數據防泄露,不僅僅是機要數據信息防泄露,更多的是防止來自人為以及內部因素的影響。這雖為時下關注的焦點,但很多企業用戶卻在數據防護中無法尋到真正的出路。
來自安全廠商Zecurion提供的資料顯示,2011年,全球共計信息泄露事件819起,總損失金額超過200億美元,其中10億美元來自俄羅斯。回首看以往發生的數據泄露事件,小到個人隱私信息泄露,大到諸如天涯社區、索尼等企業的數據泄露,對于數據安全的防護讓更多企業和個人無所適從。安全廠商提醒,相關的泄露事件,更多的是人為因素所造成的。
而數據信息的外泄,不僅會使得公司在輿論上受到公眾的譴責,同時在法律層面上也將遭受到質疑和調查。那么數據防泄露過程中到底面臨什么樣的問題?企業用戶又將采取何種措施去應對?其背后的價值體現在哪里呢?未來又會面臨何種挑戰呢?
問題 PROBLEM
每天,很多人的手機或者郵箱中總會收到這樣或那樣的莫名資料,內容無非是變相地去激發你應用或者購買的欲望,進而達成自身的營銷目的。此外,很多求職人員接受新一家公司面試時,談及自身跳槽的依據時,手中握有原來積累的核心資料也成為員工被新公司接納的主因。出現諸如此類的問題,必然是我們的數據信息在防護過程中無法進行有效地掌控。2010年被定位成信息泄露年,諸多國內外的數據泄露事件被曝光,究其原因經濟利益的驅動是主因。其次移動互聯網、智能終端等普及和應用,云計算和虛擬化等新技術,都給數據泄露帶來新的威脅和新的不確定性。
對此,某企業安防部門負責人胡先生表示,每個公司的數據防泄露狀況不同,企業與政府機關在防護方面也不同,現如今數據防泄愈發引起社會的關注,屬于企業未來發展的重大關注趨勢。更多的企業也開始細化地分為內網和外網,不同層面地進行一些安全隔離或者建立防火墻來防止數據的泄露問題。涉及到具體的問題,則表現在企業數據防泄露的制度缺失,無法從制度上去建立數據防泄露的全員意識。其次,企業內部防護組織機構的缺失也是至關重要的問題。此外,對于數據外泄的事件,技術防范畢竟能力有限,可以說技術防三分,七分還是要靠管理。因為很多企業的資料泄露大都緣起于內部的泄露,數據管理工作的不到位也是企業面臨的主要問題之一。
立足于用戶角度,制度、組織以及管理的缺失是數據防泄露面臨的重大問題。而作為企業數據防泄的最直接參與者,明朝萬達科技有限公司總裁王志海則有不同的理解。他認為,數據防泄露的主要問題,歸結起來有以下幾方面。
數據防泄露責任和保密意識的培養不到位是首要問題。按照用戶群劃分,制造型企業和中小企業,很多均是老板意識到問題,有具體的泄露事件,但在決策過程中沒有進行系統規劃、進行全員的意識培訓,使得員工操作抵觸情緒較大。而涉及到電信運營商這個層面,迫于社會輿論和責任方面的問題,很多運營商不得不去進行數據防泄露方面的系統建設。而對于企業管理制度和業務流程未能進行細化的梳理也是數據防泄露無法有效推進的障礙。主要是體現在很多信息化程度不高的企業用戶,對于企業內部以郵件涉及到公司核心數據的,并未進行明確的訪問規定,很多企業完全保持一種“共享”的狀態,因此毫無保密而言。
很多中小企業用戶對于數據防泄露非常理想化,時常希望數據防泄過程中既不影響業務又可以合理防護。因此,對于業務管理和安全防護兩者的平衡問題成為企業普遍關注的問題。假使找不到兩者之間的平衡點,數據防泄露就無疑成為一句空話,無法有效推動。此外,對于數據外泄防護實施的計劃和步驟認知也存在巨大問題。企業內部數據防泄露的實施與實施ERP管理系統無異,很多用戶希望能夠快速部署,但是對進程缺乏計劃性,這是一個度的問題。
解決 SOLUTION
上海聯合制罐有限公司在數據防護方面已經開展了一段時間,借助相關的數據防泄系統,對于企業內部的核心數據資源,不僅能有效防止因為員工流動帶來的數據外泄事件,更是讓公司的數據訪問也逐漸進入了一個良性的訪問階段,對于企業核心數據的外泄起到一定的遏制作用。
“建立合理的授權和審批機制使數據防泄可以獲得最大限度的保障”。上海聯合制罐有限公司IT主管肖正桓說道。一般制造型企業人員流動較為頻繁,企業自己也擁有核心的數據,容易造成企業核心數據的外泄。建立合理的授權渠道,可以逐漸杜絕因為授權的渠道問題所帶來的數據外泄事件。此外,據悉,該公司現在設置有相關審批規則,數據對外使用之前都需要經過相關的審批,可以針對數據的級別進行訪問審批,進而進行合理的訪問。目前公司很多業務都按照這個規則進行,數據隨時訪問和隨意發布的狀況基本消失了。
數據防泄露方面有的用戶解決得比較好,當然也有很多嘗到了教訓。王志海認為,行業用戶較為規范,責任意識以及管理流程比較成熟,安全與業務平衡比較好。而中小型企業就比較困難,因此實施前必須調研,對于核心數據防泄露問題進行具體的管理梳理。在實施部署數據防護項目時召開項目啟動會,使項目本身更為合理,并帶動大家的積極性。而防護政策方面,企業則需要一步步地去制定,逐漸去部署和實施。
例如三一集團,涉及到很多分子公司的管理,其在數據防泄露方面則采取以研究院試點的方式,而且是研究院單一部門的逐點嘗試,并進行實施經驗的總結積累,進而推進到其它部門,包括研發、銷售等多個部門,逐步完善數據防護的制度管理,以一種一點概全的方式進行數據防護的主要策略操作,切記在數據防護操作過程中缺乏系統規劃性的部署。
價值 VALUE
包括上海聯合制罐有限公司在內的諸多公司已經逐步借助數據防泄露系統,對于自身企業的數據進行了有效的防護,在 保證核心數據資料安全性的同時,也使得公司業務管理與安全防護兩者的平衡性得到保障,企業的安全等級也有了顯著的提升。
某企業安防部門負責人胡先生強調,數據防泄露系統的應用,對于公司核心資料防護程序方面都是產生價值的。合理的制度保障、完善的機構設置以及與之匹配的系統支撐,可以更好地對企業內部數據資料泄露有效地遏制,使得之前處于無序的管理狀態的核心數據資源,借助以上的措施,可以在一個完整的數據防護監管系統之下充分地獲得其安全性。因為數安全防護的很多操作與員工的日常操作存在一定的對立性,數據防泄露本身就是對于員工工作習慣的一種調整與變更。
王志海則表示,數據防泄露工作的開展價值體現在四個方面,即保護企業的核心數據資產,維護企業核心的市場競爭力;樹立企業負責任的形象,更好地推廣產品,提高市場競爭的優勢;促進企業數據安全流程的完善以及規范化提高;具備監控、審計的措施,增強員工穩定性。
當前隨著各種新興技術的出現和發展,對于企業數據安全的威脅越發增強,因此數據防泄露工作更加引起企業用戶的強烈關注,開始關注這些數據的安全性以及其所帶來的其他影響。例如,落實到最簡單的員工流動層面,企業員工流動到新的單位,其立足資本更多地依賴于以前的積累。假使在設計院所,很多圖庫支撐其工作,有了數據防泄露的監管,員工對于核心數據的外泄逐漸成為一種夢想,其對外流動的可能性也就得到了顯著的遏制。
挑戰 CHALLENGE
“現如今,通過系統加強核心數據的監管逐步得到了實現。但同時也只是停留在監管層面,未來還需要在檢測方面下大力氣,需要借助防護系統去檢測可能發生的數據外泄露事項,通過技術和管理兩方面的手段進行數據的最有效防護。”胡先生說道。
而在肖正桓看來,未來數據防護機遇比挑戰多,隨著各種沖擊的發生,企業愈發重視數據安全這一方面。無論是軟件還是硬件,數據安全技術都在日新月異地更新,客戶的需求也在不斷地調整和擴大,不是僅需要一個硬盤加密就可以解決數據安全問題,國內外也有些企業能夠更好地解決數據安全問題,但這塊還是依靠精細度比較高的管理系統。因此,未來安全服務廠商能否隨著技術的更新提供與防止企業數據外泄露相匹配的解決方案是挑戰。
王志海則從技術、管理以及產業角度闡述了相關挑戰。云計算、移動應用等新技術導致架構很多異構化,企業數據流轉更加復雜;而從產業發展看,分工越來越明確,企業間協作越來越多,數據交互更加頻繁,如何更好地應對復雜性的數據流轉以及頻繁的數據交互是一個巨大的挑戰。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
相關文章
