亚博体育
亚博体育平台全面信息安全升级
21世纪是信息时代,信息技术(IT)对这个时代的重要性体现在两个方面:一方面,信息技术是基础,任何企业组织的生产运营没它不行;另一方面,信息技术引领着社会的发展,我们的工厂越来越自动化,效率越来越高,我们用淘宝来买衣服,用美团来点外卖,用滴滴打车出行,衣食住行越来越方便,正是因为有信息技术才变得更好。
信息时代什么最重要?是信息。斯诺登泄漏了NSA的棱镜计划被美国政府通缉,曾经市值千亿的雅虎最后40多亿贱卖给Verizon与其泄漏用户信息不无关系,徐玉玉自杀源头正是诈骗分子利用来泄漏的山东考生信息,可以看出无论对国家、企业还是个人,信息的重要性都不容忽视。对于企业来说,如果生产执行系统被破坏,高度依赖信息系统的现代化生产线可能就得停产;如果意向订单信息泄漏,顾客就可能被竞争对手抢走,公司如果遭受损失,最终都会损害我们员工的利益和工资。
谁来保护企业数据安全
信息的载体最常见的就是文档,公司的年度经营战略规划,设计师设计的最新产品图纸,采购和品管对供应商的审查结果 ,工厂生产线的排产计划,电商部门的营销活动策划报告,财务部门上个月的营收报表,这些文档都承载着公司的重要敏感信息,谁来保护这些重要文档的安全?很多人第一个想到的就是IT人员。
确实,IT人员帮我们建设了企业资源计划系统、产品生命周期管理系统、供应商管理系统、生产执行系统、营销及客户关系管理系统、财务系统等等各种提高我们工作效率和质量的信息系统,所有这些承载着公司重要信息的系统能安全稳定地运行,是因为有许多IT人在默默在背后做了很多工作。为了减少系统出错的可能性,他们精心设计、规范开发、细致测试,贯彻SDL要求,力求完美安全;为了避免服务器漏洞被利用,他们及时更新软件补丁、加固系统配置;为了阻挡来自外部的恶意攻击和破坏,他们架设来防火墙、入侵防御系统,安装来杀毒软件,并完善系统灾备。你可能不需要懂这些IT工作的具体内容和作用,但你需要知道他们保护了我们天天在用的这些信息系统,保护了系统里面各种文档的信息安全。如果没有这些工作,我们上班可能就无法正常使用这些系统办公,我们的服务器上的重要文档可能被黑客偷走,给公司和我们员工带来损失。
那么做了这些IT工作,是不是公司的文档就安全无忧了?答案是这些还远远不够。
全方位保护文档安全
我们家里如何防止贵重物品丢失?最基本的就是要锁好门窗。防止文档丢失也是类似,要先把出入口控制好。文档的出入口无非就是上网、发邮件、发QQ(或者其他即时通讯)、拷U盘等几种。把所有这些出入口都堵上,这是很多公司的做法,中国民营制造业巨头,华为公司就曾经直接把电脑的USB端口用胶封死;三一重工工厂内所有员工电脑都无法上网,查外网资料只能登记之后通过单独房间的特定电脑上网查看和下载。这些方法虽然简单粗暴,但是非常有效。
当然,随着信息技术的发展,我们现在不需要再用上面这种笨办法。网络准入系统只允许公司配发的办公电脑连内网访问我们的SAP等核心系统,可以避免没有安装防病毒软件的电脑接入进来传染了我们的电脑,也可以防止有恶意的人拿自己的电脑连入内网窃取我们的敏感文档。文档加密系统可以确保文档即使被外人拿到,也看不到文件里面的具体内容。办公电脑上安装了终端管理软件就可以禁止使用U盘拷贝文件出去,通过上网行为管理系统可以禁止员工通过网页或者QQ上传文件,邮件系统可以设置或者通过部署邮件网关来禁止发送文件到公司外的邮箱。以上这些措施都可以进行监控审计,及时发现异常及时止损。此外,我们还需要安装防病毒软件来避免文档被感染破坏,对于重要的文档,我们还可以放在统一的文档存储服务器进行备份,确保文件即使被不小心删改或者丢失也能找回来。
这一套组合拳实现了“进不来,拿不到,看不懂,带不走,跑不掉,可恢复”,能全方位地保护公司的文档安全。这些举措固然需要IT来实施,但更重要的是每个员工在日常工作中的配合,只有依靠员工配合才能保障文档安全保护的效果。
文档分类分级,安全更灵活
为了保护文档安全,堵住文档泄漏的出口确实是最有效的办法。但是日常工作中难免会涉及对外交流,需要把文件发出去,“大禹治水,堵不如疏”,老祖宗早就讲明白的道理,我们难道就没有更好的办法来保护文档安全吗?公司有那么多的文档,其中很多并不需要保密,俗话说“好钢要用在刀刃上”,缺乏针对性进行无差别的防护能得到很好的效果吗?
为了更好地保护公司文档的安全,首先我们需要识别哪些是我们保护的重点,摸清家底儿。这里就需要各业务部门的配合,因为只有文档的作者及其所有者部门才最清楚一份文档包含的内容、哪些人可以查看或者修改文档、需要把文档存放在哪里发送到哪里等等,文档的所有者才是文档安全的第一责任人。依据这些文档的类型、授权范围、流转方式等信息,可以把公司内常见的文档进行分类并确定其安全级别,对大部分公司来讲,真正包含敏感信息的文档应该只占总数的一小部分,比如20%,而其中非常绝密的信息可能更少。在梳理公司文档资产时应当客观公正,既不要忽视关键文档的重要性而导致敏感信息得不到应有的保护,也不可把太多没那么重要的文档都定为绝密导致影响工作效率并且浪费投入资源。同时,公司内的文档资产信息是变化的,文档所有者应当定期审视和更新,以确保安全级别是合适的。
当我们梳理出来公司的绝大部分文档的相关信息,就可以据此制定更加灵活的保护策略,对于安全级别比较高的绝密信息实施严格的保护策略,而对于安全级别不高的内部公开或者对外宣传的文档,就可以采取相对宽松甚至不受限的策略。比如公司最重要的战略规划细节文档就只能授权给少数几个公司高层领导查看而绝对不能让普通员工拷贝出去,比如采购订单文档可以允许采购员上班时间通过公司邮箱发送给对应的供货商而不应在下班之后通过QQ发送,比如财务人员可以在公司处理营收月结数据而拷贝回家就属于违规。这样灵活的策略避免了简单粗暴一刀切,在保证公司文档安全的同时又兼顾了员工日常工作的效率和便利。
提升全员安全意识,才是真正安全
建立了全方位的文档安全保护体系和分类分级文档保护策略还是不能百分百确保文档的安全,因为文档的使用者是人,人是信息安全里最关键的因素。如果员工不理解安全的重要性,就不会关注公司的信息安全要求和相关规定;如果员工不知道安全违规的严重后果,就很难愿意配合信息安全工作;如果员工不清楚哪些行为是不安全的,不明白怎样做才安全,在工作中就很可能会做出错误的行为,诸如随意下载和打开不明的文件导致电脑中毒工作文档全被破坏、把重要文档保存在U盘中却没有加密导致丢失等。
提升员工信息安全意识需要从多方面入手,比如新员工要培训公司安全制度并考试,比如在醒目位置张贴安全宣传标语和海报小贴士,比如每年组织安全教育有奖问答和调查问卷活动,比如每月发布公司安全状态报告和安全事件的奖惩通报,通过多种多样的形式培训和警示员工,树立信息安全人人有责的意识,全员参与共同保护公司信息安全。
以上就是典型的企业中保护数据(文档)安全的主要办法,总结一下:通过信息资产分级配合全方位数据防泄漏技术,确保核心数据得到重点全面的保护,并通过宣贯提升全员安全意识,确保安全措施的落地效果。