数据防泄露,不仅仅是机要数据信息防泄露,更多的是防止来自人为以及内部因素的影响。这虽为时下关注的焦点,但很多企业用户却在数据防护中无法寻到真正的出路。
来自安全厂商Zecurion提供的资料显示,2011年,全球共计信息泄露事件819起,总损失金额超过200亿美元,其中10亿美元来自俄罗斯。回首看以往发生的数据泄露事件,小到个人隐私信息泄露,大到诸如天涯社区、索尼等企业的数据泄露,对于数据安全的防护让更多企业和个人无所适从。安全厂商提醒,相关的泄露事件,更多的是人为因素所造成的。
而数据信息的外泄,不仅会使得公司在舆论上受到公众的谴责,同时在法律层面上也将遭受到质疑和调查。那么数据防泄露过程中到底面临什么样的问题?企业用户又将采取何种措施去应对?其背后的价值体现在哪里呢?未来又会面临何种挑战呢?
问题 PROBLEM
每天,很多人的手机或者邮箱中总会收到这样或那样的莫名资料,内容无非是变相地去激发你应用或者购买的欲望,进而达成自身的营销目的。此外,很多求职人员接受新一家公司面试时,谈及自身跳槽的依据时,手中握有原来积累的核心资料也成为员工被新公司接纳的主因。出现诸如此类的问题,必然是我们的数据信息在防护过程中无法进行有效地掌控。2010年被定位成信息泄露年,诸多国内外的数据泄露事件被曝光,究其原因经济利益的驱动是主因。其次移动互联网、智能终端等普及和应用,云计算和虚拟化等新技术,都给数据泄露带来新的威胁和新的不确定性。
对此,某企业安防部门负责人胡先生表示,每个公司的数据防泄露状况不同,企业与政府机关在防护方面也不同,现如今数据防泄愈发引起社会的关注,属于企业未来发展的重大关注趋势。更多的企业也开始细化地分为内网和外网,不同层面地进行一些安全隔离或者建立防火墙来防止数据的泄露问题。涉及到具体的问题,则表现在企业数据防泄露的制度缺失,无法从制度上去建立数据防泄露的全员意识。其次,企业内部防护组织机构的缺失也是至关重要的问题。此外,对于数据外泄的事件,技术防范毕竟能力有限,可以说技术防三分,七分还是要靠管理。因为很多企业的资料泄露大都缘起于内部的泄露,数据管理工作的不到位也是企业面临的主要问题之一。
立足于用户角度,制度、组织以及管理的缺失是数据防泄露面临的重大问题。而作为企业数据防泄的最直接参与者,明朝万达科技有限公司总裁王志海则有不同的理解。他认为,数据防泄露的主要问题,归结起来有以下几方面。
数据防泄露责任和保密意识的培养不到位是首要问题。按照用户群划分,制造型企业和中小企业,很多均是老板意识到问题,有具体的泄露事件,但在决策过程中没有进行系统规划、进行全员的意识培训,使得员工操作抵触情绪较大。而涉及到电信运营商这个层面,迫于社会舆论和责任方面的问题,很多运营商不得不去进行数据防泄露方面的系统建设。而对于企业管理制度和业务流程未能进行细化的梳理也是数据防泄露无法有效推进的障碍。主要是体现在很多信息化程度不高的企业用户,对于企业内部以邮件涉及到公司核心数据的,并未进行明确的访问规定,很多企业完全保持一种“共享”的状态,因此毫无保密而言。
很多中小企业用户对于数据防泄露非常理想化,时常希望数据防泄过程中既不影响业务又可以合理防护。因此,对于业务管理和安全防护两者的平衡问题成为企业普遍关注的问题。假使找不到两者之间的平衡点,数据防泄露就无疑成为一句空话,无法有效推动。此外,对于数据外泄防护实施的计划和步骤认知也存在巨大问题。企业内部数据防泄露的实施与实施ERP管理系统无异,很多用户希望能够快速部署,但是对进程缺乏计划性,这是一个度的问题。
解决 SOLUTION
上海联合制罐有限公司在数据防护方面已经开展了一段时间,借助相关的数据防泄系统,对于企业内部的核心数据资源,不仅能有效防止因为员工流动带来的数据外泄事件,更是让公司的数据访问也逐渐进入了一个良性的访问阶段,对于企业核心数据的外泄起到一定的遏制作用。
“建立合理的授权和审批机制使数据防泄可以获得最大限度的保障”。上海联合制罐有限公司IT主管肖正桓说道。一般制造型企业人员流动较为频繁,企业自己也拥有核心的数据,容易造成企业核心数据的外泄。建立合理的授权渠道,可以逐渐杜绝因为授权的渠道问题所带来的数据外泄事件。此外,据悉,该公司现在设置有相关审批规则,数据对外使用之前都需要经过相关的审批,可以针对数据的级别进行访问审批,进而进行合理的访问。目前公司很多业务都按照这个规则进行,数据随时访问和随意发布的状况基本消失了。
数据防泄露方面有的用户解决得比较好,当然也有很多尝到了教训。王志海认为,行业用户较为规范,责任意识以及管理流程比较成熟,安全与业务平衡比较好。而中小型企业就比较困难,因此实施前必须调研,对于核心数据防泄露问题进行具体的管理梳理。在实施部署数据防护项目时召开项目启动会,使项目本身更为合理,并带动大家的积极性。而防护政策方面,企业则需要一步步地去制定,逐渐去部署和实施。
例如三一集团,涉及到很多分子公司的管理,其在数据防泄露方面则采取以研究院试点的方式,而且是研究院单一部门的逐点尝试,并进行实施经验的总结积累,进而推进到其它部门,包括研发、销售等多个部门,逐步完善数据防护的制度管理,以一种一点概全的方式进行数据防护的主要策略操作,切记在数据防护操作过程中缺乏系统规划性的部署。
价值 VALUE
包括上海联合制罐有限公司在内的诸多公司已经逐步借助数据防泄露系统,对于自身企业的数据进行了有效的防护,在 保证核心数据资料安全性的同时,也使得公司业务管理与安全防护两者的平衡性得到保障,企业的安全等级也有了显著的提升。
某企业安防部门负责人胡先生强调,数据防泄露系统的应用,对于公司核心资料防护程序方面都是产生价值的。合理的制度保障、完善的机构设置以及与之匹配的系统支撑,可以更好地对企业内部数据资料泄露有效地遏制,使得之前处于无序的管理状态的核心数据资源,借助以上的措施,可以在一个完整的数据防护监管系统之下充分地获得其安全性。因为数安全防护的很多操作与员工的日常操作存在一定的对立性,数据防泄露本身就是对于员工工作习惯的一种调整与变更。
王志海则表示,数据防泄露工作的开展价值体现在四个方面,即保护企业的核心数据资产,维护企业核心的市场竞争力;树立企业负责任的形象,更好地推广产品,提高市场竞争的优势;促进企业数据安全流程的完善以及规范化提高;具备监控、审计的措施,增强员工稳定性。
当前随着各种新兴技术的出现和发展,对于企业数据安全的威胁越发增强,因此数据防泄露工作更加引起企业用户的强烈关注,开始关注这些数据的安全性以及其所带来的其他影响。例如,落实到最简单的员工流动层面,企业员工流动到新的单位,其立足资本更多地依赖于以前的积累。假使在设计院所,很多图库支撑其工作,有了数据防泄露的监管,员工对于核心数据的外泄逐渐成为一种梦想,其对外流动的可能性也就得到了显著的遏制。
挑战 CHALLENGE
“现如今,通过系统加强核心数据的监管逐步得到了实现。但同时也只是停留在监管层面,未来还需要在检测方面下大力气,需要借助防护系统去检测可能发生的数据外泄露事项,通过技术和管理两方面的手段进行数据的最有效防护。”胡先生说道。
而在肖正桓看来,未来数据防护机遇比挑战多,随着各种冲击的发生,企业愈发重视数据安全这一方面。无论是软件还是硬件,数据安全技术都在日新月异地更新,客户的需求也在不断地调整和扩大,不是仅需要一个硬盘加密就可以解决数据安全问题,国内外也有些企业能够更好地解决数据安全问题,但这块还是依靠精细度比较高的管理系统。因此,未来安全服务厂商能否随着技术的更新提供与防止企业数据外泄露相匹配的解决方案是挑战。
王志海则从技术、管理以及产业角度阐述了相关挑战。云计算、移动应用等新技术导致架构很多异构化,企业数据流转更加复杂;而从产业发展看,分工越来越明确,企业间协作越来越多,数据交互更加频繁,如何更好地应对复杂性的数据流转以及频繁的数据交互是一个巨大的挑战。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/