您好,欢迎来到皮书数据库! | 皮书网首页
登录|注册 |无障碍阅读
国家知识资源服务中心 CARSI
您现在所在的位置:首页

更多>>专题子库

粤港澳大湾区
暂无简介

更多>> 热点聚焦

更多>>皮书作者

谢伏瞻
  中国社会科学院院长、党组书记,学部委员,学部主席团主... 详情>>
安全事件
事件驱动网络安全博弈:跨国企业如何保护数据安全?
来源:21世纪经济报  作者:韩希宇   发布时间:2018-04-28

  4月23日,信息安全专家陆宝华和360集团信息安全中心负责人高雪峰分别接受了21世纪经济报道记者的采访,并围绕企业在数据安全管理方面暴露出的问题进行了分析。

  两位受访者均认为,从其中的一些案例可以看出,企业对于一些文件的重要性没有做出准确的判断,也导致这些文件没有得到相应级别的保护。

  陆宝华表示,实际上,国家对数据的分级保护有明确规定。如果涉及的是国家秘密,那国家保密局会对数据按照秘密级、机密级或者绝密级来严格划分,相对应的也会有不同的保护措施。

  但现实中,绝大部分数据都属于企业的商业机密,无法上升到国家秘密的级别。对于这类信息,公安部、国家保密局等四部委曾于2007年下发过《信息安全等级保护管理办法》,它根据信息系统的重要程度及被破坏后的危害程度,将信息分为五个安全等级。

  “该《办法》给企业提供了一个很好的参考标准。”陆宝华说,“比如一些数据泄露会导致企业垮掉,从而引发大批员工失业,这实际上对社会秩序产生了影响,那这些数据就至少应该定为二级。如果还有可能造成更严重的损害,那就需要定到三级,甚至四级。”

  国家虽然对数据安全的分级保护做出了引导,但具体实施中还是坚持自主定级、自主保护的原则,因为不同企业对数据的依赖性也有所区别,尤其是一些跨国企业,它的数据涉及到多方国家,这更需要企业自己去衡量。

  可自主性太强,也导致在信息安全保护在实际操作中,情况很不乐观。高雪峰告诉记者,在做企业安全工作时,遇到的最大的挑战就是企业缺乏安全意识。“没有事情发生的时候,去跟企业强调数据安全或者网络安全,他们都不会太在意。因为不管什么级别的信息防护,都需要投入成本,如果没有事件发生,有些企业总觉得这部分成本被浪费了。”

  这就像是一场赌博,很多企业平日里安全意识不够强,可核心数据一旦泄露,引发的后果往往非常严重。正因为网络安全行业存在这种博弈的状态,使得整个行业的发展,通常会被安全事件所驱动。

  据陆宝华介绍,网络安全产业的发展经历过多个阶段,其中有一半的节点是以事件为驱动。比如2001年到2002年间爆发的“红色代码”等病毒,让大家重视起病毒防护;2013年爆发的斯诺登事件,让更多人意识到数据安全的重要性。

  俗话说“吃一堑长一智”,企业也是如此。“很多企业在经历过事件之后,在这方面肯定也会加强防护。我们走访很多企业,那些对于办公区隔离保护做得非常严格的,基本都是之前吃过亏。”高雪峰表示。

  “人”是最大风险

  除了公司层面需要加强安全管理外,高雪峰坦言,在数据安全防护工作中,人的安全意识是最大风险点。“我看到过很多出现安全问题的案列,刨根问底后发现,最主要的原因都是来自于人。比如有的是故意泄露,有的是电脑被入侵,还有的是把机密文件随意给外人看等。”

  高雪峰认为,人的意识确实很难标准化管理,所以企业一方面要加强对员工的安全意识培训,让他们意识到哪些数据是重要的以及哪些行为可能引发数据泄露。同时,企业也需要建立一定的惩罚机制,这样员工才会对安全问题更加上心。

  对此,陆宝华提出,企业通过技术手段来加强安全防范,也能有效降低人为因素而产生的风险。比如在公司内部,通过技术检查是可以发现网络有没有非法外联、计算机的各种移动介质接口有没有封堵等,这些技术漏洞,往往是导致员工无意识泄露的根本原因。

  而在公司外部的数据传输方面,陆宝华认为,即使员工将重要信息直接存放在电脑中也是不正确的。一方面不能直接用计算机带出,另外如果要带出,可以利用加密信道,发送至可信的机构。

  “对于一些重要的文件,最好是存放在单独的可加密的介质中,因为电脑涉及到系统安全,外人可以通过一些系统漏洞拿到里面的文件,所以电脑存放是有一定风险的。”

  综上可看出,网络安全管理是件环环相扣的事情,任何一个环节的失误,都可能导致全盘皆输。高雪峰告诉记者,从攻防角度来说,没人敢说能做到百分之百的安全,包括上文提及的人为因素,都是不可控的。但不能因为这样,其他的安全防护工作就不做了。

  对于中国网络安全的现状,高雪峰表示,一方面需要企业强化自身的安全管理;另一方面,也需要国家进一步完善相关法律。“去年推出的网络安全法是一个很大的进步,但是,真正涉及到不同公司和行业时,还是缺少一些细化的标准。”

  至于企业如何做好自身的数据安全管理,陆宝华给出了他的建议:首先是对数据做好梳理,了解数据是什么形态,是文档、音频还是其他,以及数据是集中存储还是分散存储等,这都对应着不同的保护方案;

  然后是明确数据属性。数据一般有两个最基本的安全属性,分别是保密性和完整性,保密性要求不能泄露,完整性则要求不能被篡改。这会决定企业该制定怎样的保护策略。

  最后,是要从数据的全生命周期来看,不同的环节采取不同的保护手段。比如数据存放在计算机时、传递时、发到网络时等等,这些环节都需要理清楚,然后进行相对应的保护。

  数据已经成为互联网时代的一项重要基础设施,它甚至可以决定一家企业的生死存亡,其重要性不言而喻。但同时,数据的电子化、人们对高效的追求等又给安全管理工作带来了全新的挑战。总而言之,对网络安全行业来说,这是一个机遇与挑战并存的时代。

 

 

 

分享到: