企业数据安全防护不容忽视的几个问题

随着 *** 信息技术和电子商务的发展，关键业务数据已成为现代企业的核心资产之一，也是企业核心竞争力的体现。现代企业能否有效保护其关键敏感数据已成为企业本身在激烈的商业竞争中立于不败之地的决定因素。敏感数据的丢失不仅意味着重大的经济损失，而且对企业的声誉产生了致命的影响。2013年，一些品牌连锁酒店“开房数据泄露”2011年知名程序员网站事件CSDN 600多万用户信息泄露和天涯社区4000万用户信息泄露表明，数据安全不是小事。如果不采取有效措施加强数据安全保护，由此造成的损失是不可估量的。

目前，越来越多的企业开始关注业务数据的安全保护，尤其是中国版“萨班斯法案”数据保护企业内部控制基本规范的颁布和云计算技术的广泛应用，数据保护的重点已经从简单的系统和 *** 基本保护转变为关注应用和关键数据保护。然而，仍有一些企业数据安全问题没有得到足够的重视，所以让我们来看看当前的企业CIO眼中常见的数据安全威胁是什么？

◆敏感信息和数据在哪里？敏感数据是什么？(关注:5星)

◆如何可视化数据IT环境趋势？(关注:5星)

◆如何制定与合作伙伴共享部分数据的整体数据保护策略，既不妨碍业务发展，又能满足合规要求？(关注度:4星)

◆如何智能主动处理云环境、移动互联网环境等不同环境中交换的大量数据。(关注:4星)

◆什么价格合适有效？DLP帮助企业实现整体风险控制和管理的解决方案、数据库保护技术和无缝数据集成加密技术？（注：3星）

注:以上关注度只是作者给出的主观评价，没有任何参考价值。提到的所有点都很重要，尤其是对于一个CISO这是你每天都要面对的事情。作者还在寻找满足上述几个需求的整体数据安全保护解决方案。欢迎读者讨论。为了让大家对数据安全的重要性有更深入的了解，本文将从安全管理实施效果、新兴技术应用和物理环境安全三个方面进行阐述。

一是领导重视数据保护，但执行力有待提高

信息安全领域“三分技术七分管理”这个概念已经老生常谈，现在逐渐被企业领导所接受，但由此产生的“部署九分落实”问题日益出现，已成为信息安全建设的重点和难点，尤其是数据安全管理。不幸的是，在实际工作中，安全要求执行不到位仍然相当普遍。如果一些企业在自主开发部分应用系统的过程中，虽然可以根据整体内部安全策略制定开发规范，但由于各种原因，这些规范没有拆分和细化，开发人员在开发过程中很难将这些要求落实到具体的开发过程中，这给应用系统在使用阶段留下了隐患，可能导致关键数据泄露。还有很多这样的例子，都是管理执行不到位造成的。

“天下难事，必做易；天下大事必做细节”。对于企业来说，领导重视、制度、设备、部署，但能否按质量、数量、及时细化实施要求，达到预期效果，确实要做大量细致的工作。“执行力就是战斗力”，只有数据安全管理的每一位执行者都要按照相关制度的要求认真履行自己的岗位职责，才能真正落实数据安全管理制度，使企业的数据安全保护水平达到应有的高度。要实现这一目标，企业自上而下、依法办事氛围、严惩制度、有效激励政策等都是必不可少的。

二、采用新兴技术体系框架，但数据保护应用能力滞后

以云计算和物联网为代表的新兴技术的产物，以云计算和物联网为代表的新兴技术体系正逐步推广到各种应用领域，为信息技术产业模式带来了重大创新，但数据安全挑战不容低估。以云服务为例，2011年4月，亚马逊在北弗吉尼亚州云计算中心停机，导致亚马逊云服务中断近4天；2012年7月，云存储服务提供商Dropbox一些黑客窃取了部分用户信息，并侵犯了他们的云服务账户。

无论是公共云还是私有云环境，采用新兴技术体系，特别是云服务技术的企业都应对不同的云服务模式（laaS、PaaS、SaaS）深入研究，制定符合自身安全要求的数据保护方案，密切跟踪安全保护技术的发展***因此，研究成果“在战略层面”能够及时调整自己的数据安全管理策略，“战术层面”，不断完善数据防护手段。

三、数据周边防护手段齐全，但物理环境安全投入不足

大家对小沈阳春晚小品《不差钱》中的经典台词印象深刻:“世界上最痛苦的事情是钱还在，人却没了……”。在数据保护领域，最痛苦的事情是技术人员、保护设备和严格管理，但数据本身已经消失，更严重，机房也消失了。

对于一个专业的信息安全主管领导来说，识别物理安全控制中的主要缺陷并向高级管理人员提出建议来弥补这些缺陷是一项重要的责任。但我们必须承认，许多企业IT这个部门看起来基本上是一个效低但成本低的部门。在年度预算中挤压、削减和削减也很常见。因此，如何掌握物理安全控制的程度是一个仁慈和智慧的问题。一般来说，基本的数据物理安全应考虑机房场地选择、物理锁、安全警卫、监控设备、数据备份、应急电源、防火、防水、防雷等。其中，我认为数据备份，特别是在不同的地方和城市，特别重要。“911”该事件立即摧毁了许多公司多年积累的商业数据，这足以解释远程数据备份在关键时刻的关键作用。

简而言之，企业数据安全并不是一件小事，数据安全保护总是在路上。只要我们能充分了解数据安全保护的重要性，采取预防措施，积极建立全面、多层次的数据安全保护系统，我们就可以对数据安全构成威胁***避免不必要的损失。