▲国富安解决方案中心经理杨鹏武
1、企业面临的主要数据安全威胁
办公网络化已经成为了未来企业办公的趋势,然而,这虽然为企业带来了极大的便利,但也带来了极大的危害,企业要时刻面对核心数据泄露的风险。杨鹏武介绍到,企业面临的数据安全威胁主要包括:内网安全、传输过程安全、客户端安全、服务器安全和数据库安全。网络经营者和机构用户只注重网络效应,对安全领域的投入和管理远远不能满足安全防护的要求,网络安全仍是企业目前面临的最大安全问题。
对于企业而言,数据访问权限控制在信息化监管方面发挥着极其关键的作用。做好数据安全策略,首先应明确企业内部管理层级的划分,哪些管理人员能访问哪些数据,对数据做何种程度的修改都应当有相关内部管理文档可供CIO进行查阅,从而可以划分数据访问授权权限,在登录、访问控制以及责任审计方面做到有章可循。
2、企业如何处理员工个人隐私与企业数据之间的关系?
杨鹏武谈到,现在很多企业在打着维护网络安全、提高工作效率、防止机密泄露等旗号的同时,都安装了具备监控网页、屏蔽网页等功能的网络软硬件设备,这些意味着员工在电脑上的一举一动都处于单位的监控之中,一些私人信息也难以幸免。公司监控员工上网、涉及侵犯员工隐私的纠纷随之增多,而目前国内相关法律法规几乎为空白。
对于如何处理好员工个人隐私和数据之间的关系,杨鹏武认为需要从个人、企业以及社会法制三个层面考虑:首先,对于员工个人而言,在工作的同时应当尽量避免将过于私密信息公布于外网之上。上班时间以工作需要的交谈为主,尽量少地利用工作时间以及公司现有资源进行私人性质的活动。其次,对于企业而言,在进行商业化运作的同时应注重保护员工的个人隐私。公司应当建立相应的规章体系来完善监控事宜,并与企业员工进行事先约定与洽谈,让员工了解到企业使用监控软件是为了确保企业隐私信息不会通过私下的传播扩散到外界中去,而不是打探员工隐私,从而得到员工的理解与支持。最后,对于法律法规来讲,应当尽快出台相关的法律政策,确保在企业商业化运作过程中,不侵害员工个人隐私的同时保障企业信息不向外泄露,使企业能够正常化运转。
3、企业数据安全选型力求全面化
企业在进行数据安全选型时,应当从“身份生命周期管理”的角度去多方位考虑,力求在数据安全保护方面得到全面化的管理,而不是单一依靠监控软件达到数据防泄漏的目的。生命周期管理模型包含创建帐户、分配权限、身份认证与访问控制、用户行为审计、角色变更和账户回收等几个方面。数据安全是一个系统思维,从整体考虑,包括从客户的可接受程度,包括说消费者可接受程度,来真正考虑信息安全怎样去建设。
安全从来不是自动就能实现的,它需要人的参与。根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是"一肩挑"。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
企业应该明文规定有关设施访问、网络访问、合理使用公司系统与网络以及合理使用公司电子邮件和浏览器的相关流程和规则。如果组织制订条文明确、解释清楚的安全策略,并加以执行,就能有效地对付这一点及简单的错误。
目前,国内外一些列的泄密事件将安全问题推到了众人的面前,这个问题只会越来越突出,越来越重要。所以,身处信息时代,数据永远是企业最需要保护的东西,未来的数据安全将以高度集成化和标准化为趋势,立体全面的对企业甚至国家的安全提供保障。
