隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等創(chuàng)新技術(shù)應(yīng)用的發(fā)展,在為企業(yè)發(fā)展和個(gè)人生活帶來巨大便利的同時(shí),數(shù)據(jù)泄露的風(fēng)險(xiǎn)也大大提升。
對(duì)此,三花集團(tuán)CIO葉根平在2018 全國CIO大會(huì)上指出:“在企業(yè)信息安全規(guī)劃中,應(yīng)該投入更多的資源在數(shù)據(jù)和信息類資產(chǎn)的管理上。”
三花集團(tuán)CIO葉根平
企業(yè)數(shù)據(jù)資產(chǎn)的保護(hù)需求凸顯
對(duì)于很多企業(yè)來說,數(shù)據(jù)實(shí)際上是業(yè)務(wù)的核心。葉根平以知名手機(jī)制造商蘋果公司為例:“蘋果公司2014年年報(bào)的全部資產(chǎn)只有261.9億美元,但是在2014年全球企業(yè)品牌價(jià)值排行榜上的品牌估值為 2188.63億元美金。其中很多資產(chǎn)是以數(shù)據(jù)形態(tài)來承載的。”
葉根平稱,企業(yè)在發(fā)展過程中由數(shù)據(jù)所承載的知識(shí)和智慧非常之多,而這部分?jǐn)?shù)據(jù)資產(chǎn),可能沒有體現(xiàn)在財(cái)務(wù)報(bào)表里,甚至沒有被認(rèn)識(shí)到。
據(jù)介紹,企業(yè)的數(shù)據(jù)和信息類資產(chǎn)可分為四大類:
第一類是與創(chuàng)新相關(guān)的,包括專利、產(chǎn)品、軟件代碼等;
第二類是跟市場(chǎng)相關(guān)的,比如客戶信息、需求以及項(xiàng)目資料等;
第三類業(yè)務(wù)層面的,包括管理平臺(tái)所承載的材料、加工以及成本數(shù)據(jù);
第四類是環(huán)境信息,比如行業(yè)分析、政策分析、趨勢(shì)分析等。
而在數(shù)字化轉(zhuǎn)型的過程中,信息和數(shù)據(jù)類資產(chǎn)已經(jīng)成為企業(yè)價(jià)值的重要組成部分。
“現(xiàn)如今企業(yè)的信息安全威脅可以歸結(jié)為數(shù)據(jù)和信息類資產(chǎn)所面臨的各種內(nèi)部和外部的威脅,尤其是內(nèi)部威脅。” 葉根平表示。
內(nèi)部防護(hù)是關(guān)鍵
根據(jù)調(diào)查顯示,互聯(lián)網(wǎng)接入后內(nèi)部重要機(jī)密通過網(wǎng)絡(luò)泄密而造成重大損失的事件中,只有1%是被黑客竊取或者外部竊取造成的,而97%都是由于內(nèi)部員工有意或者無意之間泄露而造成的。
數(shù)據(jù)的泄露會(huì)對(duì)企業(yè)造成嚴(yán)重?fù)p失,為了更好地實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的管理,葉根平認(rèn)為,企業(yè)需要應(yīng)對(duì)以下幾大挑戰(zhàn):
“首先是企業(yè)數(shù)據(jù)資產(chǎn)分布情況無法掌握。很多企業(yè)的信息資產(chǎn)分散各個(gè)系統(tǒng)之間,相互之間沒有實(shí)現(xiàn)互聯(lián)互通,也就是所謂的信息孤島。這些系統(tǒng)可能已經(jīng)有了十幾年的歷史,極有價(jià)值的信息被淹沒在海量數(shù)據(jù)堆中,難以識(shí)別。”
其次是信息泄漏途徑繁多,泄密無從追溯。
“對(duì)于一些重要的數(shù)據(jù),在內(nèi)部的移動(dòng)軌跡沒辦法管理和控制,另外對(duì)于外泄情況一無所知,也沒辦法追溯。”
第三是網(wǎng)絡(luò)界限不清,云計(jì)算打破了傳統(tǒng)企業(yè)的信息網(wǎng)絡(luò)邊界。
“網(wǎng)絡(luò)的互聯(lián)性、共享性,導(dǎo)致企業(yè)缺乏有效的技術(shù)手段進(jìn)行數(shù)據(jù)資產(chǎn)防護(hù)。在公有云環(huán)境中如何進(jìn)行有效的數(shù)據(jù)防護(hù)也是值得考慮的。”
規(guī)劃實(shí)施全面的數(shù)據(jù)安全管理
為了做好內(nèi)部防護(hù),企業(yè)應(yīng)該規(guī)劃并實(shí)施全面的數(shù)據(jù)安全管理, 葉根平認(rèn)為可以概括為三個(gè)關(guān)鍵詞,即全面、全程、全員:
1、全面規(guī)劃。對(duì)企業(yè)的所有數(shù)據(jù)信息類資產(chǎn)或載體進(jìn)行梳理,并確立分級(jí)管理,例如分為普通級(jí)、普密級(jí)、機(jī)密級(jí)、絕密級(jí);
2、全程跟蹤。對(duì)重點(diǎn)數(shù)據(jù)信息類資產(chǎn)逐步實(shí)施并實(shí)現(xiàn)采、存、移、用、毀全過程的軌跡可視化;
3、全員參與。特別是要完善對(duì)企業(yè)高授權(quán)人員涉密或泄密行為的管理,增加“追溯”的技術(shù)手段,設(shè)置“追責(zé)”的管理制度。
目前,三花集團(tuán)已經(jīng)開始對(duì)重點(diǎn)數(shù)據(jù)信息類資產(chǎn)及其載體進(jìn)行梳理,并規(guī)劃實(shí)施更完備的信息安全管理方案。比如,利用“文件基因”技術(shù)實(shí)現(xiàn)對(duì)重要數(shù)據(jù)文檔的軌跡可視化,打造“云”環(huán)境下的“防火墻”等。
“云的數(shù)據(jù)保護(hù)不能單純依賴于第三方或者依賴于運(yùn)營(yíng)商,比如利用防火墻可以及時(shí)發(fā)現(xiàn)公有云被入侵的行為。”葉根平指出。
其次,要堅(jiān)定不移的落實(shí)執(zhí)行事前防護(hù)、事中監(jiān)控、事后追溯的數(shù)據(jù)和信息安全部署策略。
“過去我們更為側(cè)重事前防護(hù),沒有企業(yè)數(shù)字資產(chǎn)分布圖,也沒有文件的流傳軌跡可視化,通過加強(qiáng)事中的監(jiān)管以及事后的追溯,來解除各種數(shù)據(jù)泄露的痛點(diǎn),讓數(shù)據(jù)自主、安全、可控。”
為此,三花集團(tuán)正在實(shí)施構(gòu)建企業(yè)級(jí)數(shù)據(jù)綜合防護(hù)平臺(tái),從應(yīng)用、數(shù)據(jù)和文件的存儲(chǔ)、傳輸及使用等幾個(gè)方面,為企業(yè)數(shù)據(jù)提供全方位無盲點(diǎn)的安全保護(hù),確保在各種復(fù)雜業(yè)務(wù)場(chǎng)景下企業(yè)核心數(shù)字資產(chǎn)不被泄露和竊取,即便被泄露或竊取也可以有技術(shù)手段進(jìn)行跟蹤、追溯和取證。