随着数据价值的体现和科技的发展,世界各地的政府、银行、电信公司、制造业以及零售业等相关机构,不断发生数据泄密事件。2011年末国内最大程序员社区CSDN的数据库泄露事件横扫整个中国互联网,引起了亿万网民的关注。今年的315晚会上报道了多家银行员工向其他人出售客户个人信息,导致银行客户资金被盗。一夜之间,数据外泄和数据安全的重要性终于真正得到体现。
数据安全是信息系统建设的基石,如果数据安全没有保障,那么信息系统建设得有多大,损失就会有多大。由于IT技术变化很快,每隔一段时间就会出现新的技术和新的安全威胁,因此数据安全这个概念自诞生以来就不断地在发生改变。
从数据安全的发展来看,数据安全经历了关注安全技术、关注人的行为、关注管理、关注整体解决方案到最近回归本质的关注信息本身的立体化整体信息防泄漏体系这五个过程,技术、体系、理念都在不断进步和完善,不断的加固着企业的数据安全防护体系。
在技术发展的过程中,数据权限管理和加密技术大大提高了数据安全的发展和影响。DRM(Data Right Management)数据权限管理是主要基于企业内部一些特定文件类型(例如:doc,xls,pdf等)进行保护的产品,通过它可以对这些办公文件进行访问权限的设定,只有那些有权限的人员才可以打开这些DRM过的文件,并且进行修改。Encryption加密是针对一些特定部门的特定机密文件进行保护。通过这类产品可以将对应的机密文件加密,只有对应密钥的人才可以打开。加密产品在小范围内可以让一些特定的文件灵活安全的使用。加密软件可以将企业图纸、办公文档等文档进行加密处理,整个过程对用户透明,不改变工作习惯.文档只有在授信范围内才能打开,离开了授信范围文档就是一堆乱码,号称“偷得走,打不开”。
数据安全的发展方向是将传统的分散部署整合起来,整合之后的管理系统能够通过对网络中所有设备的统一策略制定、用户行为的统一管理,安全工具的集中审计,最大限度地减少安全隐患。一些厂商将国外的DLP(数据泄漏防护)概念引入中国,根据中国企业的实际需求整合终端防护、存储磁盘、文件管理、版权管理以及U盘、外设端口控制、网页信息保护、即时通讯拦截等多个功能,推出了具有中国特色的DLP产品。
DLP(Data Loss Prevention)数据丢失防护是主要基于内容检测的产品,它针对整个企业的范围进行监控、发现和保护,通过DLP也可以使企业进行SOX以及PCI等法规的遵从。DLP是目前市场上运用比较多且比较成熟的技术之一,像数据著名的数据信息安全产提供商赛门铁克采用的就是DLP技术。虽然从技术角度看,DLP系统仍然是各种传统技术的整合,并没有但是它体现出国内厂商已经不再盯着单一的产品或技术,而是开始进行概念和整体解决方案的推广,这无疑比过去单纯的技术概念炒作要高出一个层次,也代表着数据安全产品和技术更加的成熟。
只有从全局的视角出发,对安全问题进行统筹规划、统一管理,整合运用审计、权限管理、加密等防泄密功能,根据涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式防护,将技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄漏体系,使得成本、效率和安全三者达到最优平衡,才能实现真正意义上的数据安全。
在信息安全行业,有“三分技术、七分管理,的说法。在大企业中,技术解决的是局部问题。内部的很多问题在于沟通、体制执行不到位等,而非技术本身的问题。管理是从宏观上的把控,技术是实在的落地;技术以管理为指导,管理以技术为落脚点,因此两手都要抓。”从安全的一些标准实现上来看,比如IS0270001等,都是从管理入手,而后落地到相应的技术上。在推广方面,如果没有管理的支持,一个技术很难在大企业里全面推广。在企业的安全体系中,管理体系是主干,严格的管理制度、明确的职责划分、合理的人员配置能够堵住大部分的漏洞,大幅度降低安全风险。在执行的部分,技术就很重要了,企业需要一些安全技术来保证制度的执行,两相结合之下,企业就能构建起一个较好的内网安全体系。
《信息安全技术、公共及商用服务信息系统个人信息保护指南》中对个人信息的处理包括收集、加工、转移和删除四个主要环节,并提出了个人信息保护的原则。对窃取并曝光用户信息的行为表示强烈谴责,并责成各网站切实保障用户信息安全,做好事前预防和事后补救措施,避免类似事件的再度发生。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:浅议数据安全的现状和发展