马年春节刚过,一则“湖南冷水江市公务员工资‘被公开’”的消息即被媒体曝出。该信息泄露的事件是由于冷水江市财政部门在工资查询系统上设置了“123456”这样的弱密码,网友发现后将密码公布在网上,导致冷水江市公务员的工资详细信息被很多互联网用户浏览到。
这是一起单位内部数据信息外泄事件。表面上看,这是由于该工资查询系统与互联网连接,又缺乏必要的安全措施所致。然而,随着互联网、智能移动终端、云计算的应用,越来越多的企业或机构已经很难将自己的内网与外网(互联网)完全区分开,这也就给企业内部的数据安全防护带来了更为严峻的挑战。
在这种环境中,如何才能保障企业的信息安全?相信企业内每一个IT管理者都会关心这个问题的答案。
应用安全和数据安全是核心
明朝万达董事长、总裁王志海告诉记者,无论是云计算的应用还是智能移动终端的普及,都让企业内网的物理边界逐渐消失。在这种情况下,围绕应用安全来构筑企业内网的逻辑边界,成为解决企业内部安全的有效手段。
“现在,企业内部安全的核心有两个方面,一个是应用安全,另一个是数据安全。”王志海指出,“应用是无处不在的,比如OA、ERP这样的企业常见应用,员工无论是在公司内还是出差时都要用,甚至有些企业的合作伙伴也要用。虽然在这些场景中,已经无法确定企业内网的物理边界,但是企业可以跟随应用的逻辑边界来进行安全防护,从而保障企业的数据安全。要做到应用的数据流到哪里,相应的防护就到哪里。”
在王志海看来,数据安全在企业安全中扮演着非常重要的角色,数据安全也将具有非常强劲的市场需求,毕竟,任何IT环境中,最核心的就是数据。“数据流动越充分,IT的价值越大。归根结底,数据安全就是用户对数据权限的细化管理。”王志海告诉记者,“当前大多数安全体系将权限管理力度做到了系统级,但没有到数据级。而明朝万达的数据安全解决方案,基于密码技术实现了大量应用,可以做到数据级的权限管理,比如可以实现一条数据让什么人看、不让什么人看、在哪能看、能看多久等一系列操作。”
“当然,数据安全是一个目标,它需要很多技术协同来解决问题,比如加密技术、身份认证、终端管控等。简单的文档加密等防护措施并不能等同于数据安全。”王志海说。
形成安全闭环
毫无疑问,技术和管理两者是相辅相成的。对于安全来说,管理是至关重要的,而技术是使得管理能得以落实的基础。“在企业进行数据安全防护时,首先就要对企业内部的数据、审批流程和权限进行梳理,这对企业自身管理水平的提升非常有益。”王志海说。然而,作为企业的管理者,最为重要的是提升对信息安全的重视程度。
“过去,总有一种论调是安全不能影响业务的发展。在企业中,信息安全部门也往往在IT部门中处于弱势地位。”王志海告诉记者,企业对信息安全重视程度不够的情况普遍存在,同时引发了很多问题。比如,企业的很多应用在开发时并没有充分考虑安全性,而是在开发完成后为了合规再堆砌一些安全产品,或者是在进行安全投入时,只想单纯地购买产品,不希望将安全体系与现有的应用结合起来,这样的应用安全性可想而知。
“我们认为,未来的安全产品应该以中间件的方式提供。其提供的接口可以让用户在应用开发时进行调用,这样才能让安全跟用户更紧密地走在一起,为用户提供更牢固的安全防护解决方案。”王志海说。
王志海认为,企业安全要形成闭环,特别是在数据安全层面形成闭环。因为信息安全遵从木桶原理,只有在企业数据上实现全生命周期、全网的加密,并结合身份识别、访问控制等各类安全措施,才能最大程度保障企业安全。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
DR基础知识:灾难恢复计划和灾难恢复策略
IT灾难恢复(DR)计划的主要目标是制定详细的恢复计划,以在意外中断时执行。 这种计划应该列明详细步骤,说明在 […]
-
美新数据安全法案:故意隐瞒数据泄漏将获罪
美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。
-
人工智能能否很好地处理恶意应用?
Google正在使用机器学习和群组分析(peer group analysis)来防范Google Play商店中的恶意Android应用。在本文中,Matt Pascucci介绍了其工作机制。