麥欣茵

IT從業(yè)者們以及廣大互聯(lián)網(wǎng)用戶，應(yīng)該難以忘記2011年年底爆發(fā)的中國(guó)互聯(lián)網(wǎng)史上最大規(guī)模泄密事件。當(dāng)時(shí)，CSDN 程序員社區(qū)、天涯社區(qū)上千萬(wàn)用戶數(shù)據(jù)被泄露；人人、當(dāng)當(dāng)、凡客、卓越、開心、多玩等多家網(wǎng)站，相繼被曝出密碼遭網(wǎng)上公開泄露。

在此之前，2011年4月份日本索尼公司約有超過(guò)1億個(gè)客戶資料和1200萬(wàn)個(gè)沒有加密的信用卡號(hào)碼被泄露，索尼公司的道歉及優(yōu)惠服務(wù)并沒有阻止其客戶大規(guī)模流失。

無(wú)需贅述更多的IT安全事件，總結(jié)而言，企業(yè)在IT安全管控及數(shù)據(jù)保護(hù)上的掉以輕心，為IT安全事件及數(shù)據(jù)泄露丑聞的爆發(fā)留下了巨大安全隱患。這類危機(jī)事件一旦發(fā)生，不僅使公眾的利益遭受損害，更會(huì)給企業(yè)帶來(lái)慘痛的經(jīng)濟(jì)損失，甚至就是企業(yè)的一場(chǎng)滅頂之災(zāi)。

然而，正如與業(yè)內(nèi)人士探討時(shí)所感嘆，IT安全及數(shù)據(jù)保護(hù)在企業(yè)中通常是“說(shuō)起來(lái)重要，做起來(lái)次要，忙起來(lái)不要”?；诙嗄陙?lái)的IT咨詢服務(wù)經(jīng)驗(yàn)，我們逐漸意識(shí)到，無(wú)論企業(yè)的高管如何津津樂道IT安全及數(shù)據(jù)保護(hù)的重要性，事實(shí)上，在許多企業(yè)內(nèi)部，IT安全及數(shù)據(jù)保護(hù)意識(shí)并未真正深入人心。

風(fēng)起于青萍之末，結(jié)合這些司空見慣的IT安全缺陷，我們不難發(fā)現(xiàn)前述IT安全事件的爆發(fā)并非無(wú)跡可尋。

正是由于部分企業(yè)仍采用毫無(wú)安全性可言的明文密碼存儲(chǔ)方式，才導(dǎo)致了2011年年底的密碼泄漏事件的爆發(fā)，并使得泄露數(shù)量如此之巨，波及范圍如此之廣。

正是由于企業(yè)未對(duì)關(guān)鍵敏感數(shù)據(jù)進(jìn)行識(shí)別，并對(duì)數(shù)據(jù)生命周期的各環(huán)節(jié)加以控制，才導(dǎo)致索尼公司因大量客戶數(shù)據(jù)失竊而造成難以挽回的損失。

IT安全事件或數(shù)據(jù)泄露丑聞一旦爆發(fā)，可能導(dǎo)致一個(gè)蒸蒸日上的公司在瞬間一敗涂地。對(duì)各行業(yè)的企業(yè)來(lái)說(shuō)，要在激烈的市場(chǎng)競(jìng)爭(zhēng)中求得生存及發(fā)展，企業(yè)的聲譽(yù)和消費(fèi)者的信任是至關(guān)重要因素，尤其在危機(jī)事件之后，良好聲譽(yù)及消費(fèi)者信任是企業(yè)撬動(dòng)資本和市場(chǎng)的關(guān)鍵競(jìng)爭(zhēng)力資源。因此，對(duì)于一定規(guī)模以上的企業(yè)，尤其是上市企業(yè)，IT安全建設(shè)及數(shù)據(jù)保護(hù)是絕不可忽視的重要工作之一。

有鑒于此，企業(yè)管理者需盡早知曉什么是IT安全？為何要進(jìn)行數(shù)據(jù)保護(hù)？我們認(rèn)為，IT安全體系由四大部分構(gòu)成：1）信息安全制度體系、2）信息安全組織體系、3）信息安全管理流程、4）信息安全技術(shù)實(shí)施。IT安全亦不僅限于企業(yè)的通信、系統(tǒng)安全，企業(yè)數(shù)據(jù)及用戶數(shù)據(jù)保護(hù)亦是企業(yè)安全防護(hù)中的一個(gè)重要部分。

1）信息安全制度體系 企業(yè)的信息安全制度體系包括信息安全方針、系統(tǒng)運(yùn)維、網(wǎng)絡(luò)運(yùn)維、安全事件處理辦法、數(shù)據(jù)備份與恢復(fù)策略、敏感數(shù)據(jù)管理等。通常，信息安全制度體系可自上而下分為三個(gè)層次。上層是信息安全方針，提供整體的信息安全策略和要求。中層是在方針基礎(chǔ)上建立的信息安全相關(guān)標(biāo)準(zhǔn)與指引。底層是具體的操作流程、配置基準(zhǔn)以及相關(guān)的文檔和表單等。信息安全制度體系的建設(shè)對(duì)企業(yè)而言至關(guān)重要，信息安全制度體系是企業(yè)信息安全管理活動(dòng)的基礎(chǔ)，為各項(xiàng)信息安全管理活動(dòng)提供制度指引，使信息安全管理工作有章可循、有規(guī)可依。企業(yè)應(yīng)對(duì)自身的信息安全制度體系進(jìn)行完整性、設(shè)計(jì)有效性及執(zhí)行有效性的評(píng)估，定期更新與維護(hù)信息安全制度，并在企業(yè)內(nèi)部定期開展信息安全培訓(xùn)與教育。

2）信息安全組織體系 企業(yè)的信息安全管理離不開人的因素，因此是否存在適當(dāng)?shù)男畔踩芾斫M織，對(duì)企業(yè)的信息安全管理工作極為重要。企業(yè)是否對(duì)信息安全實(shí)施獨(dú)立評(píng)審，關(guān)鍵IT崗位人員是否實(shí)現(xiàn)適當(dāng)?shù)穆氊?zé)分工，是否簽訂并遵守信息保密協(xié)議，都極大影響信息安全管理工作的開展效果。為確保企業(yè)信息安全組織體系的有效性，企業(yè)應(yīng)定期對(duì)自身的信息安全組織體系進(jìn)行評(píng)估，包括內(nèi)部職責(zé)分配，與監(jiān)管機(jī)構(gòu)、特殊利益團(tuán)體的聯(lián)系，及對(duì)信息安全的獨(dú)立評(píng)審等，持續(xù)改進(jìn)信息安全組織體系建設(shè)中存在的缺陷及不足。

3）信息安全管理流程 企業(yè)的信息安全管理流程包括IT人力資源安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、信息系統(tǒng)獲取、開發(fā)及維護(hù)、業(yè)務(wù)連續(xù)性管理及符合性等關(guān)鍵信息安全流程。企業(yè)核心系統(tǒng)的穩(wěn)定與安全是業(yè)務(wù)正常開展的基礎(chǔ)條件，而影響其穩(wěn)定與安全的因素可能來(lái)源于支撐核心系統(tǒng)運(yùn)行的IT基礎(chǔ)架構(gòu)，如操作系統(tǒng)、數(shù)據(jù)存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、人員配置等環(huán)節(jié)，也可能來(lái)自于系統(tǒng)本身的影響，因此企業(yè)必須制定、執(zhí)行及持續(xù)優(yōu)化IT安全管理流程，包括有效地管理IT資產(chǎn)與IT風(fēng)險(xiǎn)，確保實(shí)現(xiàn)管理層目標(biāo)。

4）信息安全技術(shù)實(shí)施 當(dāng)前的商業(yè)環(huán)境中，對(duì)IT環(huán)境的威脅日益增多，這些威脅的目標(biāo)是企業(yè)重要的信息、人員、流程和技術(shù)。企業(yè)應(yīng)實(shí)施必要的技術(shù)安全手段，以確保信息系統(tǒng)和網(wǎng)絡(luò)的安全。這些技術(shù)手段包括且不限于部署防火墻、路由器、入侵檢測(cè)及防御軟件、防病毒軟件并進(jìn)行恰當(dāng)配置，企業(yè)還應(yīng)定期對(duì)信息系統(tǒng)及網(wǎng)絡(luò)進(jìn)行漏洞檢測(cè)、模擬攻擊測(cè)試、黑盒/白盒測(cè)試、脆弱點(diǎn)評(píng)估、內(nèi)外部網(wǎng)絡(luò)滲透測(cè)試、惡意代碼和移動(dòng)代碼防范、隱私和可接受使用測(cè)評(píng)等，以有效識(shí)別潛在的安全技術(shù)弱點(diǎn)和漏洞。

隨著信息時(shí)代的迅速發(fā)展，越來(lái)越多企業(yè)的日常業(yè)務(wù)已經(jīng)無(wú)法脫離數(shù)據(jù)和信息技術(shù)的支持，數(shù)據(jù)保護(hù)的重要性在今天已達(dá)到前所未有的高度。企業(yè)的CIO及IT安全管理者們必須意識(shí)到，數(shù)據(jù)的安全與隱私的保護(hù)不再僅僅是單純技術(shù)問題，而是企業(yè)面臨的商業(yè)發(fā)展與業(yè)務(wù)經(jīng)營(yíng)的關(guān)鍵問題。

我們將數(shù)據(jù)保護(hù)的實(shí)踐經(jīng)驗(yàn)與國(guó)內(nèi)外先進(jìn)理論結(jié)合起來(lái)，形成了獨(dú)有的數(shù)據(jù)安全與隱私保護(hù)方法論。該方法論包括五個(gè)關(guān)鍵階段：1）準(zhǔn)備工作階段；2）梳理敏感數(shù)據(jù)清單階段；3）識(shí)別敏感數(shù)據(jù)流，評(píng)估現(xiàn)狀，設(shè)計(jì)改進(jìn)方案階段；4）實(shí)施數(shù)據(jù)隱私保護(hù)方案階段；5）持續(xù)監(jiān)控和改進(jìn)階段。企業(yè)應(yīng)定義自身關(guān)注的敏感數(shù)據(jù)范疇，梳理敏感數(shù)據(jù)清單，在理解業(yè)務(wù)和數(shù)據(jù)流的基礎(chǔ)上進(jìn)行數(shù)據(jù)敏感性分級(jí)，評(píng)估敏感數(shù)據(jù)保護(hù)現(xiàn)狀并設(shè)計(jì)敏感數(shù)據(jù)保護(hù)方案。企業(yè)制定數(shù)據(jù)隱私保護(hù)程序后，還應(yīng)組織員工開展敏感數(shù)據(jù)保護(hù)意識(shí)培訓(xùn)，從而保障數(shù)據(jù)隱私保護(hù)程序和控制措施的實(shí)施。

IT安全是保障企業(yè)正常業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ)，而數(shù)據(jù)泄露往往造成對(duì)公司業(yè)務(wù)運(yùn)營(yíng)的極大危害和影響。IT安全及數(shù)據(jù)保護(hù)是整個(gè)企業(yè)的職責(zé)，企業(yè)各個(gè)層面的決策者、管理者、執(zhí)行者均應(yīng)具備強(qiáng)烈的IT安全和數(shù)據(jù)保護(hù)意識(shí)。安全無(wú)小事，我們期待著IT安全和數(shù)據(jù)保護(hù)意識(shí)能夠真正地深入人心，并貫徹落實(shí)到企業(yè)的日常運(yùn)營(yíng)之中。