近日，斯諾登爆料美國(guó)“棱鏡計(jì)劃”成為大家關(guān)注的焦點(diǎn)，這讓山姆大叔的自由、尊重人權(quán)的偽形象瞬間垮塌。我們暫且不說(shuō)“棱鏡事件”帶來(lái)的國(guó)家層面的安全問(wèn)題，僅就企業(yè)來(lái)說(shuō)，核心數(shù)據(jù)時(shí)刻面臨著被竊取的風(fēng)險(xiǎn)。威脅已至，如果企業(yè)不想重蹈山姆大叔的尷尬，那么此刻就要重視自身數(shù)據(jù)安全防護(hù)體系的建設(shè)了!

        企業(yè)加強(qiáng)核心數(shù)據(jù)安全的防護(hù)已經(jīng)刻不容緩，這次棱鏡門的曝光給企業(yè)數(shù)據(jù)安全帶來(lái)了哪些警示?如何提升企業(yè)保護(hù)數(shù)據(jù)泄密的意識(shí)?企業(yè)該如何做好數(shù)據(jù)安全策略?

明朝萬(wàn)達(dá)總裁王志海

         “棱鏡門”事件給企業(yè)帶來(lái)的警示

         志海首先談到，棱鏡事件的曝光至少給企業(yè)用戶帶來(lái)了三方面的警示：一是獲取企業(yè)有價(jià)值的數(shù)據(jù)已成為各類攻擊者最主要的目標(biāo);二是依賴傳統(tǒng)的邊界防護(hù)、計(jì)算平臺(tái)防護(hù)和惡意軟件識(shí)別手段已無(wú)法完全保護(hù)企業(yè)的數(shù)據(jù)安全;三是企業(yè)要認(rèn)識(shí)到數(shù)據(jù)泄密不是沒(méi)有發(fā)生，而是大部分的泄密事件根本沒(méi)被發(fā)現(xiàn)。

         “提升企業(yè)保護(hù)數(shù)據(jù)的意識(shí)是系統(tǒng)工作，要把泄密風(fēng)險(xiǎn)培訓(xùn)、數(shù)據(jù)安全制度及相關(guān)技術(shù)措施結(jié)合起來(lái)，企業(yè)應(yīng)該抓住這次棱鏡事件結(jié)合自身信息化現(xiàn)狀進(jìn)行宣傳教育工作，提升企業(yè)員工特別是高層管理人員數(shù)據(jù)安全保護(hù)意識(shí)。”王志海向企業(yè)這樣建議到。

        企業(yè)做好數(shù)據(jù)安全策略，首先要抓住四個(gè)關(guān)鍵點(diǎn)，包括數(shù)據(jù)流程的梳理、全面數(shù)據(jù)安全風(fēng)險(xiǎn)分析模型建立、統(tǒng)一數(shù)據(jù)安全體系規(guī)劃和數(shù)據(jù)安全分步實(shí)施計(jì)劃。統(tǒng)一數(shù)據(jù)安全體系規(guī)劃和數(shù)據(jù)安全分步實(shí)施計(jì)劃是數(shù)據(jù)安全防護(hù)具體落地工作中的兩面，數(shù)據(jù)安全必然將成為企業(yè)信息化的核心問(wèn)題，一方面要求企業(yè)有整體數(shù)據(jù)安全建設(shè)目標(biāo)和規(guī)劃，才能實(shí)現(xiàn)真正的數(shù)據(jù)安全防護(hù);另一方面因?yàn)閿?shù)據(jù)安全建設(shè)關(guān)系到全員意識(shí)和流程的改變，為了避免全方位實(shí)施帶來(lái)的項(xiàng)目失敗風(fēng)險(xiǎn)，建議企業(yè)要制定可行的分布實(shí)施計(jì)劃。

         “棱鏡門”事件后企業(yè)該如何做好數(shù)據(jù)安全?

         企業(yè)數(shù)據(jù)安全和員工個(gè)人隱私之間關(guān)系的處理是普遍關(guān)心的問(wèn)題，尤其在BYOD模式下，問(wèn)題更為突出。王志海表示，要想處理好企業(yè)數(shù)據(jù)安全與員工個(gè)人隱私之間的關(guān)系需注意兩點(diǎn)：一是數(shù)據(jù)安全防護(hù)盡可能以企業(yè)應(yīng)用系統(tǒng)為基準(zhǔn)建立，這樣可以精準(zhǔn)定位需要防護(hù)的企業(yè)數(shù)據(jù);二是盡可能以加密技術(shù)為核心建立事前控制防護(hù)機(jī)制，減少無(wú)差別的審計(jì)措施，從而降低對(duì)個(gè)人隱私侵犯的擔(dān)憂。

        不 同行業(yè)企業(yè)對(duì)解決方案的需求差異性比較大，用戶要將數(shù)據(jù)安全防護(hù)方案落到實(shí)處。因此，在方案選型時(shí)企業(yè)要根據(jù)自身的實(shí)際情況來(lái)選擇切勿盲目，一是技術(shù)方案要考慮和企業(yè)的文化相匹配，例如國(guó)有企業(yè)可能要管理習(xí)慣和安全強(qiáng)度之間做適度平衡，而家長(zhǎng)式的民營(yíng)企業(yè)則可以考慮安全強(qiáng)度更高的方案;二是要結(jié)合具體的業(yè)務(wù)應(yīng)用場(chǎng)景來(lái)選擇制定方案，避免只在網(wǎng)絡(luò)系統(tǒng)層面或者產(chǎn)品功能方面草率地選擇方案;三是要選擇行業(yè)內(nèi)有一定規(guī)模的專業(yè)廠商，確保項(xiàng)目后續(xù)服務(wù)能夠得到足夠的保障。

        另外，對(duì)于員工的安全培訓(xùn)和意識(shí)普及也是企業(yè)做好數(shù)據(jù)安全的重要一步。安全意識(shí)的提升一是可以通過(guò)一些負(fù)面的案例分析教育來(lái)提升，二是可以就其中一種業(yè)務(wù)流程建立數(shù)據(jù)安全防護(hù)措施，讓大家在日常工作中逐步養(yǎng)成數(shù)據(jù)安全防護(hù)意識(shí)，這更加有效。

        對(duì)于不同企業(yè)的數(shù)據(jù)安全解決方案，王志海談到，不同企業(yè)數(shù)據(jù)安全防護(hù)模型差異較大，尤其是不同的行業(yè)之間，不存在普適性的最佳數(shù)據(jù)安全防護(hù)模型。建議企業(yè)應(yīng)該以業(yè)務(wù)應(yīng)用系統(tǒng)為主線，建立與業(yè)務(wù)應(yīng)用系統(tǒng)緊密配合的數(shù)據(jù)安全防護(hù)模型，這或許就是每個(gè)企業(yè)最佳的數(shù)據(jù)安全防護(hù)模型。

        總結(jié)：談及數(shù)據(jù)安全未來(lái)發(fā)展的趨勢(shì)，王志海講到，信息化最核心的價(jià)值體現(xiàn)就是數(shù)據(jù)，如何守護(hù)這些數(shù)據(jù)的價(jià)值，就是數(shù)據(jù)安全要解決的問(wèn)題。從此可以預(yù)見(jiàn)，數(shù)據(jù)安全以后必然是信息化的核心組成部分，信息化水平越高，對(duì)數(shù)據(jù)安全的需求越迫切，可以說(shuō)數(shù)據(jù)安全將是信息安全實(shí)現(xiàn)數(shù)量級(jí)增長(zhǎng)的一個(gè)主要支撐。(作者：董建偉)