yè)快速發(fā)展中存在的內(nèi)網(wǎng)管理混亂、機密信息外泄、員工效率低下等諸多問題，紛紛顯露出來。

隨著云計算、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)概念的火熱。大數(shù)據(jù)的出現(xiàn)更讓網(wǎng)絡(luò)信息安全成為了眾矢之的。

2012年見諸媒體的信息泄密事件超30起，而這僅是冰山一角，事件本身帶來的損失、對行業(yè)及社會的負面影響等均讓人不安加揪心。

2012年1月，亞馬遜旗下美國電子商務(wù)網(wǎng)站Zappos遭到黑客網(wǎng)絡(luò)攻擊，2400萬用戶的電子郵件和密碼等信息被竊取。

2012年3月，東軟集團被曝商業(yè)秘密外泄，約20名員工因涉嫌侵犯公司商業(yè)秘密被警方抓捕。此次商業(yè)秘密外泄造成東軟公司損失高達4000余萬元人民幣。

2012年3月，央視3.15晚會曝光招商銀行、中國工商銀行、中國農(nóng)業(yè)銀行員工以一份十元到幾十元的價格大肆兜售個人征信報告、銀行卡信息，導(dǎo)致部分用戶銀行卡賬號被盜。

2012年7月，京東、雅虎、Linkedin和安卓論壇累計超過800萬用戶信息泄密，而且讓人堪憂的是，部分網(wǎng)站的密碼和用戶名稱是以未加密的方式儲存在純文字檔案內(nèi)，意味著所有人都可使用這些信息。

2012年“十大信息泄密事件”更讓各家企業(yè)審視自身的數(shù)據(jù)安全。我們通過對2012年十大信息泄密事件進行歸納分析，泄密方式主要有三種情況：黑客入侵；用戶信息未加密;企業(yè)內(nèi)部員工竊密；服務(wù)外包人員竊密。其中，企業(yè)員工內(nèi)部泄密對企業(yè)的損害程度和其發(fā)生的頻度遠遠高于其他外部攻擊竊密，更應(yīng)是防范重點。罪犯雖然已被查處，但透過事件本身我們看到，種種信息竊密，無一不透露出現(xiàn)行監(jiān)管制度的欠缺、內(nèi)部管理和技術(shù)措施的缺失及個人信息安全保護意識的薄弱等問題。其中，企業(yè)的內(nèi)網(wǎng)安全防護水平更是偏低，不論是外部黑客入侵，還是內(nèi)部泄密，企業(yè)都缺乏有力的監(jiān)管手段。特別是電信運營商、金融、電商等這些與網(wǎng)民十分相關(guān)的單位，防泄密更是重中之重。

信息安全的重要今非昔比。信息安全對于現(xiàn)代企業(yè)的作用越來越獨立，其重要性與人力資源、生產(chǎn)資料、管理、技術(shù)等生產(chǎn)要素相比，已越來越趨于平衡。那企業(yè)怎么樣對其數(shù)據(jù)進行泄密防護？

第一：對數(shù)據(jù)的使用環(huán)境必須進行全方位的防護，包括服務(wù)器、計算機終端、筆記本電腦、U盤外設(shè)、網(wǎng)絡(luò)以及文件外發(fā)等數(shù)據(jù)使用的各個環(huán)節(jié)都要進行防護。防泄密的最終效果完全取決于整個防護環(huán)節(jié)中最薄弱的地方，如同木桶原理。

第二：以數(shù)據(jù)為核心，從數(shù)據(jù)存儲、傳輸、使用進行全周期防護。在數(shù)據(jù)存儲與使用過程中可以采用密文的形式進行防護。但是在打開數(shù)據(jù)使用過程當(dāng)中，數(shù)據(jù)必然是處于明文狀態(tài)，那么如何防止在明文狀態(tài)下的數(shù)據(jù)泄密問題，就必須要考慮。

第三：對數(shù)據(jù)泄密的防護必須提供多層次的防護，單純加密是不夠的。數(shù)據(jù)泄密防護除了加密外還應(yīng)該包括密鑰管理、身份認證、訪問控制、安全審計等一系列的安全防護手段。

經(jīng)濟危機固然可怕，但是忽視企業(yè)自身的安全更加可怕，前者只不過是惡化企業(yè)生存環(huán)境，但后者則會使企業(yè)突然陷入危機，并迅速走向衰敗。

總之，對于對數(shù)據(jù)有高保密要求的行業(yè)來說，信息安全保障系統(tǒng)的建設(shè)，不僅需要嚴格的“制度防內(nèi)”包括建立嚴密的計算機管理規(guī)章制度、運行規(guī)程，形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系，杜絕內(nèi)部作案的可能性，并建立良好的故障處理反應(yīng)機制，保障信息系統(tǒng)的安全正常運行；更需要成熟完善的“技術(shù)防內(nèi)”，通過技術(shù)手段上加強安全措施，防止內(nèi)部不合規(guī)行為，防止內(nèi)網(wǎng)的信息泄密，使正常業(yè)務(wù)與應(yīng)用不受影響。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊