近日，斯諾登爆料美國“棱鏡計劃”成為大家關(guān)注的焦點，這讓山姆大叔的自由、尊重人權(quán)的偽形象瞬間垮塌。我們暫且不說“棱鏡事件”帶來的國家層面的安全問題，僅就企業(yè)來說，核心數(shù)據(jù)時刻面臨著被竊取的風險。威脅已至，如果企業(yè)不想重蹈山姆大叔的尷尬，那么此刻就要重視自身數(shù)據(jù)安全防護體系的建設(shè)了!

       企業(yè)加強核心數(shù)據(jù)安全的防護已經(jīng)刻不容緩，這次棱鏡門的曝光給企業(yè)數(shù)據(jù)安全帶來了哪些警示?如何提升企業(yè)保護數(shù)據(jù)泄密的意識?企業(yè)該如何做好數(shù)據(jù)安全策略?

明朝萬達總裁王志海

        “棱鏡門”事件給企業(yè)帶來的警示

       王志海首先談到，棱鏡事件的曝光至少給企業(yè)用戶帶來了三方面的警示：一是獲取企業(yè)有價值的數(shù)據(jù)已成為各類攻擊者最主要的目標;二是依賴傳統(tǒng)的邊界防護、計算平臺防護和惡意軟件識別手段已無法完全保護企業(yè)的數(shù)據(jù)安全;三是企業(yè)要認識到數(shù)據(jù)泄密不是沒有發(fā)生，而是大部分的泄密事件根本沒被發(fā)現(xiàn)。

        “提升企業(yè)保護數(shù)據(jù)的意識是系統(tǒng)工作，要把泄密風險培訓、數(shù)據(jù)安全制度及相關(guān)技術(shù)措施結(jié)合起來，企業(yè)應(yīng)該抓住這次棱鏡事件結(jié)合自身信息化現(xiàn)狀進行宣傳教育工作，提升企業(yè)員工特別是高層管理人員數(shù)據(jù)安全保護意識。”王志海向企業(yè)這樣建議到。

       企業(yè)做好數(shù)據(jù)安全策略，首先要抓住四個關(guān)鍵點，包括數(shù)據(jù)流程的梳理、全面數(shù)據(jù)安全風險分析模型建立、統(tǒng)一數(shù)據(jù)安全體系規(guī)劃和數(shù)據(jù)安全分步實施計劃。統(tǒng)一數(shù)據(jù)安全體系規(guī)劃和數(shù)據(jù)安全分步實施計劃是數(shù)據(jù)安全防護具體落地工作中的兩面，數(shù)據(jù)安全必然將成為企業(yè)信息化的核心問題，一方面要求企業(yè)有整體數(shù)據(jù)安全建設(shè)目標和規(guī)劃，才能實現(xiàn)真正的數(shù)據(jù)安全防護;另一方面因為數(shù)據(jù)安全建設(shè)關(guān)系到全員意識和流程的改變，為了避免全方位實施帶來的項目失敗風險，建議企業(yè)要制定可行的分布實施計劃。

        “棱鏡門”事件后企業(yè)該如何做好數(shù)據(jù)安全?

        企業(yè)數(shù)據(jù)安全和員工個人隱私之間關(guān)系的處理是普遍關(guān)心的問題，尤其在BYOD模式下，問題更為突出。王志海表示，要想處理好企業(yè)數(shù)據(jù)安全與員工個人隱私之間的關(guān)系需注意兩點：一是數(shù)據(jù)安全防護盡可能以企業(yè)應(yīng)用系統(tǒng)為基準建立，這樣可以精準定位需要防護的企業(yè)數(shù)據(jù);二是盡可能以加密技術(shù)為核心建立事前控制防護機制，減少無差別的審計措施，從而降低對個人隱私侵犯的擔憂。

       不同行業(yè)企業(yè)對解決方案的需求差異性比較大，用戶要將數(shù)據(jù)安全防護方案落到實處。因此，在方案選型時企業(yè)要根據(jù)自身的實際情況來選擇切勿盲目，一是技術(shù)方案要考慮和企業(yè)的文化相匹配，例如國有企業(yè)可能要管理習慣和安全強度之間做適度平衡，而家長式的民營企業(yè)則可以考慮安全強度更高的方案;二是要結(jié)合具體的業(yè)務(wù)應(yīng)用場景來選擇制定方案，避免只在網(wǎng)絡(luò)系統(tǒng)層面或者產(chǎn)品功能方面草率地選擇方案;三是要選擇行業(yè)內(nèi)有一定規(guī)模的專業(yè)廠商，確保項目后續(xù)服務(wù)能夠得到足夠的保障。

       另外，對于員工的安全培訓和意識普及也是企業(yè)做好數(shù)據(jù)安全的重要一步。安全意識的提升一是可以通過一些負面的案例分析教育來提升，二是可以就其中一種業(yè)務(wù)流程建立數(shù)據(jù)安全防護措施，讓大家在日常工作中逐步養(yǎng)成數(shù)據(jù)安全防護意識，這更加有效。

       對于不同企業(yè)的數(shù)據(jù)安全解決方案，王志海談到，不同企業(yè)數(shù)據(jù)安全防護模型差異較大，尤其是不同的行業(yè)之間，不存在普適性的最佳數(shù)據(jù)安全防護模型。建議企業(yè)應(yīng)該以業(yè)務(wù)應(yīng)用系統(tǒng)為主線，建立與業(yè)務(wù)應(yīng)用系統(tǒng)緊密配合的數(shù)據(jù)安全防護模型，這或許就是每個企業(yè)最佳的數(shù)據(jù)安全防護模型。

       總結(jié)：談及數(shù)據(jù)安全未來發(fā)展的趨勢，王志海講到，信息化最核心的價值體現(xiàn)就是數(shù)據(jù)，如何守護這些數(shù)據(jù)的價值，就是數(shù)據(jù)安全要解決的問題。從此可以預(yù)見，數(shù)據(jù)安全以后必然是信息化的核心組成部分，信息化水平越高，對數(shù)據(jù)安全的需求越迫切，可以說數(shù)據(jù)安全將是信息安全實現(xiàn)數(shù)量級增長的一個主要支撐。(作者：董建偉)