|
|
51CTO旗下网站
|
|
移动端

谈到数据安全,离不开「人」和「钱」

CIO不喜欢弯弯绕绕,在CIO & IT经理精英汇微信群中讨论数据安全时,他们就直接指出关键点,那就是“人”和“钱”。

作者:阿郎来源:CIO进化论|2020-04-28 10:35

【51CTO.com原创稿件】CIO不喜欢弯弯绕绕,在CIO & IT经理精英汇微信群中讨论数据安全时,他们就直接指出关键点,那就是“人”和“钱”。

一、人是关键

利洋水产IT经理陈建安认为:现在系统泄密大部分是人为的,要做好信息安全建设,对人的管理和人拥有的权限的管理是必不可少的。

某企业IT负责人高远志也很同意这个观点:人才是关键,国外的很多黑客最后是怎么攻进去的,是最后通过“人”进入公司的,进入公司了,技术再怎么牛也没用。

既然人是最关键的环节,那么该怎么从人的角度入手保护数据安全呢?

“等保、还有国家态势感知平台等,其实从很多方面已经在防范大流量攻击了~而如何防范企业自身安全问题,才应该是问题的关键点。”高远志说。

陈建安认为重点是控制接触面:减少接触到数据的人和系统,然后做好这些人和系统的管控,最后再做好备份容灾。

震雄集团IT经理黄总的观点略有不同,他们现在已经落实了详实的安全制度:我们现在数据中心和服务器操作都是开发和运维分离,然后硬件和软件分离使用堡垒机。开发不允许碰生产,软件人员不允许碰硬件服务器。

但他认为:一般企业的机房现在等保都难达标,另外防御的目标不是不让你进来,而是在于快速的恢复。

二、钱也重要

对于数据安全是防泄露,还是重恢复这个问题上,群里并未达成统一意见。

但从群里的讨论中,我认为两边的观点都是对的,但是讨论的维度有区别:

  1. 首先,行业和企业规模不同,有些行业数据机密性较高,应该更重视防泄露,同样道理的还有大型企业;
  2. 其次,理论和实际的区别,理论上肯定是要防泄露的,但实际上大部分时候条件不允许。

粤澳中医药产业园IT经理薛智源的案例就很现实:我司老板曾经要求全公司部署DLP数据防泄密系统,简单来说就是【加密】。但是经过数轮详细评估,包括友商考察、产品试用之后,综合数据价值、泄密风险、管控成本、效率损害等因素之后,最终说服老板放弃加密,转为采用制度建设、员工教育等手段,建立网络安全、数据安全、信息追溯等措施和体系。

“目前大多数厂商的技术能力其实都够了~除非是价值特别高的,那可能会被人惦记,要不其实都还好,所以首先需要先衡量一下,自己那些数据的价值。”高远志说。

其实说到底就是“钱”的问题。企业的目的是盈利,数据保护并不是做得越多越好,而是要匹配企业的数据价值和盈利能力。

三、效率影响

另外,过于严格的数据安全措施还会影响企业的效率。

莱士杰副总经理戴向东说:数据防泄漏,最主要的问题是 理想很丰富,现实很骨感!兼容性的问题太大。

薛智源很同意这个观点:我个人认为最大的问题是效率损害,特别是对中小企业来说。

处理数据案例问题的原则和上节相同,要与企业想匹配。中小企业和发展中的企业更重要的是操作记录和备份,还有就是在企业内多宣传保密法。

薛智源还分享了对于加密厂商的看法:国内主流DLP厂商的方向是加密,若加密范围控制不好,该泄露的还是泄露,办公效率还会严重下降;国外厂商主流方法是侦测与预警,理想很丰满现实很骨感,对国内环境来说有点水土不服。个人的一点经验。

四、解决思路

最后,搬运几位大佬在群内分享的数据案例思路。

戴向东:

  1. 数据集中化保存;
  2. 隔离业务和终端,做到数据不落地;
  3. 访问显示,做好防泄漏的手段(例如:水印、数字水印);
  4. 缺省不允许下载,如需下载走审批;
  5. 零信任接入控制,业务细颗粒安全控制;
  6. 做好数据备份。

华威医药IT主管吴德强:

  1. 物理层准入机制:包括各种网络设备的物理防御措施,有的公司系统做的很好,机房确很轻易的能进入。那还谈何保护?
  2. 入网审批制度:这是第二重物理入网保障,必须经过相关责任人有效的签核方可入网(通过MAC绑定等);
  3. 最小权限制度:所有系统和网络的权限仅按最小范围开通,后续按需开放,后期建立权限的定期确认制度,无法确认的权限及时清除;
  4. 审计制度:即所有操作皆能追溯到操作的账号、时间等信息;
  5. 数据防泄密保护:防泄密数据保护系统(加密锁系统)防水墙等进行数据防泄密保护;
  6. 数据备份\同步制度:建立数据备份制度,根据不同系统的数据选择合适备份工具\系统进行全备、差备,重要数据进行异地备份;
  7. 数据安全定期培训制度:和HR部门制定年度培训计划,将数据安全培训同其他业务培训一样纳入所有员工考核。

高远志:

  1. 需要社会在安全环境上的构建,包括态势感知平台、监测平台、等保体系建设等;
  2. 需要企业自身对自身业务数据价值、业务数据的分类整理以及理解,保障核心数据私有化;
  3. 在于安全体系建设,包括两地三中心、安全系统等等的,
  4. 需要企业管理体系建设,包括权限管理、运维人员管理、制度管理等等的;
  5. 人性的培养方面,对人进行管理,这里就可能有点远了,要懂人性,要让运维人员以及自己员工不监守自盗。

以上只是部分讨论内容,更多内容欢迎加群讨论。CIO & IT经理精英汇2群加群方法:公众号CIO进化论中回复【社群】。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【责任编辑:张昂 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

从头解锁Python运维

从头解锁Python运维

多维度详解
共19章 | 叱诧少帅

137人订阅学习

Active Directory 架构规划实战

Active Directory 架构规划实战

4类AD架构规划
共15章 | wx5918591c0084b

305人订阅学习

庖丁解牛Ceph分布式存储

庖丁解牛Ceph分布式存储

云计算存储的基石
共5章 | Happy云实验室

180人订阅学习

读 书 +更多

Microsoft SQL Server 2005 技术内幕:T-SQL查询

本书是Inside Microsoft SQL Server 2005系列四本著作中的一本。它详细介绍了T-SQL的内部构造,包含了非常全面的编程参考。它提供了使用Tra...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微