隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等創(chuàng)新技術(shù)應(yīng)用的發(fā)展，在為企業(yè)發(fā)展和個(gè)人生活帶來(lái)巨大便利的同時(shí)，數(shù)據(jù)泄露的風(fēng)險(xiǎn)也大大提升。

對(duì)此，三花集團(tuán)CIO葉根平在2018 全國(guó)CIO大會(huì)上指出：“在企業(yè)信息安全規(guī)劃中，應(yīng)該投入更多的資源在數(shù)據(jù)和信息類資產(chǎn)的管理上。” 

三花集團(tuán)CIO葉根平

企業(yè)數(shù)據(jù)資產(chǎn)的保護(hù)需求凸顯

對(duì)于很多企業(yè)來(lái)說(shuō)，數(shù)據(jù)實(shí)際上是業(yè)務(wù)的核心。葉根平以知名手機(jī)制造商蘋果公司為例：“蘋果公司2014年年報(bào)的全部資產(chǎn)只有261.9億美元，但是在2014年全球企業(yè)品牌價(jià)值排行榜上的品牌估值為 2188.63億元美金。其中很多資產(chǎn)是以數(shù)據(jù)形態(tài)來(lái)承載的。”

葉根平稱，企業(yè)在發(fā)展過(guò)程中由數(shù)據(jù)所承載的知識(shí)和智慧非常之多，而這部分?jǐn)?shù)據(jù)資產(chǎn)，可能沒(méi)有體現(xiàn)在財(cái)務(wù)報(bào)表里，甚至沒(méi)有被認(rèn)識(shí)到。

據(jù)介紹，企業(yè)的數(shù)據(jù)和信息類資產(chǎn)可分為四大類：

第一類是與創(chuàng)新相關(guān)的，包括專利、產(chǎn)品、軟件代碼等；

第二類是跟市場(chǎng)相關(guān)的，比如客戶信息、需求以及項(xiàng)目資料等；

第三類業(yè)務(wù)層面的，包括管理平臺(tái)所承載的材料、加工以及成本數(shù)據(jù)；

第四類是環(huán)境信息，比如行業(yè)分析、政策分析、趨勢(shì)分析等。

而在數(shù)字化轉(zhuǎn)型的過(guò)程中，信息和數(shù)據(jù)類資產(chǎn)已經(jīng)成為企業(yè)價(jià)值的重要組成部分。

“現(xiàn)如今企業(yè)的信息安全威脅可以歸結(jié)為數(shù)據(jù)和信息類資產(chǎn)所面臨的各種內(nèi)部和外部的威脅，尤其是內(nèi)部威脅。” 葉根平表示。

內(nèi)部防護(hù)是關(guān)鍵

根據(jù)調(diào)查顯示，互聯(lián)網(wǎng)接入后內(nèi)部重要機(jī)密通過(guò)網(wǎng)絡(luò)泄密而造成重大損失的事件中，只有1%是被黑客竊取或者外部竊取造成的，而97%都是由于內(nèi)部員工有意或者無(wú)意之間泄露而造成的。

數(shù)據(jù)的泄露會(huì)對(duì)企業(yè)造成嚴(yán)重?fù)p失，為了更好地實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的管理，葉根平認(rèn)為，企業(yè)需要應(yīng)對(duì)以下幾大挑戰(zhàn)：

“首先是企業(yè)數(shù)據(jù)資產(chǎn)分布情況無(wú)法掌握。很多企業(yè)的信息資產(chǎn)分散各個(gè)系統(tǒng)之間，相互之間沒(méi)有實(shí)現(xiàn)互聯(lián)互通，也就是所謂的信息孤島。這些系統(tǒng)可能已經(jīng)有了十幾年的歷史，極有價(jià)值的信息被淹沒(méi)在海量數(shù)據(jù)堆中，難以識(shí)別。” 

其次是信息泄漏途徑繁多，泄密無(wú)從追溯。

“對(duì)于一些重要的數(shù)據(jù)，在內(nèi)部的移動(dòng)軌跡沒(méi)辦法管理和控制，另外對(duì)于外泄情況一無(wú)所知，也沒(méi)辦法追溯。”

第三是網(wǎng)絡(luò)界限不清，云計(jì)算打破了傳統(tǒng)企業(yè)的信息網(wǎng)絡(luò)邊界。 

“網(wǎng)絡(luò)的互聯(lián)性、共享性，導(dǎo)致企業(yè)缺乏有效的技術(shù)手段進(jìn)行數(shù)據(jù)資產(chǎn)防護(hù)。在公有云環(huán)境中如何進(jìn)行有效的數(shù)據(jù)防護(hù)也是值得考慮的。”

規(guī)劃實(shí)施全面的數(shù)據(jù)安全管理

為了做好內(nèi)部防護(hù)，企業(yè)應(yīng)該規(guī)劃并實(shí)施全面的數(shù)據(jù)安全管理， 葉根平認(rèn)為可以概括為三個(gè)關(guān)鍵詞，即全面、全程、全員：

1、全面規(guī)劃。對(duì)企業(yè)的所有數(shù)據(jù)信息類資產(chǎn)或載體進(jìn)行梳理，并確立分級(jí)管理，例如分為普通級(jí)、普密級(jí)、機(jī)密級(jí)、絕密級(jí);

2、全程跟蹤。對(duì)重點(diǎn)數(shù)據(jù)信息類資產(chǎn)逐步實(shí)施并實(shí)現(xiàn)采、存、移、用、毀全過(guò)程的軌跡可視化;

3、全員參與。特別是要完善對(duì)企業(yè)高授權(quán)人員涉密或泄密行為的管理，增加“追溯”的技術(shù)手段，設(shè)置“追責(zé)”的管理制度。

目前，三花集團(tuán)已經(jīng)開始對(duì)重點(diǎn)數(shù)據(jù)信息類資產(chǎn)及其載體進(jìn)行梳理，并規(guī)劃實(shí)施更完備的信息安全管理方案。比如，利用“文件基因”技術(shù)實(shí)現(xiàn)對(duì)重要數(shù)據(jù)文檔的軌跡可視化，打造“云”環(huán)境下的“防火墻”等。

“云的數(shù)據(jù)保護(hù)不能單純依賴于第三方或者依賴于運(yùn)營(yíng)商，比如利用防火墻可以及時(shí)發(fā)現(xiàn)公有云被入侵的行為。”葉根平指出。

其次，要堅(jiān)定不移的落實(shí)執(zhí)行事前防護(hù)、事中監(jiān)控、事后追溯的數(shù)據(jù)和信息安全部署策略。

“過(guò)去我們更為側(cè)重事前防護(hù)，沒(méi)有企業(yè)數(shù)字資產(chǎn)分布圖，也沒(méi)有文件的流傳軌跡可視化，通過(guò)加強(qiáng)事中的監(jiān)管以及事后的追溯，來(lái)解除各種數(shù)據(jù)泄露的痛點(diǎn)，讓數(shù)據(jù)自主、安全、可控。”

為此，三花集團(tuán)正在實(shí)施構(gòu)建企業(yè)級(jí)數(shù)據(jù)綜合防護(hù)平臺(tái)，從應(yīng)用、數(shù)據(jù)和文件的存儲(chǔ)、傳輸及使用等幾個(gè)方面，為企業(yè)數(shù)據(jù)提供全方位無(wú)盲點(diǎn)的安全保護(hù)，確保在各種復(fù)雜業(yè)務(wù)場(chǎng)景下企業(yè)核心數(shù)字資產(chǎn)不被泄露和竊取，即便被泄露或竊取也可以有技術(shù)手段進(jìn)行跟蹤、追溯和取證。