企业如何维护数据安全

2013-11-12 16:06:35 大云网　点击量：评论 (0)

近几年来，网络安全事件频频发生。人们对外部入侵和网络安全日益重视，大多企业重视提高企业网的边界安全，暂且不提它们在这方面的投资多少，但是大多数企业网络的核心内网还是非常脆弱的。08年突如其来的经

近几年来，网络安全事件频频发生。人们对外部入侵和网络安全日益重视，大多企业重视提高企业网的边界安全，暂且不提它们在这方面的投资多少，但是大多数企业网络的核心内网还是非常脆弱的。08年突如其来的经济危机，使得饱受成本激增、外部需求减缓、人民币升值等因素影响的我国中小企业而言，更是雪上加霜。这使得那些企业快速发展中存在的内网管理混乱、机密信息外泄、员工效率低下等诸多问题，纷纷显露出来。

随着云计算、物联网和移动互联网概念的火热。大数据的出现更让网络信息安全成为了众矢之的。

2012年见诸媒体的信息泄密事件超30起，而这仅是冰山一角，事件本身带来的损失、对行业及社会的负面影响等均让人不安加揪心。

2012年1月，亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击，2400万用户的电子邮件和密码等信息被窃取。

2012年3月，东软集团被曝商业秘密外泄，约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。此次商业秘密外泄造成东软公司损失高达4000余万元人民币。

2012年3月，央视3.15晚会曝光招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息，导致部分用户银行卡账号被盗。

2012年7月，京东、雅虎、Linkedin和安卓论坛累计超过800万用户信息泄密，而且让人堪忧的是，部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内，意味着所有人都可使用这些信息。

2012年“十大信息泄密事件”更让各家企业审视自身的数据安全。我们通过对2012年十大信息泄密事件进行归纳分析，泄密方式主要有三种情况：黑客入侵；用户信息未加密;企业内部员工窃密；服务外包人员窃密。其中，企业员工内部泄密对企业的损害程度和其发生的频度远远高于其他外部攻击窃密，更应是防范重点。罪犯虽然已被查处，但透过事件本身我们看到，种种信息窃密，无一不透露出现行监管制度的欠缺、内部管理和技术措施的缺失及个人信息安全保护意识的薄弱等问题。其中，企业的内网安全防护水平更是偏低，不论是外部黑客入侵，还是内部泄密，企业都缺乏有力的监管手段。特别是电信运营商、金融、电商等这些与网民十分相关的单位，防泄密更是重中之重。

信息安全的重要今非昔比。信息安全对于现代企业的作用越来越独立，其重要性与人力资源、生产资料、管理、技术等生产要素相比，已越来越趋于平衡。那企业怎么样对其数据进行泄密防护？

第一：对数据的使用环境必须进行全方位的防护，包括服务器、计算机终端、笔记本电脑、U盘外设、网络以及文件外发等数据使用的各个环节都要进行防护。防泄密的最终效果完全取决于整个防护环节中最薄弱的地方，如同木桶原理。

第二：以数据为核心，从数据存储、传输、使用进行全周期防护。在数据存储与使用过程中可以采用密文的形式进行防护。但是在打开数据使用过程当中，数据必然是处于明文状态，那么如何防止在明文状态下的数据泄密问题，就必须要考虑。

第三：对数据泄密的防护必须提供多层次的防护，单纯加密是不够的。数据泄密防护除了加密外还应该包括密钥管理、身份认证、访问控制、安全审计等一系列的安全防护手段。

经济危机固然可怕，但是忽视企业自身的安全更加可怕，前者只不过是恶化企业生存环境，但后者则会使企业突然陷入危机，并迅速走向衰败。

总之，对于对数据有高保密要求的行业来说，信息安全保障系统的建设，不仅需要严格的“制度防内”包括建立严密的计算机管理规章制度、运行规程，形成内部各层人员、各职能部门、各应用系统的相互制约关系，杜绝内部作案的可能性，并建立良好的故障处理反应机制，保障信息系统的安全正常运行；更需要成熟完善的“技术防内”，通过技术手段上加强安全措施，防止内部不合规行为，防止内网的信息泄密，使正常业务与应用不受影响。