随着以人工智能、大数据和物联网等等为代表的信息技术革命的推进,数据的价值进一步凸显,数据成为了企业的重要资产和持续创新的推动力。因此,保障数据在采集、传输、利用和共享等各个环节安全的重要性不言而喻。
我们可以通过以下一些措施来保障企业数据安全:
一、部署加密,防范关键数据泄露
对于窃密者来说,数据才是他们的终极目标,企业安全防护仅仅是网络边界的保护,是不够的。索尼影业被窃密就是一个活生生的例子,采用了数量繁多的安全工具和产品服务,也未能阻止高度敏感的数据被泄露。因此在IT安全环境下,企业应该重点防止数据遭到意外、故意和未授权的修改或破坏!文档加密了,就算被窃取出去也无法读取,不怕泄密。
二、权限控制,避免无关人员访问
访问权限控制是安全防护中最薄弱的地方,安全部署必须确定数据的访问级别以及对访问人员进行详细划分。权限划分不清,很容易导致重要数据被无关人员访问,也很容易发生泄露行为。企业应该严格执行界定好的访问控制并审计数据的访问记录,及时发现可疑访问行为,确保数据安全。
三、防止移动设备滥用
现在办公环境的移动设备越来越多样化:智能手机、平板电脑、U盘、蓝牙等,移动办公提高员工工作效率的同时也使企业信息安全面临新的威胁。摩根大通的泄密事件,便是不法分子通过窃取摩根大通员工的手提电脑的用户凭证,从而进入企业的内网盗取大量敏感数据。因此除了在企业范围内管控网络安全外,还要考虑到流动设备的管理。
四、控制网络行为,严防各种泄密渠道
为降低安全风险,IT管理员不仅要控制员工下载和安装软件,还要重点管理用户的上网行为,避免一些重要数据被上传云盘之类。而且许多破坏性的网站看起来很正常,但其杀伤力可以是无法预估的。对员工的上网行为进行严格控制,一方面确保安全上网,另一方面也能大大提高工作效率。
五、学会使用审计工具,及时避险
运用审计可以全面细致记录内部操作,实现内部可视化、透明化。审计内容包括如设计图纸、财务数据等内部文档全生命周期的所有操作记录,包括对文档的创建、访问、修改、复制、删除以及拷贝到移动存储设备等操作等,能有效审查文档被谁使用、怎么使用。出现问题也能追溯查证。
信息安全管理并没有想像中的那么复杂,选好一款好的安全工具,可以节省很多人力、物力和精力。只要能够找好风险点,选择好可靠工具,重点防御,就可以打造出安全又灵活的内网环境。