大數據時代 天璣科技淺談信息防泄漏體系
數據信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對于人類具有特別重要的意義。數據信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。
根據國際標準化組織的定義,數據信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。數據信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題,是一個不容忽視的國家安全戰(zhàn)略。進入網絡時代后,數據信息安全保障工作的難度大大提高。我們受到日益嚴重的來自網絡的安全威脅,諸如網絡的數據竊賊、黑客的侵襲、病毒發(fā)布者,甚至系統內部的泄密者。數據信息安全已經成為各行業(yè)信息化建設中的首要問題。
天璣科技是IT服務領域的領先企業(yè),多年的IT服務經驗使天璣科技深刻理解數據安全對企業(yè)發(fā)展的重要意義。回顧天璣科技的服務歷程,十年前,數據安全問題遠遠排在企業(yè)信息化建設規(guī)劃的末端,大多數企業(yè)還沒有意識到數據安全會對企業(yè)造成怎樣的重大影響。彼時,在多數IT管理者的概念中,只要安裝幾套殺毒軟件就足矣。時至今日,殺毒軟件、防火墻已不足以防范各種層出不窮的黑客手段,有意或者無意的數據泄密促使企業(yè)建立一套從軟件到硬件、從制度到流程的全方位“安全網”。可以說,數據安全問題已經不再是簡單的防毒殺毒事件,而是一個長期的、多角度的系統工程。
今天的企業(yè)信息系統安全建設,與以往有何不同?
根據美國CSI/FBI的調查顯示,80%的安全威脅來自企業(yè)內部,將近60%的離職者或被辭退者在離開時會攜帶企業(yè)數據。Ponemon研究所進行的一項***研究調查顯示,內部泄密已經成為企業(yè)數據外泄的頭號原因,而黑客僅位列第五。
由此可見,企業(yè)信息系統安全建設中,要加強對內部威脅的防范。根據天璣科技多年來為用戶提供數據安全服務的經驗,內部數據泄密的比例越來越高。然而,多數企業(yè)在考慮數據安全時,依然將防御外部竊密作為***要務,花費了大量的投資購買和建設對外“屏蔽墻”,卻忽視了對內管理,留下大量的管理漏洞,使得企業(yè)重要信息在不知不覺中丟失。
因此,數據安全管理,需要采用“兩手同時抓”的策略,建立完善健全的管理制度,借助先進的技術手段,在嚴格的數據使用和監(jiān)管流程下,確保企業(yè)數據面對外部和內部威脅都能安然無恙。
建立全面的信息防泄漏體系,天璣科技認為應在管理制度上做好哪些工作?
天璣科技認為,要建立全面的信息防泄漏體系,要做好以下四點:
***步,事先預防,控制管理。要建立以實現防范為主的安全管理系統,全方位保護敏感數據,需要企業(yè)嚴格遵循數據訪問授權和審批管理,做到數據庫管理員的職責分離,并限制特權用戶的權限,同時禁止任意的非法訪問行為,如基于規(guī)則訪問控制和多因素的訪問控制,并區(qū)分敏感數據,從而防止旁路應用程序。
第二步,事中審批,關鍵操作授權和審批。以事中授權和流程審批制度,進一步保障“關鍵數據”的訪問安全。企業(yè)通過規(guī)則配置的方式來識別不合法的關鍵數據操作,每次“關鍵數據訪問”的操作,都需按照嚴格的執(zhí)行授權,并授權到人。
第三步,事中通知,訂閱和告警管理。及時發(fā)現非法訪問或操作關鍵業(yè)務數據,并***時間告警及提示信息管理者,以及提供自定義訂閱敏感事件告警通知管理,為安全管理者掌握誰在什么時間、地點、用什么應用對關鍵數據做了哪些操作。
第四步:事后審計,追蹤和發(fā)現提供審計威懾力。通過各級別的審計行為追溯能力,提供詳細的審計報表,并針對海量審計信息進行篩選,定位準確的事件,為懲戒提供精細的證據。
天璣科技如何看待數據安全未來的發(fā)展趨勢?
據TMT調研數據,目前中國互聯網公司的信息安全支出在整體IT支出中的比例不到1%,對安全性要求比較高的金融行業(yè)為10%,而歐美互聯網公司的安全支出占比普遍為8%~10%。中國企業(yè)的數據安全建設道路依然漫長。
今天,中國的企業(yè)正在由中國制造轉變?yōu)橹袊鴦?chuàng)造,企業(yè)內部的關鍵數據,包括:客戶資料、營銷方案、財務報表、研發(fā)數據等信息資產,成為企業(yè)的核心競爭力,是絕對不可流失的重要資產。同時,企業(yè)內部的IT應用不斷的增多,由于對于IT系統的依賴性越來越強,導致信息外泄的渠道也大大增多,安全風險無處不在。
所幸的是,已經有越來越多的政府官員和企業(yè)管理者認識到數據安全管理的重要性,并快速做出反應。他們積極吸納國外先進技術,并靈活地與實際需要相融合。一方面,中國本土的數據安全技術得到了快速發(fā)展和應用,另一方面,覆蓋核心部門和重要企業(yè)的信息安全管理制度已經落地,并取得了一定成效。可以說,中國的數據安全市場,是個龐大的、并且依然在深度和廣度上發(fā)展的市場。在這片廣袤的沃土上,中國的數據安全解決方案提供商們應把握機遇,借鑒國外經驗教訓,盡量不走彎路,撐起中國全民信息安全的保護傘。
