央企行业

随着“互联网+”渗透到日常生活的各个领域,掌握国家经济命脉的央企在充分享受信息技术这把“达摩克利斯之剑”带来的红利同时,也面临数据泄露风险,特别是利用云计算、大数据构建的数据高度集中的信息基础设施,其脆弱性带来的风险不容忽视。习总书记在2014年就提出了“没有网络安全就没有国家安全”的指导思想。为适应日益严峻的网络安全形势,国家先后出台了《国家网络空间安全战略》、《网络安全法》等政策、法规,督促全社会,特别是央企加强网络安全建设,保护企业核心数据资产、健全管理机制、提高安全意识,采取有效措施降低敏感信息泄漏概率,提高企业核心竞争力。

鉴于大部分央企的数据保护现状,数据泄露防护面临的主要问题可以归纳为管理缺陷和技术缺陷两个层面。

1. 管理缺陷

从管理层面来说,企业数据泄露防护难度大的原因主要表现在以下三个方面:

第一,职能部门数据保护权责交叉,资源协调难度大。数据保护工作涉及生产、保密、信息等多个部门,覆盖数据全生命周期,包括数据生产、存储、分享、传输等。如何充分发挥保密部门的监管权力,调动业务部门的积极性,最大化利用信息部门的人员、资金、技术等资源,是央企推行数据安全防护工作,遏制敏感数据外发首要解决的问题。

第二,管理制度宣传覆盖面不足,贯彻落实不够深入。目前,大多央企已出台数据保护管理制度,但是由于体量庞大、组织复杂,将制度宣贯到每位员工的周期较长、困难较大。而且,央企对敏感数据泄露的处理主要依据企业内部制度,执行弹性较大,以警示和教育为主,使推进更为严格的数据保护工作面临较大阻力。

第三,员工数据保密意识薄弱,存在无意识泄密风险。央企部分员工尤其是下属分支机构的基层员工在工作中对查看或编辑的文件的敏感程度认识不足,常常为方便工作将涉密数据上传到网盘或者邮箱中,无意间造成数据泄露,这也成为当前央企敏感数据外泄的最主要方式。

2. 技术缺陷

从技术层面来说,企业数据泄露防护工作存在以下三个方面的不足:

第一,部分央企未采取有效的数据泄露防护手段。数据泄露形势愈演愈烈,防火墙、反病毒软件、入侵检测等传统信息安全防护手段已难以独立应对,企业数据安全防护工作面临巨大挑战。在这种形势下,部分央企仍未采用更有针对性的基于内容的数据泄露防护技术,建立数据泄露防护体系来保障敏感数据安全。

第二,国外产品存在风险隐患。由于国内数据泄露防护产业起步较晚,一些央企在开展数据泄露防护工作初期,采用了国外的安全产品,这些产品可能存在漏洞和后门,易造成敏感数据二次泄漏的风险,“棱镜门”事件及“赛门铁克后门”事件正是这一风险的典型代表。

第三,国产化产品技术水平有待加强。2014年前后,国内网络安全厂商开始借鉴行业主流产品,结合国内数据保护特点,研发数据泄露防护产品,取得了一定成果。但是,产品的技术思想略显陈旧,无法满足企业更深层次的数据泄露安全防护需求。因此,未来有必要引入人工智能、大数据挖掘、机器学习等技术手段,提高策略设计精准度,提升事件分析效率,促进数据泄露防护技术朝着多样化、智能化的方向发展。

Copyright @ 2018 云易天成(北京)安全科技开发有限公司  All Right Reserved.   京ICP备17043511号