透過棱鏡門事件的影響，企業越來越清晰的看到了數據安全的重要性。隨著信息化的深入，數據已經成為企業的無形資產，因此，企業必須正視這些無形資產的防護問題。為此，我們采訪了天融信數據安全中心經理李海鵬，共同探討企業數據安全防護的話題。

▲天融信數據安全中心經理李海鵬

“企業管理層認識到數據的價值和數據保護的復雜性是企業提高企業保護數據泄漏的關鍵！”

棱鏡事件的曝光在帶來國家層面網絡安全的普遍關注外，也給企業數據安全帶來了一些警示，李海鵬談到，棱鏡事件至少有三個主體的數據泄漏，從美國政府而言，它的數據被前雇員泄漏；從普通用戶而言，他的數據被為他提供服務的廠商泄漏；對第三方國家或組織而言，它們的數據被入侵而泄漏。由此，對于企業數據安全得到的警示就包含了幾個方面，分別是數據泄漏很煩惱、數據資產最重要、人員管理是基礎、IT供應鏈管理不可少、技術防范要打牢。

信息化的浪潮使經濟形態發生了巨大變化，企業的價值越來越體現在無形資產中，數據日益體現出資產的屬性。數據是資產，所以吸引了犯罪分子從物理空間轉向網絡空間；數據是企業賴以生存與發展的基礎，所以企業要加強保護數據資產。企業管理層認識到數據的價值和數據保護的復雜性是企業提高企業保護數據泄漏的關鍵，企業在日常經營中正確平衡數據利用和數據安全的關系的行為是樹立全員數據安全意識的基礎。

“數據保護是涉及人、流程和技術的一體化工作！”

數據保護是涉及人、流程和技術的一體化工作，既要有高層數據治理的高層建設，也要有數據管理體系建設和人員意識培養的制度。既然數據是資產，數據就要分類分級，對重要資產重點保護；數據是資產，數據就應明確生命周期各階段的權屬關系，明確數據使用的規則，以及出現泄漏的責任判定與罰則；數據是資產，就應明確數據的流動環節和授權，明確數據與應用的關系。

企業數據策略就是要回答什么人在什么時間能通過什么應用與環境訪問什么數據，以及回答如何對數據使用的審計等。李海鵬介紹到，在數據安全項目中，首先企業用戶要進行業務梳理，通過業務分析確定數據模型、數據流模型、數據分級分類等，進而完成數據資源與數據保護的整體規劃。特別地，在數據安全策略實踐中要明確數據安全與網絡環境安全的協作關系，充分利用已有的安全策略基礎和安全建設基礎。

企業數據中含有許多員工的個人隱私數據，毫無疑問，關于具體個人的隱私數據在企業內部應當可以在不違背法律規定情況下經過授權使用，但同時絕對不能提供給外部使用。總體原則是個人隱私相關要通過授權使用。

“對企業而言，在認識到數據資產的價值和數據泄漏的危害后，以往的安全防護模型依然有效！”

數據安全解決方案是體系化的，要依據企業的數據安全策略理出實現的優先級，數據安全產品和方案都要圍繞核心目標。李海鵬向記者介紹到，“通過大量的數據安全項目實踐，我們總結出一套工程化的方法論，通過數據安全服務形成安全策略，通過數據安全解決方案解決整體保障，通過數據安全產品解決重點防護，通過廣泛的合作來保障實施效果。”

目前數據安全產品可以分為結構化數據安全產品、非結構化數據安全產品、數據使用與內容審計產品、數據防泄漏產品、數據加密產品、數據安全存儲與備份恢復產品、人員與授權管理產品等，每類產品解決的問題有所差異，在選擇時要重點考慮投入產出比、擴展性、兼容性等。李海鵬談到，由于數據安全產品與數據管理、業務系統等直接相關，要發揮產品的最大效果，需要不斷優化與調整策略，所以在選擇產品時要特別注意售后服務能力。

數據安全的風險與其它安全風險有許多不同之處，如數據泄漏不易被發現、數據泄漏對當前系統運行無影響，因此員工的數據安全意識的培訓更加重要。李海鵬介紹到，企業許多員工并不了解他們正在使用的數據的價值所在，并錯誤地以為安全是由專人負責的，事不關己，并未充分認識到自己也是在企業數據安全中的重要角色，對員工的數據安全培訓要進行縱向及交叉的培訓，讓各部門對彼此在數據安全職責進行了解，并結合周期性的安全攻擊演習，以發現問題并進行警示。

李海鵬談到：“對企業而言，在認識到數據資產的價值和數據泄漏的危害后，以往的安全防護模型依然有效，如訪問控制模型，現在的關注點從管制主體和網絡中策略執行點轉移到數據這個客體上。對數據保護，由于數據種類繁多、數據流動變化多、數據分散等，在數據保護中更加要重視事前的策略設計和數據的分類分級，要更加重視重點防護和事后的審計追蹤。”

對目前多數企業而言，建議首先開展數據的備份恢復建設，保證數據在災難時能找到與可用，其次要對核心的在線系統的數據庫數據進行重點保護，如加固、加密和審計，再者要進行網絡數據防泄漏的建設，以便發現敏感數據流動情況并進行控制，同時要進行整體的非結構化數據集中管控，把分散的數據統一管起來，最后與企業數據資源規劃同步形成完整的數據保護體系。

“數據安全正在從網絡環境安全向數據本身安全轉移！”

首先，隨著云計算、虛擬化、移動互聯網的發展，網絡邊界、應用和服務的邊界迅速模糊化，數據安全迅速從網絡環境安全向數據本身安全轉移，傳統的基于邊界的手段雖然還能保持一定的作用，但卻會因相對無效性從未來的安全體系中逐漸淡出。隨著技術的發展，在企業級數據安全中數據的機密性保護和數據使用的審計會占據突出位置。

其次，隨著大數據的來臨，數據的竊取會形成更加龐大的產業，企業數據的利用和企業數據安全的關系更加復雜，會更加體現安全促進利用、安全創造價值的趨勢，數據安全關注的范圍更加廣泛，如個人隱私等等。