隨著信息化在企業(yè)的深入部署，企業(yè)越來越多的業(yè)務(wù)被放到了互聯(lián)網(wǎng)上，數(shù)據(jù)安全也成了企業(yè)的重中之重，說數(shù)據(jù)已經(jīng)成了企業(yè)的命脈也不為過。因此，企業(yè)的網(wǎng)絡(luò)安全管理者不能只檢查數(shù)據(jù)在應(yīng)用程序中是如何受到保護的，更應(yīng)該知道從數(shù)據(jù)被創(chuàng)建到數(shù)據(jù)“生命結(jié)束”的整個生命周期中應(yīng)該如何受到保護。

在過去18到24個月中，黑客的網(wǎng)絡(luò)攻擊行為已經(jīng)發(fā)生了變化，攻擊者使用病毒、木馬以及其他攻擊方式來誘使員工在安全防線后面安裝惡意軟件，從而獲取和傳輸重要數(shù)據(jù)。很多企業(yè)都不知道從何下手，并且用于解決影響較低的漏洞的資源很稀缺，這最終將讓關(guān)鍵數(shù)據(jù)陷于危險之中。另外，應(yīng)該采用監(jiān)管控制來保護靜態(tài)數(shù)據(jù)。

對于管理以數(shù)據(jù)為中心的漏洞，這里提供了以下五個技巧：

1、通過按優(yōu)先順序排列數(shù)據(jù)以最大限度地利用資源和作出正確的決策：任何數(shù)據(jù)丟失都可能對企業(yè)的聲譽造成嚴(yán)重影響。以數(shù)據(jù)為中心的漏洞管理方法能夠幫助企業(yè)避免破壞性安全事故的發(fā)生，解決信息安全合規(guī)需求和控制安全總成本。企業(yè)應(yīng)該分配一定資源來修復(fù)漏洞，幫助保護最重要的數(shù)據(jù)、企業(yè)及其聲譽。關(guān)鍵數(shù)據(jù)可以包括客戶名單、商業(yè)計劃、商業(yè)機密和信息安全標(biāo)準(zhǔn)和法規(guī)上規(guī)定的其他重要信息。

2、以數(shù)據(jù)為中心的漏洞評估：當(dāng)發(fā)現(xiàn)有太多“高風(fēng)險”漏洞，而且不知道每一個漏洞的影響時，企業(yè)很難判斷應(yīng)該先解決哪些漏洞。通過以數(shù)據(jù)為中心的漏洞評估，就能夠?qū)β┒吹膬r值進行評估，這樣就能夠按照重要程度來解決漏洞。

3、需要進行全面的持續(xù)的數(shù)據(jù)評估：.根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報告，在安全事故和受害人缺乏對其操作環(huán)境(尤其是對于信息資產(chǎn)的存儲和狀態(tài))的了解之間存在很強的聯(lián)系。所以我們認(rèn)為知道你的數(shù)據(jù)在哪里能夠幫助你預(yù)防這些類型的安全泄露事故。安全評估計劃應(yīng)該要有一個“自上而下”的組件來檢查數(shù)據(jù)保護的情況，還有一個“自下而上”的組件來檢查已經(jīng)部署的措施的情況。

4、必須考慮所有數(shù)據(jù)點：威脅和漏洞評估方法應(yīng)該擴大到所有端點以及所有形式的數(shù)據(jù)保護：1)業(yè)務(wù)路徑：代表數(shù)據(jù)的生命周期；2)技術(shù)路徑：數(shù)據(jù)滿足業(yè)務(wù)需求的路徑；3)物理路徑：確認(rèn)位于業(yè)務(wù)路徑和技術(shù)路徑以外(例如打印內(nèi)容和移動媒體)的數(shù)據(jù)情況。

5、安全計劃應(yīng)該保護所有形式的數(shù)據(jù)：傳統(tǒng)的安全評估可能只考慮了數(shù)據(jù)安全的一部分，可能錯過了可能泄露數(shù)據(jù)的明顯的漏洞。安全計劃應(yīng)該能夠體現(xiàn)一系列保護數(shù)據(jù)的政策和標(biāo)準(zhǔn)。例如確定企業(yè)內(nèi)所有權(quán)和管理責(zé)任的數(shù)據(jù)分類政策，以及涵蓋數(shù)據(jù)保存和銷毀的政策和標(biāo)準(zhǔn)等。

IT領(lǐng)導(dǎo)者和安全領(lǐng)導(dǎo)者需要做出明確的決定來促使企業(yè)努力靠近其業(yè)務(wù)目標(biāo)，以數(shù)據(jù)為中心的漏洞管理方法讓企業(yè)更加接近業(yè)務(wù)，這種方法能夠幫助企業(yè)避免安全泄露事故、維護聲譽和遵守信息安全法規(guī)，以及控制整體安全成本。