[[163136]]

隨著網(wǎng)絡(luò)信息技術(shù)和電子商務(wù)的發(fā)展，對(duì)于現(xiàn)代企業(yè)而言，關(guān)鍵業(yè)務(wù)數(shù)據(jù)已經(jīng)成為其核心資產(chǎn)之一，也是企業(yè)核心競(jìng)爭(zhēng)力的體現(xiàn)。一家現(xiàn)代企業(yè)能否對(duì)其關(guān)鍵敏感數(shù)據(jù)進(jìn)行有效保護(hù)，已成為企業(yè)自身在激烈的商業(yè)競(jìng)爭(zhēng)中能否立于不敗之地的一項(xiàng)決定因素。敏感數(shù)據(jù)丟失對(duì)企業(yè)不但意味著重大經(jīng)濟(jì)損失，還會(huì)給企業(yè)信譽(yù)帶來(lái)致命影響。2013年部分品牌連鎖酒店“開(kāi)房數(shù)據(jù)泄露”事件、2011年知名程序員網(wǎng)站CSDN 600多萬(wàn)用戶(hù)信息泄露以及天涯社區(qū)4000萬(wàn)用戶(hù)資料泄露等事件表明，數(shù)據(jù)安全無(wú)小事，如果不采取有效手段加強(qiáng)數(shù)據(jù)安全防護(hù)，由此造成的損失是難以估量的。

目前，越來(lái)越多的企業(yè)開(kāi)始重視業(yè)務(wù)數(shù)據(jù)安全防護(hù)工作，特別是隨著有中國(guó)版“薩班斯法案”之稱(chēng)的《企業(yè)內(nèi)部控制基本規(guī)范》頒布以及云計(jì)算技術(shù)的廣泛應(yīng)用，數(shù)據(jù)保護(hù)重心已從單純針對(duì)系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面防護(hù)向關(guān)注應(yīng)用和關(guān)鍵數(shù)據(jù)層面的防護(hù)轉(zhuǎn)換。盡管如此，仍有一些企業(yè)數(shù)據(jù)安全方面的問(wèn)題沒(méi)有得到足夠的重視，所以，我們來(lái)看看目前企業(yè)CIO眼中普遍擔(dān)心的數(shù)據(jù)安全威脅都有哪些？

◆敏感信息及數(shù)據(jù)在哪里？哪些是敏感數(shù)據(jù)？（關(guān)注度：5星）

◆怎么可視化數(shù)據(jù)在IT環(huán)境中的動(dòng)向？（關(guān)注度：5星）

◆怎么制定一個(gè)既不阻礙業(yè)務(wù)發(fā)展，又能滿(mǎn)足合規(guī)要求，還得具備與合作伙伴實(shí)現(xiàn)部分?jǐn)?shù)據(jù)共享的整體數(shù)據(jù)保護(hù)策略？（關(guān)注度：4星）

◆如何智能地，主動(dòng)地處理大量不同環(huán)境中進(jìn)行交換的數(shù)據(jù)，如云環(huán)境、移動(dòng)互聯(lián)網(wǎng)環(huán)境等。（關(guān)注度：4星）

◆有哪些價(jià)錢(qián)合適又有效果的DLP解決方案、數(shù)據(jù)庫(kù)防護(hù)技術(shù)，以及無(wú)縫的數(shù)據(jù)整合加密技術(shù)來(lái)幫助企業(yè)實(shí)現(xiàn)整體的風(fēng)險(xiǎn)控制與管理？（關(guān)注度：3星）

注：上面的關(guān)注度只是筆者給出的一個(gè)主觀評(píng)價(jià)，不具備任何參考價(jià)值，提到的所有點(diǎn)，都是非常重要的，尤其對(duì)于一個(gè)CISO來(lái)說(shuō)，這是你每天都要面對(duì)的事情，筆者也在尋求上面滿(mǎn)足幾個(gè)需求的整體數(shù)據(jù)安全保護(hù)解決方案，歡迎各位讀者一起討論。為了讓大家更加深入的理解數(shù)據(jù)安全不容忽視的重要性，本文將從安全管理執(zhí)行效果、新興技術(shù)應(yīng)用以及物理環(huán)境安全三方面進(jìn)行闡述。

一、領(lǐng)導(dǎo)重視數(shù)據(jù)防護(hù)，但執(zhí)行力有待提高

信息安全領(lǐng)域“三分技術(shù)七分管理”的理念，已是老生常談，目前也逐漸被企業(yè)領(lǐng)導(dǎo)層所接受，但由此帶來(lái)的“一分部署九分落實(shí)”的問(wèn)題，則日益顯現(xiàn)，并已成為信息安全建設(shè)，特別是數(shù)據(jù)安全管理方面的重點(diǎn)和難點(diǎn)。遺憾的是，在實(shí)際工作中，安全要求執(zhí)行不到位的情況仍相當(dāng)普遍。如有的企業(yè)在自主開(kāi)發(fā)部分應(yīng)用系統(tǒng)過(guò)程中，雖然能夠按照內(nèi)部整體安全策略制定了開(kāi)發(fā)規(guī)范，但由于種種原因未將這些規(guī)范進(jìn)行拆分和細(xì)化，導(dǎo)致開(kāi)發(fā)人員在開(kāi)發(fā)過(guò)程中很難將這些要求落實(shí)到具體的開(kāi)發(fā)過(guò)程中去，這給應(yīng)用系統(tǒng)在使用階段留下了隱患，并可能導(dǎo)致關(guān)鍵數(shù)據(jù)泄露。這樣的例子還很多，它們都是因?yàn)楣芾韴?zhí)行力不到位造成的。

“天下難事，必做于易；天下大事，必做于細(xì)”。對(duì)于企業(yè)來(lái)講，領(lǐng)導(dǎo)重視了、制度有了、裝備有了、部署有了，但是能否按質(zhì)、按量、按時(shí)地將各項(xiàng)要求細(xì)化并落在實(shí)處，進(jìn)而取得預(yù)期的效果，確實(shí)還要做大量周密細(xì)致的工作?！皥?zhí)行力就是戰(zhàn)斗力”，只有數(shù)據(jù)安全管理的每一個(gè)執(zhí)行者依據(jù)相關(guān)制度要求認(rèn)真履行各自的崗位職責(zé)，才能使數(shù)據(jù)安全管理制度真正落到實(shí)處，才能使企業(yè)的數(shù)據(jù)安全保護(hù)水平達(dá)到應(yīng)有的高度，而要想達(dá)到這個(gè)目標(biāo)，企業(yè)內(nèi)部自上而下、依法依規(guī)的辦事風(fēng)氣、嚴(yán)格的懲罰制度、有效的激勵(lì)政策等等都是必不可少的。

二、采用新興技術(shù)體系框架，但數(shù)據(jù)防護(hù)應(yīng)用能力滯后

作為計(jì)算機(jī)與互聯(lián)網(wǎng)技術(shù)融合發(fā)展的產(chǎn)物，以云計(jì)算、物聯(lián)網(wǎng)為代表的新興技術(shù)體系，正逐步地被推廣到各應(yīng)用領(lǐng)域中，并為信息技術(shù)產(chǎn)業(yè)模式帶來(lái)了重大革新，但由此帶來(lái)的數(shù)據(jù)安全挑戰(zhàn)也不容小覷。以云服務(wù)為例，2011年4月，亞馬遜公司在北弗吉尼亞州的云計(jì)算中心宕機(jī)，致亞馬遜云服務(wù)中斷持續(xù)了近4天；2012年7月，云存儲(chǔ)服務(wù)商Dropbox確認(rèn)，有黑客盜取了部分用戶(hù)信息并侵襲了他們的云服務(wù)賬戶(hù)。

采用新興技術(shù)體系，特別是云服務(wù)技術(shù)的企業(yè)，無(wú)論是公用云，還是私有云環(huán)境，都應(yīng)對(duì)不同的云服務(wù)模式（laaS、PaaS、SaaS）進(jìn)行深入的研究，有針對(duì)性制定符合自身安全需求的數(shù)據(jù)防護(hù)方案，同時(shí)還要緊密跟蹤安全防護(hù)技術(shù)發(fā)展的***研究成果，從而“在戰(zhàn)略層面”上，能夠及時(shí)調(diào)整自身數(shù)據(jù)安全管理策略，“在戰(zhàn)術(shù)層面上”，能夠不斷改進(jìn)提高數(shù)據(jù)防護(hù)手段。

三、數(shù)據(jù)周邊防護(hù)手段齊全，但物理環(huán)境安全投入不足

大家對(duì)于小沈陽(yáng)在春晚小品《不差錢(qián)》里的那句經(jīng)典臺(tái)詞一定印象深刻：“世界上最痛苦的事情，就是錢(qián)還在，人卻沒(méi)了……”。在數(shù)據(jù)防護(hù)領(lǐng)域，最痛苦的事情也莫過(guò)于此，技術(shù)人員在、防護(hù)設(shè)備在、嚴(yán)格管理在，但數(shù)據(jù)自身卻不在了，更嚴(yán)重一點(diǎn)，機(jī)房也沒(méi)了。

對(duì)于一名專(zhuān)業(yè)的信息安全主管領(lǐng)導(dǎo)而言，識(shí)別物理安全控制中所存在的重大缺陷并向高層管理者提出彌補(bǔ)這些缺陷的建議是其必須承擔(dān)的重要責(zé)任。但我們又不得不承認(rèn)，很多企業(yè)里的IT部門(mén)看起來(lái)基本上是效益不大、但成本不小的部門(mén)，年度預(yù)算中被擠來(lái)擠去、砍了又砍的情況也司空見(jiàn)慣。因此，如何把握物理安全控制的度，就是一個(gè)仁智互現(xiàn)的問(wèn)題了。一般來(lái)說(shuō)，基本的數(shù)據(jù)物理安全，應(yīng)該兼顧考慮到機(jī)房場(chǎng)地選擇、物理鎖、安全警衛(wèi)、監(jiān)控設(shè)備、數(shù)據(jù)備份、應(yīng)急電源、防火、防水、防雷等等。而其中，我認(rèn)為數(shù)據(jù)備份，特別是異地和同城的數(shù)據(jù)加密備份，則尤為重要。

總之，企業(yè)數(shù)據(jù)安全無(wú)小事，數(shù)據(jù)安全防護(hù)永遠(yuǎn)在路上。只要我們能充分認(rèn)識(shí)數(shù)據(jù)安全防護(hù)的重要性，做到未雨綢繆，積極建設(shè)全方位、多層次的數(shù)據(jù)安全保護(hù)體系，就能夠?qū)?shù)據(jù)安全威脅將至***水平，避免不必要的損失。