企業如何維護數據安全

2013-11-12 16:06:35 大云網　點擊量：評論 (0)

近幾年來，網絡安全事件頻頻發生。人們對外部入侵和網絡安全日益重視，大多企業重視提高企業網的邊界安全，暫且不提它們在這方面的投資多少，但是大多數企業網絡的核心內網還是非常脆弱的。08年突如其來的經

近幾年來，網絡安全事件頻頻發生。人們對外部入侵和網絡安全日益重視，大多企業重視提高企業網的邊界安全，暫且不提它們在這方面的投資多少，但是大多數企業網絡的核心內網還是非常脆弱的。08年突如其來的經濟危機，使得飽受成本激增、外部需求減緩、人民幣升值等因素影響的我國中小企業而言，更是雪上加霜。這使得那些企業快速發展中存在的內網管理混亂、機密信息外泄、員工效率低下等諸多問題，紛紛顯露出來。

隨著云計算、物聯網和移動互聯網概念的火熱。大數據的出現更讓網絡信息安全成為了眾矢之的。

2012年見諸媒體的信息泄密事件超30起，而這僅是冰山一角，事件本身帶來的損失、對行業及社會的負面影響等均讓人不安加揪心。

2012年1月，亞馬遜旗下美國電子商務網站Zappos遭到黑客網絡攻擊，2400萬用戶的電子郵件和密碼等信息被竊取。

2012年3月，東軟集團被曝商業秘密外泄，約20名員工因涉嫌侵犯公司商業秘密被警方抓捕。此次商業秘密外泄造成東軟公司損失高達4000余萬元人民幣。

2012年3月，央視3.15晚會曝光招商銀行、中國工商銀行、中國農業銀行員工以一份十元到幾十元的價格大肆兜售個人征信報告、銀行卡信息，導致部分用戶銀行卡賬號被盜。

2012年7月，京東、雅虎、Linkedin和安卓論壇累計超過800萬用戶信息泄密，而且讓人堪憂的是，部分網站的密碼和用戶名稱是以未加密的方式儲存在純文字檔案內，意味著所有人都可使用這些信息。

2012年“十大信息泄密事件”更讓各家企業審視自身的數據安全。我們通過對2012年十大信息泄密事件進行歸納分析，泄密方式主要有三種情況：黑客入侵；用戶信息未加密;企業內部員工竊密；服務外包人員竊密。其中，企業員工內部泄密對企業的損害程度和其發生的頻度遠遠高于其他外部攻擊竊密，更應是防范重點。罪犯雖然已被查處，但透過事件本身我們看到，種種信息竊密，無一不透露出現行監管制度的欠缺、內部管理和技術措施的缺失及個人信息安全保護意識的薄弱等問題。其中，企業的內網安全防護水平更是偏低，不論是外部黑客入侵，還是內部泄密，企業都缺乏有力的監管手段。特別是電信運營商、金融、電商等這些與網民十分相關的單位，防泄密更是重中之重。

信息安全的重要今非昔比。信息安全對于現代企業的作用越來越獨立，其重要性與人力資源、生產資料、管理、技術等生產要素相比，已越來越趨于平衡。那企業怎么樣對其數據進行泄密防護？

第一：對數據的使用環境必須進行全方位的防護，包括服務器、計算機終端、筆記本電腦、U盤外設、網絡以及文件外發等數據使用的各個環節都要進行防護。防泄密的最終效果完全取決于整個防護環節中最薄弱的地方，如同木桶原理。

第二：以數據為核心，從數據存儲、傳輸、使用進行全周期防護。在數據存儲與使用過程中可以采用密文的形式進行防護。但是在打開數據使用過程當中，數據必然是處于明文狀態，那么如何防止在明文狀態下的數據泄密問題，就必須要考慮。

第三：對數據泄密的防護必須提供多層次的防護，單純加密是不夠的。數據泄密防護除了加密外還應該包括密鑰管理、身份認證、訪問控制、安全審計等一系列的安全防護手段。

經濟危機固然可怕，但是忽視企業自身的安全更加可怕，前者只不過是惡化企業生存環境，但后者則會使企業突然陷入危機，并迅速走向衰敗。

總之，對于對數據有高保密要求的行業來說，信息安全保障系統的建設，不僅需要嚴格的“制度防內”包括建立嚴密的計算機管理規章制度、運行規程，形成內部各層人員、各職能部門、各應用系統的相互制約關系，杜絕內部作案的可能性，并建立良好的故障處理反應機制，保障信息系統的安全正常運行；更需要成熟完善的“技術防內”，通過技術手段上加強安全措施，防止內部不合規行為，防止內網的信息泄密，使正常業務與應用不受影響。