[[163136]]

隨著網(wǎng)絡(luò)信息技術(shù)和電子商務(wù)的發(fā)展，對于現(xiàn)代企業(yè)而言，關(guān)鍵業(yè)務(wù)數(shù)據(jù)已經(jīng)成為其核心資產(chǎn)之一，也是企業(yè)核心競爭力的體現(xiàn)。一家現(xiàn)代企業(yè)能否對其關(guān)鍵敏感數(shù)據(jù)進行有效保護，已成為企業(yè)自身在激烈的商業(yè)競爭中能否立于不敗之地的一項決定因素。敏感數(shù)據(jù)丟失對企業(yè)不但意味著重大經(jīng)濟損失，還會給企業(yè)信譽帶來致命影響。2013年部分品牌連鎖酒店“開房數(shù)據(jù)泄露”事件、2011年知名程序員網(wǎng)站CSDN 600多萬用戶信息泄露以及天涯社區(qū)4000萬用戶資料泄露等事件表明，數(shù)據(jù)安全無小事，如果不采取有效手段加強數(shù)據(jù)安全防護，由此造成的損失是難以估量的。

目前，越來越多的企業(yè)開始重視業(yè)務(wù)數(shù)據(jù)安全防護工作，特別是隨著有中國版“薩班斯法案”之稱的《企業(yè)內(nèi)部控制基本規(guī)范》頒布以及云計算技術(shù)的廣泛應(yīng)用，數(shù)據(jù)保護重心已從單純針對系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面防護向關(guān)注應(yīng)用和關(guān)鍵數(shù)據(jù)層面的防護轉(zhuǎn)換。盡管如此，仍有一些企業(yè)數(shù)據(jù)安全方面的問題沒有得到足夠的重視，所以，我們來看看目前企業(yè)CIO眼中普遍擔心的數(shù)據(jù)安全威脅都有哪些？

◆敏感信息及數(shù)據(jù)在哪里？哪些是敏感數(shù)據(jù)？（關(guān)注度：5星）

◆怎么可視化數(shù)據(jù)在IT環(huán)境中的動向？（關(guān)注度：5星）

◆怎么制定一個既不阻礙業(yè)務(wù)發(fā)展，又能滿足合規(guī)要求，還得具備與合作伙伴實現(xiàn)部分數(shù)據(jù)共享的整體數(shù)據(jù)保護策略？（關(guān)注度：4星）

◆如何智能地，主動地處理大量不同環(huán)境中進行交換的數(shù)據(jù)，如云環(huán)境、移動互聯(lián)網(wǎng)環(huán)境等。（關(guān)注度：4星）

◆有哪些價錢合適又有效果的DLP解決方案、數(shù)據(jù)庫防護技術(shù)，以及無縫的數(shù)據(jù)整合加密技術(shù)來幫助企業(yè)實現(xiàn)整體的風險控制與管理？（關(guān)注度：3星）

注：上面的關(guān)注度只是筆者給出的一個主觀評價，不具備任何參考價值，提到的所有點，都是非常重要的，尤其對于一個CISO來說，這是你每天都要面對的事情，筆者也在尋求上面滿足幾個需求的整體數(shù)據(jù)安全保護解決方案，歡迎各位讀者一起討論。為了讓大家更加深入的理解數(shù)據(jù)安全不容忽視的重要性，本文將從安全管理執(zhí)行效果、新興技術(shù)應(yīng)用以及物理環(huán)境安全三方面進行闡述。

一、領(lǐng)導(dǎo)重視數(shù)據(jù)防護，但執(zhí)行力有待提高

信息安全領(lǐng)域“三分技術(shù)七分管理”的理念，已是老生常談，目前也逐漸被企業(yè)領(lǐng)導(dǎo)層所接受，但由此帶來的“一分部署九分落實”的問題，則日益顯現(xiàn)，并已成為信息安全建設(shè)，特別是數(shù)據(jù)安全管理方面的重點和難點。遺憾的是，在實際工作中，安全要求執(zhí)行不到位的情況仍相當普遍。如有的企業(yè)在自主開發(fā)部分應(yīng)用系統(tǒng)過程中，雖然能夠按照內(nèi)部整體安全策略制定了開發(fā)規(guī)范，但由于種種原因未將這些規(guī)范進行拆分和細化，導(dǎo)致開發(fā)人員在開發(fā)過程中很難將這些要求落實到具體的開發(fā)過程中去，這給應(yīng)用系統(tǒng)在使用階段留下了隱患，并可能導(dǎo)致關(guān)鍵數(shù)據(jù)泄露。這樣的例子還很多，它們都是因為管理執(zhí)行力不到位造成的。

“天下難事，必做于易；天下大事，必做于細”。對于企業(yè)來講，領(lǐng)導(dǎo)重視了、制度有了、裝備有了、部署有了，但是能否按質(zhì)、按量、按時地將各項要求細化并落在實處，進而取得預(yù)期的效果，確實還要做大量周密細致的工作?！皥?zhí)行力就是戰(zhàn)斗力”，只有數(shù)據(jù)安全管理的每一個執(zhí)行者依據(jù)相關(guān)制度要求認真履行各自的崗位職責，才能使數(shù)據(jù)安全管理制度真正落到實處，才能使企業(yè)的數(shù)據(jù)安全保護水平達到應(yīng)有的高度，而要想達到這個目標，企業(yè)內(nèi)部自上而下、依法依規(guī)的辦事風氣、嚴格的懲罰制度、有效的激勵政策等等都是必不可少的。

二、采用新興技術(shù)體系框架，但數(shù)據(jù)防護應(yīng)用能力滯后

作為計算機與互聯(lián)網(wǎng)技術(shù)融合發(fā)展的產(chǎn)物，以云計算、物聯(lián)網(wǎng)為代表的新興技術(shù)體系，正逐步地被推廣到各應(yīng)用領(lǐng)域中，并為信息技術(shù)產(chǎn)業(yè)模式帶來了重大革新，但由此帶來的數(shù)據(jù)安全挑戰(zhàn)也不容小覷。以云服務(wù)為例，2011年4月，亞馬遜公司在北弗吉尼亞州的云計算中心宕機，致亞馬遜云服務(wù)中斷持續(xù)了近4天；2012年7月，云存儲服務(wù)商Dropbox確認，有黑客盜取了部分用戶信息并侵襲了他們的云服務(wù)賬戶。

采用新興技術(shù)體系，特別是云服務(wù)技術(shù)的企業(yè)，無論是公用云，還是私有云環(huán)境，都應(yīng)對不同的云服務(wù)模式（laaS、PaaS、SaaS）進行深入的研究，有針對性制定符合自身安全需求的數(shù)據(jù)防護方案，同時還要緊密跟蹤安全防護技術(shù)發(fā)展的***研究成果，從而“在戰(zhàn)略層面”上，能夠及時調(diào)整自身數(shù)據(jù)安全管理策略，“在戰(zhàn)術(shù)層面上”，能夠不斷改進提高數(shù)據(jù)防護手段。

三、數(shù)據(jù)周邊防護手段齊全，但物理環(huán)境安全投入不足

大家對于小沈陽在春晚小品《不差錢》里的那句經(jīng)典臺詞一定印象深刻：“世界上最痛苦的事情，就是錢還在，人卻沒了……”。在數(shù)據(jù)防護領(lǐng)域，最痛苦的事情也莫過于此，技術(shù)人員在、防護設(shè)備在、嚴格管理在，但數(shù)據(jù)自身卻不在了，更嚴重一點，機房也沒了。

對于一名專業(yè)的信息安全主管領(lǐng)導(dǎo)而言，識別物理安全控制中所存在的重大缺陷并向高層管理者提出彌補這些缺陷的建議是其必須承擔的重要責任。但我們又不得不承認，很多企業(yè)里的IT部門看起來基本上是效益不大、但成本不小的部門，年度預(yù)算中被擠來擠去、砍了又砍的情況也司空見慣。因此，如何把握物理安全控制的度，就是一個仁智互現(xiàn)的問題了。一般來說，基本的數(shù)據(jù)物理安全，應(yīng)該兼顧考慮到機房場地選擇、物理鎖、安全警衛(wèi)、監(jiān)控設(shè)備、數(shù)據(jù)備份、應(yīng)急電源、防火、防水、防雷等等。而其中，我認為數(shù)據(jù)備份，特別是異地和同城的數(shù)據(jù)加密備份，則尤為重要。

總之，企業(yè)數(shù)據(jù)安全無小事，數(shù)據(jù)安全防護永遠在路上。只要我們能充分認識數(shù)據(jù)安全防護的重要性，做到未雨綢繆，積極建設(shè)全方位、多層次的數(shù)據(jù)安全保護體系，就能夠?qū)?shù)據(jù)安全威脅將至***水平，避免不必要的損失。