隨著數(shù)據(jù)價值的體現(xiàn)和科技的發(fā)展，世界各地的政府、銀行、電信公司、制造業(yè)以及零售業(yè)等相關(guān)機構(gòu)，不斷發(fā)生數(shù)據(jù)泄密事件。2011年末國內(nèi)最大程序員社區(qū)CSDN的數(shù)據(jù)庫泄露事件橫掃整個中國互聯(lián)網(wǎng)，引起了億萬網(wǎng)民的關(guān)注。今年的315晚會上報道了多家銀行員工向其他人出售客戶個人信息，導(dǎo)致銀行客戶資金被盜。一夜之間，數(shù)據(jù)外泄和數(shù)據(jù)安全的重要性終于真正得到體現(xiàn)。

    數(shù)據(jù)安全是信息系統(tǒng)建設(shè)的基石，如果數(shù)據(jù)安全沒有保障，那么信息系統(tǒng)建設(shè)得有多大，損失就會有多大。由于IT技術(shù)變化很快，每隔一段時間就會出現(xiàn)新的技術(shù)和新的安全威脅，因此數(shù)據(jù)安全這個概念自誕生以來就不斷地在發(fā)生改變。

    從數(shù)據(jù)安全的發(fā)展來看，數(shù)據(jù)安全經(jīng)歷了關(guān)注安全技術(shù)、關(guān)注人的行為、關(guān)注管理、關(guān)注整體解決方案到最近回歸本質(zhì)的關(guān)注信息本身的立體化整體信息防泄漏體系這五個過程，技術(shù)、體系、理念都在不斷進步和完善，不斷的加固著企業(yè)的數(shù)據(jù)安全防護體系。

    在技術(shù)發(fā)展的過程中，數(shù)據(jù)權(quán)限管理和加密技術(shù)大大提高了數(shù)據(jù)安全的發(fā)展和影響。DRM(Data Right Management)數(shù)據(jù)權(quán)限管理是主要基于企業(yè)內(nèi)部一些特定文件類型(例如:doc,xls,pdf等)進行保護的產(chǎn)品，通過它可以對這些辦公文件進行訪問權(quán)限的設(shè)定，只有那些有權(quán)限的人員才可以打開這些DRM過的文件，并且進行修改。Encryption加密是針對一些特定部門的特定機密文件進行保護。通過這類產(chǎn)品可以將對應(yīng)的機密文件加密，只有對應(yīng)密鑰的人才可以打開。加密產(chǎn)品在小范圍內(nèi)可以讓一些特定的文件靈活安全的使用。加密軟件可以將企業(yè)圖紙、辦公文檔等文檔進行加密處理，整個過程對用戶透明，不改變工作習(xí)慣.文檔只有在授信范圍內(nèi)才能打開，離開了授信范圍文檔就是一堆亂碼，號稱“偷得走，打不開”。

    數(shù)據(jù)安全的發(fā)展方向是將傳統(tǒng)的分散部署整合起來，整合之后的管理系統(tǒng)能夠通過對網(wǎng)絡(luò)中所有設(shè)備的統(tǒng)一策略制定、用戶行為的統(tǒng)一管理，安全工具的集中審計，最大限度地減少安全隱患。一些廠商將國外的DLP(數(shù)據(jù)泄漏防護)概念引入中國，根據(jù)中國企業(yè)的實際需求整合終端防護、存儲磁盤、文件管理、版權(quán)管理以及U盤、外設(shè)端口控制、網(wǎng)頁信息保護、即時通訊攔截等多個功能，推出了具有中國特色的DLP產(chǎn)品。

    DLP(Data Loss Prevention)數(shù)據(jù)丟失防護是主要基于內(nèi)容檢測的產(chǎn)品，它針對整個企業(yè)的范圍進行監(jiān)控、發(fā)現(xiàn)和保護，通過DLP也可以使企業(yè)進行SOX以及PCI等法規(guī)的遵從。DLP是目前市場上運用比較多且比較成熟的技術(shù)之一，像數(shù)據(jù)著名的數(shù)據(jù)信息安全產(chǎn)提供商賽門鐵克采用的就是DLP技術(shù)。雖然從技術(shù)角度看，DLP系統(tǒng)仍然是各種傳統(tǒng)技術(shù)的整合，并沒有但是它體現(xiàn)出國內(nèi)廠商已經(jīng)不再盯著單一的產(chǎn)品或技術(shù)，而是開始進行概念和整體解決方案的推廣，這無疑比過去單純的技術(shù)概念炒作要高出一個層次，也代表著數(shù)據(jù)安全產(chǎn)品和技術(shù)更加的成熟。

    只有從全局的視角出發(fā)，對安全問題進行統(tǒng)籌規(guī)劃、統(tǒng)一管理，整合運用審計、權(quán)限管理、加密等防泄密功能，根據(jù)涉密程度的不同(如核心部門和普通部門)，部署力度輕重不一的梯度式防護，將技術(shù)、管理、審計進行有機的結(jié)合，在內(nèi)部構(gòu)建起立體化的整體信息防泄漏體系，使得成本、效率和安全三者達到最優(yōu)平衡，才能實現(xiàn)真正意義上的數(shù)據(jù)安全。

    在信息安全行業(yè)，有“三分技術(shù)、七分管理，的說法。在大企業(yè)中，技術(shù)解決的是局部問題。內(nèi)部的很多問題在于溝通、體制執(zhí)行不到位等，而非技術(shù)本身的問題。管理是從宏觀上的把控，技術(shù)是實在的落地；技術(shù)以管理為指導(dǎo)，管理以技術(shù)為落腳點，因此兩手都要抓。”從安全的一些標(biāo)準(zhǔn)實現(xiàn)上來看，比如IS0270001等，都是從管理入手，而后落地到相應(yīng)的技術(shù)上。在推廣方面，如果沒有管理的支持，一個技術(shù)很難在大企業(yè)里全面推廣。在企業(yè)的安全體系中，管理體系是主干，嚴(yán)格的管理制度、明確的職責(zé)劃分、合理的人員配置能夠堵住大部分的漏洞，大幅度降低安全風(fēng)險。在執(zhí)行的部分，技術(shù)就很重要了，企業(yè)需要一些安全技術(shù)來保證制度的執(zhí)行，兩相結(jié)合之下，企業(yè)就能構(gòu)建起一個較好的內(nèi)網(wǎng)安全體系。

    《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》中對個人信息的處理包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié)，并提出了個人信息保護的原則。對竊取并曝光用戶信息的行為表示強烈譴責(zé)，并責(zé)成各網(wǎng)站切實保障用戶信息安全，做好事前預(yù)防和事后補救措施，避免類似事件的再度發(fā)生。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：淺議數(shù)據(jù)安全的現(xiàn)狀和發(fā)展

本文網(wǎng)址：http://www.oesoe.com/html/support/1112159724.html