數(shù)據(jù)信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對(duì)于人類具有特別重要的意義。數(shù)據(jù)信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。

根據(jù)國際標(biāo)準(zhǔn)化組織的定義，數(shù)據(jù)信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。數(shù)據(jù)信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題，是一個(gè)不容忽視的國家安全戰(zhàn)略。進(jìn)入網(wǎng)絡(luò)時(shí)代后，數(shù)據(jù)信息安全保障工作的難度大大提高。我們受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客的侵襲、病毒發(fā)布者，甚至系統(tǒng)內(nèi)部的泄密者。數(shù)據(jù)信息安全已經(jīng)成為各行業(yè)信息化建設(shè)中的首要問題。

天璣科技是IT服務(wù)領(lǐng)域的領(lǐng)先企業(yè)，多年的IT服務(wù)經(jīng)驗(yàn)使天璣科技深刻理解數(shù)據(jù)安全對(duì)企業(yè)發(fā)展的重要意義?；仡櫶飙^科技的服務(wù)歷程，十年前，數(shù)據(jù)安全問題遠(yuǎn)遠(yuǎn)排在企業(yè)信息化建設(shè)規(guī)劃的末端，大多數(shù)企業(yè)還沒有意識(shí)到數(shù)據(jù)安全會(huì)對(duì)企業(yè)造成怎樣的重大影響。彼時(shí)，在多數(shù)IT管理者的概念中，只要安裝幾套殺毒軟件就足矣。時(shí)至今日，殺毒軟件、防火墻已不足以防范各種層出不窮的黑客手段，有意或者無意的數(shù)據(jù)泄密促使企業(yè)建立一套從軟件到硬件、從制度到流程的全方位“安全網(wǎng)”?？梢哉f，數(shù)據(jù)安全問題已經(jīng)不再是簡(jiǎn)單的防毒殺毒事件，而是一個(gè)長期的、多角度的系統(tǒng)工程。

今天的企業(yè)信息系統(tǒng)安全建設(shè)，與以往有何不同?

根據(jù)美國CSI/FBI的調(diào)查顯示，80%的安全威脅來自企業(yè)內(nèi)部，將近60%的離職者或被辭退者在離開時(shí)會(huì)攜帶企業(yè)數(shù)據(jù)。Ponemon研究所進(jìn)行的一項(xiàng)***研究調(diào)查顯示，內(nèi)部泄密已經(jīng)成為企業(yè)數(shù)據(jù)外泄的頭號(hào)原因，而黑客僅位列第五。

由此可見，企業(yè)信息系統(tǒng)安全建設(shè)中，要加強(qiáng)對(duì)內(nèi)部威脅的防范。根據(jù)天璣科技多年來為用戶提供數(shù)據(jù)安全服務(wù)的經(jīng)驗(yàn)，內(nèi)部數(shù)據(jù)泄密的比例越來越高。然而，多數(shù)企業(yè)在考慮數(shù)據(jù)安全時(shí)，依然將防御外部竊密作為***要?jiǎng)?wù)，花費(fèi)了大量的投資購買和建設(shè)對(duì)外“屏蔽墻”，卻忽視了對(duì)內(nèi)管理，留下大量的管理漏洞，使得企業(yè)重要信息在不知不覺中丟失。

因此，數(shù)據(jù)安全管理，需要采用“兩手同時(shí)抓”的策略，建立完善健全的管理制度，借助先進(jìn)的技術(shù)手段，在嚴(yán)格的數(shù)據(jù)使用和監(jiān)管流程下，確保企業(yè)數(shù)據(jù)面對(duì)外部和內(nèi)部威脅都能安然無恙。

建立全面的信息防泄漏體系，天璣科技認(rèn)為應(yīng)在管理制度上做好哪些工作?

天璣科技認(rèn)為，要建立全面的信息防泄漏體系，要做好以下四點(diǎn)：

***步，事先預(yù)防，控制管理。要建立以實(shí)現(xiàn)防范為主的安全管理系統(tǒng)，全方位保護(hù)敏感數(shù)據(jù)，需要企業(yè)嚴(yán)格遵循數(shù)據(jù)訪問授權(quán)和審批管理，做到數(shù)據(jù)庫管理員的職責(zé)分離，并限制特權(quán)用戶的權(quán)限，同時(shí)禁止任意的非法訪問行為，如基于規(guī)則訪問控制和多因素的訪問控制，并區(qū)分敏感數(shù)據(jù)，從而防止旁路應(yīng)用程序。

第二步，事中審批，關(guān)鍵操作授權(quán)和審批。以事中授權(quán)和流程審批制度，進(jìn)一步保障“關(guān)鍵數(shù)據(jù)”的訪問安全。企業(yè)通過規(guī)則配置的方式來識(shí)別不合法的關(guān)鍵數(shù)據(jù)操作，每次“關(guān)鍵數(shù)據(jù)訪問”的操作，都需按照嚴(yán)格的執(zhí)行授權(quán)，并授權(quán)到人。

第三步，事中通知，訂閱和告警管理。及時(shí)發(fā)現(xiàn)非法訪問或操作關(guān)鍵業(yè)務(wù)數(shù)據(jù)，并***時(shí)間告警及提示信息管理者，以及提供自定義訂閱敏感事件告警通知管理，為安全管理者掌握誰在什么時(shí)間、地點(diǎn)、用什么應(yīng)用對(duì)關(guān)鍵數(shù)據(jù)做了哪些操作。

第四步：事后審計(jì)，追蹤和發(fā)現(xiàn)提供審計(jì)威懾力。通過各級(jí)別的審計(jì)行為追溯能力，提供詳細(xì)的審計(jì)報(bào)表，并針對(duì)海量審計(jì)信息進(jìn)行篩選，定位準(zhǔn)確的事件，為懲戒提供精細(xì)的證據(jù)。

天璣科技如何看待數(shù)據(jù)安全未來的發(fā)展趨勢(shì)?

據(jù)TMT調(diào)研數(shù)據(jù)，目前中國互聯(lián)網(wǎng)公司的信息安全支出在整體IT支出中的比例不到1%，對(duì)安全性要求比較高的金融行業(yè)為10%，而歐美互聯(lián)網(wǎng)公司的安全支出占比普遍為8%~10%。中國企業(yè)的數(shù)據(jù)安全建設(shè)道路依然漫長。

今天，中國的企業(yè)正在由中國制造轉(zhuǎn)變?yōu)橹袊鴦?chuàng)造，企業(yè)內(nèi)部的關(guān)鍵數(shù)據(jù)，包括：客戶資料、營銷方案、財(cái)務(wù)報(bào)表、研發(fā)數(shù)據(jù)等信息資產(chǎn)，成為企業(yè)的核心競(jìng)爭(zhēng)力，是絕對(duì)不可流失的重要資產(chǎn)。同時(shí)，企業(yè)內(nèi)部的IT應(yīng)用不斷的增多，由于對(duì)于IT系統(tǒng)的依賴性越來越強(qiáng)，導(dǎo)致信息外泄的渠道也大大增多，安全風(fēng)險(xiǎn)無處不在。

所幸的是，已經(jīng)有越來越多的政府官員和企業(yè)管理者認(rèn)識(shí)到數(shù)據(jù)安全管理的重要性，并快速做出反應(yīng)。他們積極吸納國外先進(jìn)技術(shù)，并靈活地與實(shí)際需要相融合。一方面，中國本土的數(shù)據(jù)安全技術(shù)得到了快速發(fā)展和應(yīng)用，另一方面，覆蓋核心部門和重要企業(yè)的信息安全管理制度已經(jīng)落地，并取得了一定成效?？梢哉f，中國的數(shù)據(jù)安全市場(chǎng)，是個(gè)龐大的、并且依然在深度和廣度上發(fā)展的市場(chǎng)。在這片廣袤的沃土上，中國的數(shù)據(jù)安全解決方案提供商們應(yīng)把握機(jī)遇，借鑒國外經(jīng)驗(yàn)教訓(xùn)，盡量不走彎路，撐起中國全民信息安全的保護(hù)傘。