首页 > 信息安全 > 正文

事件驱动网络安全博弈:跨国企业如何保护数据安全?

2018-04-27 13:35:04  来源:信息安全D1net

摘要:这就像是一场赌博,很多企业平日里安全意识不够强,可核心数据一旦泄露,引发的后果往往非常严重。正因为网络安全行业存在这种博弈的状态,使得整个行业的发展,通常会被安全事件所驱动。
关键词: 网络安全
  数据泄露后果严重
 
  4月23日,信息安全专家陆宝华和360集团信息安全中心负责人高雪峰分别接受了记者的采访,并围绕企业在数据安全管理方面暴露出的问题进行了分析。
 
  两位受访者均认为,从其中的一些案例可以看出,企业对于一些文件的重要性没有做出准确的判断,也导致这些文件没有得到相应级别的保护。
 
  陆宝华表示,实际上,国家对数据的分级保护有明确规定。如果涉及的是国家秘密,那国家保密局会对数据按照秘密级、机密级或者绝密级来严格划分,相对应的也会有不同的保护措施。
 
  但现实中,绝大部分数据都属于企业的商业机密,无法上升到国家秘密的级别。对于这类信息,公安部、国家保密局等四部委曾于2007年下发过《信息安全等级保护管理办法》,它根据信息系统的重要程度及被破坏后的危害程度,将信息分为五个安全等级。
 
  “该《办法》给企业提供了一个很好的参考标准。”陆宝华说,“比如一些数据泄露会导致企业垮掉,从而引发大批员工失业,这实际上对社会秩序产生了影响,那这些数据就至少应该定为二级。如果还有可能造成更严重的损害,那就需要定到三级,甚至四级。”
 
  国家虽然对数据安全的分级保护做出了引导,但具体实施中还是坚持自主定级、自主保护的原则,因为不同企业对数据的依赖性也有所区别,尤其是一些跨国企业,它的数据涉及到多方国家,这更需要企业自己去衡量。
 
  可自主性太强,也导致在信息安全保护在实际操作中,情况很不乐观。高雪峰告诉记者,在做企业安全工作时,遇到的最大的挑战就是企业缺乏安全意识。“没有事情发生的时候,去跟企业强调数据安全或者网络安全,他们都不会太在意。因为不管什么级别的信息防护,都需要投入成本,如果没有事件发生,有些企业总觉得这部分成本被浪费了。”
 
  这就像是一场赌博,很多企业平日里安全意识不够强,可核心数据一旦泄露,引发的后果往往非常严重。正因为网络安全行业存在这种博弈的状态,使得整个行业的发展,通常会被安全事件所驱动。
 
  据陆宝华介绍,网络安全产业的发展经历过多个阶段,其中有一半的节点是以事件为驱动。比如2001年到2002年间爆发的“红色代码”等病毒,让大家重视起病毒防护;2013年爆发的斯诺登事件,让更多人意识到数据安全的重要性。
 
  俗话说“吃一堑长一智”,企业也是如此。“很多企业在经历过事件之后,在这方面肯定也会加强防护。我们走访很多企业,那些对于办公区隔离保护做得非常严格的,基本都是之前吃过亏。”高雪峰表示。
 
  “人”是最大风险
 
  除了公司层面需要加强安全管理外,高雪峰坦言,在数据安全防护工作中,人的安全意识是最大风险点。“我看到过很多出现安全问题的案列,刨根问底后发现,最主要的原因都是来自于人。比如有的是故意泄露,有的是电脑被入侵,还有的是把机密文件随意给外人看等。”
 
  高雪峰认为,人的意识确实很难标准化管理,所以企业一方面要加强对员工的安全意识培训,让他们意识到哪些数据是重要的以及哪些行为可能引发数据泄露。同时,企业也需要建立一定的惩罚机制,这样员工才会对安全问题更加上心。
 
  对此,陆宝华提出,企业通过技术手段来加强安全防范,也能有效降低人为因素而产生的风险。比如在公司内部,通过技术检查是可以发现网络有没有非法外联、计算机的各种移动介质接口有没有封堵等,这些技术漏洞,往往是导致员工无意识泄露的根本原因。
 
  而在公司外部的数据传输方面,陆宝华认为,即使员工将重要信息直接存放在电脑中也是不正确的。一方面不能直接用计算机带出,另外如果要带出,可以利用加密信道,发送至可信的机构。
 
  “对于一些重要的文件,最好是存放在单独的可加密的介质中,因为电脑涉及到系统安全,外人可以通过一些系统漏洞拿到里面的文件,所以电脑存放是有一定风险的。”
 
  综上可看出,网络安全管理是件环环相扣的事情,任何一个环节的失误,都可能导致全盘皆输。高雪峰告诉记者,从攻防角度来说,没人敢说能做到百分之百的安全,包括上文提及的人为因素,都是不可控的。但不能因为这样,其他的安全防护工作就不做了。
 
  对于中国网络安全的现状,高雪峰表示,一方面需要企业强化自身的安全管理;另一方面,也需要国家进一步完善相关法律。“去年推出的网络安全法是一个很大的进步,但是,真正涉及到不同公司和行业时,还是缺少一些细化的标准。”
 
  至于企业如何做好自身的数据安全管理,陆宝华给出了他的建议:首先是对数据做好梳理,了解数据是什么形态,是文档、音频还是其他,以及数据是集中存储还是分散存储等,这都对应着不同的保护方案;
 
  然后是明确数据属性。数据一般有两个最基本的安全属性,分别是保密性和完整性,保密性要求不能泄露,完整性则要求不能被篡改。这会决定企业该制定怎样的保护策略。
 
  最后,是要从数据的全生命周期来看,不同的环节采取不同的保护手段。比如数据存放在计算机时、传递时、发到网络时等等,这些环节都需要理清楚,然后进行相对应的保护。
 
  数据已经成为互联网时代的一项重要基础设施,它甚至可以决定一家企业的生死存亡,其重要性不言而喻。但同时,数据的电子化、人们对高效的追求等又给安全管理工作带来了全新的挑战。总而言之,对网络安全行业来说,这是一个机遇与挑战并存的时代。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。