隨著數(shù)據(jù)價值的體現(xiàn)和科技的發(fā)展,世界各地的政府、銀行、電信公司、制造業(yè)以及零售業(yè)等相關機構,不斷發(fā)生數(shù)據(jù)泄密事件。2011年末國內(nèi)最大程序員社區(qū)CSDN的數(shù)據(jù)庫泄露事件橫掃整個中國互聯(lián)網(wǎng),引起了億萬網(wǎng)民的關注。今年的315晚會上報道了多家銀行員工向其他人出售客戶個人信息,導致銀行客戶資金被盜。一夜之間,數(shù)據(jù)外泄和數(shù)據(jù)安全的重要性終于真正得到體現(xiàn)。
數(shù)據(jù)安全是信息系統(tǒng)建設的基石,如果數(shù)據(jù)安全沒有保障,那么信息系統(tǒng)建設得有多大,損失就會有多大。由于IT技術變化很快,每隔一段時間就會出現(xiàn)新的技術和新的安全威脅,因此數(shù)據(jù)安全這個概念自誕生以來就不斷地在發(fā)生改變。
從數(shù)據(jù)安全的發(fā)展來看,數(shù)據(jù)安全經(jīng)歷了關注安全技術、關注人的行為、關注管理、關注整體解決方案到最近回歸本質(zhì)的關注信息本身的立體化整體信息防泄漏體系這五個過程,技術、體系、理念都在不斷進步和完善,不斷的加固著企業(yè)的數(shù)據(jù)安全防護體系。
在技術發(fā)展的過程中,數(shù)據(jù)權限管理和加密技術大大提高了數(shù)據(jù)安全的發(fā)展和影響。DRM(Data Right Management)數(shù)據(jù)權限管理是主要基于企業(yè)內(nèi)部一些特定文件類型(例如:doc,xls,pdf等)進行保護的產(chǎn)品,通過它可以對這些辦公文件進行訪問權限的設定,只有那些有權限的人員才可以打開這些DRM過的文件,并且進行修改。Encryption加密是針對一些特定部門的特定機密文件進行保護。通過這類產(chǎn)品可以將對應的機密文件加密,只有對應密鑰的人才可以打開。加密產(chǎn)品在小范圍內(nèi)可以讓一些特定的文件靈活安全的使用。加密軟件可以將企業(yè)圖紙、辦公文檔等文檔進行加密處理,整個過程對用戶透明,不改變工作習慣.文檔只有在授信范圍內(nèi)才能打開,離開了授信范圍文檔就是一堆亂碼,號稱“偷得走,打不開”。
數(shù)據(jù)安全的發(fā)展方向是將傳統(tǒng)的分散部署整合起來,整合之后的管理系統(tǒng)能夠通過對網(wǎng)絡中所有設備的統(tǒng)一策略制定、用戶行為的統(tǒng)一管理,安全工具的集中審計,最大限度地減少安全隱患。一些廠商將國外的DLP(數(shù)據(jù)泄漏防護)概念引入中國,根據(jù)中國企業(yè)的實際需求整合終端防護、存儲磁盤、文件管理、版權管理以及U盤、外設端口控制、網(wǎng)頁信息保護、即時通訊攔截等多個功能,推出了具有中國特色的DLP產(chǎn)品。
DLP(Data Loss Prevention)數(shù)據(jù)丟失防護是主要基于內(nèi)容檢測的產(chǎn)品,它針對整個企業(yè)的范圍進行監(jiān)控、發(fā)現(xiàn)和保護,通過DLP也可以使企業(yè)進行SOX以及PCI等法規(guī)的遵從。DLP是目前市場上運用比較多且比較成熟的技術之一,像數(shù)據(jù)著名的數(shù)據(jù)信息安全產(chǎn)提供商賽門鐵克采用的就是DLP技術。雖然從技術角度看,DLP系統(tǒng)仍然是各種傳統(tǒng)技術的整合,并沒有但是它體現(xiàn)出國內(nèi)廠商已經(jīng)不再盯著單一的產(chǎn)品或技術,而是開始進行概念和整體解決方案的推廣,這無疑比過去單純的技術概念炒作要高出一個層次,也代表著數(shù)據(jù)安全產(chǎn)品和技術更加的成熟。
只有從全局的視角出發(fā),對安全問題進行統(tǒng)籌規(guī)劃、統(tǒng)一管理,整合運用審計、權限管理、加密等防泄密功能,根據(jù)涉密程度的不同(如核心部門和普通部門),部署力度輕重不一的梯度式防護,將技術、管理、審計進行有機的結合,在內(nèi)部構建起立體化的整體信息防泄漏體系,使得成本、效率和安全三者達到最優(yōu)平衡,才能實現(xiàn)真正意義上的數(shù)據(jù)安全。
在信息安全行業(yè),有“三分技術、七分管理,的說法。在大企業(yè)中,技術解決的是局部問題。內(nèi)部的很多問題在于溝通、體制執(zhí)行不到位等,而非技術本身的問題。管理是從宏觀上的把控,技術是實在的落地;技術以管理為指導,管理以技術為落腳點,因此兩手都要抓。”從安全的一些標準實現(xiàn)上來看,比如IS0270001等,都是從管理入手,而后落地到相應的技術上。在推廣方面,如果沒有管理的支持,一個技術很難在大企業(yè)里全面推廣。在企業(yè)的安全體系中,管理體系是主干,嚴格的管理制度、明確的職責劃分、合理的人員配置能夠堵住大部分的漏洞,大幅度降低安全風險。在執(zhí)行的部分,技術就很重要了,企業(yè)需要一些安全技術來保證制度的執(zhí)行,兩相結合之下,企業(yè)就能構建起一個較好的內(nèi)網(wǎng)安全體系。
《信息安全技術、公共及商用服務信息系統(tǒng)個人信息保護指南》中對個人信息的處理包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié),并提出了個人信息保護的原則。對竊取并曝光用戶信息的行為表示強烈譴責,并責成各網(wǎng)站切實保障用戶信息安全,做好事前預防和事后補救措施,避免類似事件的再度發(fā)生。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.vmgcyvh.cn/
相關文章
