13530901580
时间:2019-12-13
【IT专家网 安全频道】央视315晚会曝光的招商、工商等多家银行内鬼泄露网银信息,导致网银用户隐私泄露,最高被盗超过23万元的事件,很多人记忆犹新。事实上,敏感的金融〓行业监管还算严格,但仍然出现问题,一般企业则更需警惕。而且,随着企业信息化程度的提高☉,企业90%的数据以电子数据形式存在,通过信息系统或网络来完成的工作流程也越来越多,这对企业数据的泄露提供了更多的机会。众所周知,当下信息的掌握程度影响∴着商业天平的平衡,企业数据万一被泄露,对企业将可能造成致命的影响。
为防范数据不翼而飞这样的状况发生,保护企业正当的商业机密和利益,企业有必要了解当前数据泄露的途径,从而才能提高认识,有针对性「的杜绝数据泄露的威胁,将企业数据安全风险降到最低。那么,数据泄露的可能途径都有哪些?新技术的使用对数据安全提出什么挑战?企业应当采取哪些措施来保护自己的数☆据安全?日前,信息安全专家、时代亿信技术总监李兆丰做客IT专家网《专家会客ζ室》,就此深度分享了自己的看法。
李兆丰总结了企业数据安全的泄露的五个主要途径,以及云计算技术、移动互联网的使用、社交网络的发达带来ω 的一些挑战,并提出了自己的对策建议,指出应当通过文档加密和授权防护控制这样的技术构』建全面立体的信息安全防护体系。
企业数据泄密的五◎个主要途径
通过自身的感受,以及与用户的交流,李兆丰归︾纳了企业数据安全的泄露的五个主要途径:
第一,黑客木马。我们知道黑客还有木马现在是比较猖獗的,对企业内部而言,比如我们服务器被入侵,我们用户电脑被木马所控制,都可能造成数据的泄密。
第二种场景,是我们内部的员工,对互联网,对电子邮件的违规使用导致的数据安全问题,比如说我们的员工将一些机密的信息放到了网盘里面,放到了邮△件系统,发布到自己的个人ㄨ空间,当然我这里提到的是机密的信息,这样有一个区别,这样是违规的一个使用。
第三点,有些系统在建设的时候没有按照一定的安全设计的原则去做,比如说他的运维人员,他的◆管理员甚至可以去查看用户的一些信息,这样会导致运维人员会窃取企业内部的数据。
第四点,是电脑硬盘这样的一些设备,我们在丢失或者送去维修的过程中,可能会导致数据泄密。
李兆丰特别强调最后的一点,就是内部员工主动泄密,即“家贼”。主动泄密又分为两种情况:第一种就是恶意地泄密,这一般是和商业的行为结合在一起的;第二就是非恶意地泄密,比如他把一篇文档发到了百度文库,并不是想获得商业回报,但是无形中损害了企业的利益。
李兆丰表示,用户反馈的这些诸多问题,对企业下一步信息安全的防护也提出了更■多的要求。
热点技术带来的新挑战
两化融合的深化,云计算的普及,物联网和移动终端的应用,都是我们㊣耳熟能详的趋势。李兆丰认为,从技术的发展来看,这些热点技术对企业信息安全提出的越来越多的新的挑战。
首先,由于信息化发展№,越来越多的企业内部的资料都会以电子的形式去存放,现在有一个数字,说在企业里面,90%的以上的数据都是电子的数据,我们知道电子文档是易于扩散的,所以信息化的发展对电子文档安全保护的需求会越来越强烈。
其次,整个计算机的行业会有一个集中化的一个趋势,比如我们很多东西都去集中,比如说我们搜索引擎是把分散的数据发在一起然后产生新的价值。很多企业内部数据也是这样,比如说档案以前是分散的,现在集中起来做这种统一的搜索,那么集中化了的数据之后,一旦发生泄密造成影响的程度会越来越大,风险也越来越大。
第三点就是移动互联网。移动终端的使用越来越多,企业内部无线网络的建设越来越多,越来越方便,也更容易产生〇泄密的风险,这是移动终端带来的一种挑战。
最后就是随着现在社交的网络▲的发展,网络信息传播的速度越来越快,也就是说一旦我们的信息在发生泄密之后,它是以非常快的▂速度传播出去,造成的影响和范围也比原来大的多。
管理和技术防范
李兆丰认为,企业如果想去防范上述的一些安全问题,管理上的防范和々技术上的防范要两手抓。
首先,从管理上来讲,第一,企业应该加强内部文档保护的意识;第二,要建立机密文档、数据ξ 这样的一些安全管理的使用的一些办法,例如,机密的文档,在使用的时候不允许发布到自己的网盘,不允许带到家里边去,它应该有一套流程的管理;第三点,建立一些审计监督检查的◆机制,来强化大家保护的意识,这是管理上企业应当注意的一点。
从技术上而言,李兆丰认为,企业可以采用一些产品,比如说建立电∮子文档安全管理的平台,主要就是有三个功能,第一要把√文档加密;第二,在加密的基础上去做授权的防护控制,比如说什么人可以对这个文档做什么操作,这是可以▃去做控制的;第三,加强事后的审计,什么人在什么时间干了什么事情,用户的这样一些行为,我们企业内部可以去审计的╱,这是技术上一些具体的措施。
从∞保护的内容、对象来看,李兆丰归纳三点企业要保护的,第一点,是易用系统里边,比如说我们生产的系统,我们的OA,我们知识库里边,这样的一些文档、数据;第二点,要保护的员工电脑终∏端的数据安全,有些公司的资料啊,包括他自己一些私密的东西都可以在保护的范畴;第三点,我们要做用户在这些文档资料共享的过程↘中的一个保护,比如发邮件的过程中,发给对方,在邮件服务器上,这样可能就会被别人看到了。这样,从这三个〓方面入手建立一种立体的全面的防护的机制。
李兆丰还指出,目前市面上已有成熟的产品可供企业选择,实现安全与易用性的平衡,并且易于部◣署,不会因为人才的缺乏而不能发挥作用。
作者:周钜翔出处:IT专家网
Copyright © 2006-2019 深圳市绿盾计算机有限公司 版权所有粤ICP备14099006号-1
