數(shù)據(jù)安全的現(xiàn)狀和發(fā)展

2013-10-17 10:53:13 EP電力信息化網(wǎng)　點(diǎn)擊量：評論 (0)

隨著數(shù)據(jù)價值的體現(xiàn)和科技的發(fā)展，世界各地的政府、銀行、電信公司、制造業(yè)以及零售業(yè)等相關(guān)機(jī)構(gòu)，不斷發(fā)生數(shù)據(jù)泄密事件。2011年末國內(nèi)最大程序員社區(qū)CSDN的數(shù)據(jù)庫泄露事件橫掃整個中國互聯(lián)網(wǎng)，引起了億萬網(wǎng)民的關(guān)注。今年的315晚會上報道了多家銀行員工向其他人出售客戶個人信息，導(dǎo)致銀行客戶資金被盜。一夜之間，數(shù)據(jù)外泄和數(shù)據(jù)安全的重要性終于真正得到體現(xiàn)。

    數(shù)據(jù)安全是信息系統(tǒng)建設(shè)的基石，如果數(shù)據(jù)安全沒有保障，那么信息系統(tǒng)建設(shè)得有多大，損失就會有多大。由于IT技術(shù)變化很快，每隔一段時間就會出現(xiàn)新的技術(shù)和新的安全威脅，因此數(shù)據(jù)安全這個概念自誕生以來就不斷地在發(fā)生改變。

    從數(shù)據(jù)安全的發(fā)展來看，數(shù)據(jù)安全經(jīng)歷了關(guān)注安全技術(shù)、關(guān)注人的行為、關(guān)注管理、關(guān)注整體解決方案到最近回歸本質(zhì)的關(guān)注信息本身的立體化整體信息防泄漏體系這五個過程，技術(shù)、體系、理念都在不斷進(jìn)步和完善，不斷的加固著企業(yè)的數(shù)據(jù)安全防護(hù)體系。

    在技術(shù)發(fā)展的過程中，數(shù)據(jù)權(quán)限管理和加密技術(shù)大大提高了數(shù)據(jù)安全的發(fā)展和影響。DRM（Data Right Management）數(shù)據(jù)權(quán)限管理是主要基于企業(yè)內(nèi)部一些特定文件類型（例如：doc,xls,pdf等）進(jìn)行保護(hù)的產(chǎn)品，通過它可以對這些辦公文件進(jìn)行訪問權(quán)限的設(shè)定，只有那些有權(quán)限的人員才可以打開這些DRM過的文件，并且進(jìn)行修改。Encryption加密是針對一些特定部門的特定機(jī)密文件進(jìn)行保護(hù)。通過這類產(chǎn)品可以將對應(yīng)的機(jī)密文件加密，只有對應(yīng)密鑰的人才可以打開。加密產(chǎn)品在小范圍內(nèi)可以讓一些特定的文件靈活安全的使用。加密軟件可以將企業(yè)圖紙、辦公文檔等文檔進(jìn)行加密處理，整個過程對用戶透明，不改變工作習(xí)慣。文檔只有在授信范圍內(nèi)才能打開，離開了授信范圍文檔就是一堆亂碼，號稱“偷得走，打不開”。

    數(shù)據(jù)安全的發(fā)展方向是將傳統(tǒng)的分散部署整合起來，整合之后的管理系統(tǒng)能夠通過對網(wǎng)絡(luò)中所有設(shè)備的統(tǒng)一策略制定、用戶行為的統(tǒng)一管理，安全工具的集中審計(jì)，最大限度地減少安全隱患。一些廠商將國外的DLP（數(shù)據(jù)泄漏防護(hù)）概念引入中國，根據(jù)中國企業(yè)的實(shí)際需求整合終端防護(hù)、存儲磁盤、文件管理、版權(quán)管理以及U盤、外設(shè)端口控制、網(wǎng)頁信息保護(hù)、即時通訊攔截等多個功能，推出了具有中國特色的DLP產(chǎn)品。

    DLP（Data Loss Prevention）數(shù)據(jù)丟失防護(hù)是主要基于內(nèi)容檢測的產(chǎn)品，它針對整個企業(yè)的范圍進(jìn)行監(jiān)控、發(fā)現(xiàn)和保護(hù)，通過DLP也可以使企業(yè)進(jìn)行SOX以及PCI等法規(guī)的遵從。DLP是目前市場上運(yùn)用比較多且比較成熟的技術(shù)之一，像數(shù)據(jù)著名的數(shù)據(jù)信息安全產(chǎn)提供商賽門鐵克采用的就是DLP技術(shù)。雖然從技術(shù)角度看，DLP系統(tǒng)仍然是各種傳統(tǒng)技術(shù)的整合，并沒有但是它體現(xiàn)出國內(nèi)廠商已經(jīng)不再盯著單一的產(chǎn)品或技術(shù)，而是開始進(jìn)行概念和整體解決方案的推廣，這無疑比過去單純的技術(shù)概念炒作要高出一個層次，也代表著數(shù)據(jù)安全產(chǎn)品和技術(shù)更加的成熟。

    只有從全局的視角出發(fā)，對安全問題進(jìn)行統(tǒng)籌規(guī)劃、統(tǒng)一管理，整合運(yùn)用審計(jì)、權(quán)限管理、加密等防泄密功能，根據(jù)涉密程度的不同（如核心部門和普通部門），部署力度輕重不一的梯度式防護(hù)，將技術(shù)、管理、審計(jì)進(jìn)行有機(jī)的結(jié)合，在內(nèi)部構(gòu)建起立體化的整體信息防泄漏體系，使得成本、效率和安全三者達(dá)到最優(yōu)平衡，才能實(shí)現(xiàn)真正意義上的數(shù)據(jù)安全。

    在信息安全行業(yè)，有“三分技術(shù)、七分管理，的說法。在大企業(yè)中，技術(shù)解決的是局部問題。內(nèi)部的很多問題在于溝通、體制執(zhí)行不到位等，而非技術(shù)本身的問題。管理是從宏觀上的把控，技術(shù)是實(shí)在的落地；技術(shù)以管理為指導(dǎo)，管理以技術(shù)為落腳點(diǎn)，因此兩手都要抓。”從安全的一些標(biāo)準(zhǔn)實(shí)現(xiàn)上來看，比如IS0270001等，都是從管理入手，而后落地到相應(yīng)的技術(shù)上。在推廣方面，如果沒有管理的支持，一個技術(shù)很難在大企業(yè)里全面推廣。在企業(yè)的安全體系中，管理體系是主干，嚴(yán)格的管理制度、明確的職責(zé)劃分、合理的人員配置能夠堵住大部分的漏洞，大幅度降低安全風(fēng)險。在執(zhí)行的部分，技術(shù)就很重要了，企業(yè)需要一些安全技術(shù)來保證制度的執(zhí)行，兩相結(jié)合之下，企業(yè)就能構(gòu)建起一個較好的內(nèi)網(wǎng)安全體系。

    《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》中對個人信息的處理包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié)，并提出了個人信息保護(hù)的原則。對竊取并曝光用戶信息的行為表示強(qiáng)烈譴責(zé)，并責(zé)成各網(wǎng)站切實(shí)保障用戶信息安全，做好事前預(yù)防和事后補(bǔ)救措施，避免類似事件的再度發(fā)生。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊