風(fēng)起于青萍之末

麥欣茵

IT從業(yè)者們以及廣大互聯(lián)網(wǎng)用戶，應(yīng)該難以忘記2011年年底爆發(fā)的中國互聯(lián)網(wǎng)史上最大規(guī)模泄密事件。當時，CSDN 程序員社區(qū)、天涯社區(qū)上千萬用戶數(shù)據(jù)被泄露；人人、當當、凡客、卓越、開心、多玩等多家網(wǎng)站，相繼被曝出密碼遭網(wǎng)上公開泄露。

在此之前，2011年4月份日本索尼公司約有超過1億個客戶資料和1200萬個沒有加密的信用卡號碼被泄露，索尼公司的道歉及優(yōu)惠服務(wù)并沒有阻止其客戶大規(guī)模流失。

無需贅述更多的IT安全事件，總結(jié)而言，企業(yè)在IT安全管控及數(shù)據(jù)保護上的掉以輕心，為IT安全事件及數(shù)據(jù)泄露丑聞的爆發(fā)留下了巨大安全隱患。這類危機事件一旦發(fā)生，不僅使公眾的利益遭受損害，更會給企業(yè)帶來慘痛的經(jīng)濟損失，甚至就是企業(yè)的一場滅頂之災(zāi)。

然而，正如與業(yè)內(nèi)人士探討時所感嘆，IT安全及數(shù)據(jù)保護在企業(yè)中通常是“說起來重要，做起來次要，忙起來不要”?；诙嗄陙淼腎T咨詢服務(wù)經(jīng)驗，我們逐漸意識到，無論企業(yè)的高管如何津津樂道IT安全及數(shù)據(jù)保護的重要性，事實上，在許多企業(yè)內(nèi)部，IT安全及數(shù)據(jù)保護意識并未真正深入人心。

風(fēng)起于青萍之末，結(jié)合這些司空見慣的IT安全缺陷，我們不難發(fā)現(xiàn)前述IT安全事件的爆發(fā)并非無跡可尋。

正是由于部分企業(yè)仍采用毫無安全性可言的明文密碼存儲方式，才導(dǎo)致了2011年年底的密碼泄漏事件的爆發(fā)，并使得泄露數(shù)量如此之巨，波及范圍如此之廣。

正是由于企業(yè)未對關(guān)鍵敏感數(shù)據(jù)進行識別，并對數(shù)據(jù)生命周期的各環(huán)節(jié)加以控制，才導(dǎo)致索尼公司因大量客戶數(shù)據(jù)失竊而造成難以挽回的損失。

IT安全事件或數(shù)據(jù)泄露丑聞一旦爆發(fā)，可能導(dǎo)致一個蒸蒸日上的公司在瞬間一敗涂地。對各行業(yè)的企業(yè)來說，要在激烈的市場競爭中求得生存及發(fā)展，企業(yè)的聲譽和消費者的信任是至關(guān)重要因素，尤其在危機事件之后，良好聲譽及消費者信任是企業(yè)撬動資本和市場的關(guān)鍵競爭力資源。因此，對于一定規(guī)模以上的企業(yè)，尤其是上市企業(yè)，IT安全建設(shè)及數(shù)據(jù)保護是絕不可忽視的重要工作之一。

有鑒于此，企業(yè)管理者需盡早知曉什么是IT安全？為何要進行數(shù)據(jù)保護？我們認為，IT安全體系由四大部分構(gòu)成：1）信息安全制度體系、2）信息安全組織體系、3）信息安全管理流程、4）信息安全技術(shù)實施。IT安全亦不僅限于企業(yè)的通信、系統(tǒng)安全，企業(yè)數(shù)據(jù)及用戶數(shù)據(jù)保護亦是企業(yè)安全防護中的一個重要部分。

1）信息安全制度體系 企業(yè)的信息安全制度體系包括信息安全方針、系統(tǒng)運維、網(wǎng)絡(luò)運維、安全事件處理辦法、數(shù)據(jù)備份與恢復(fù)策略、敏感數(shù)據(jù)管理等。通常，信息安全制度體系可自上而下分為三個層次。上層是信息安全方針，提供整體的信息安全策略和要求。中層是在方針基礎(chǔ)上建立的信息安全相關(guān)標準與指引。底層是具體的操作流程、配置基準以及相關(guān)的文檔和表單等。信息安全制度體系的建設(shè)對企業(yè)而言至關(guān)重要，信息安全制度體系是企業(yè)信息安全管理活動的基礎(chǔ)，為各項信息安全管理活動提供制度指引，使信息安全管理工作有章可循、有規(guī)可依。企業(yè)應(yīng)對自身的信息安全制度體系進行完整性、設(shè)計有效性及執(zhí)行有效性的評估，定期更新與維護信息安全制度，并在企業(yè)內(nèi)部定期開展信息安全培訓(xùn)與教育。

2）信息安全組織體系 企業(yè)的信息安全管理離不開人的因素，因此是否存在適當?shù)男畔踩芾斫M織，對企業(yè)的信息安全管理工作極為重要。企業(yè)是否對信息安全實施獨立評審，關(guān)鍵IT崗位人員是否實現(xiàn)適當?shù)穆氊?zé)分工，是否簽訂并遵守信息保密協(xié)議，都極大影響信息安全管理工作的開展效果。為確保企業(yè)信息安全組織體系的有效性，企業(yè)應(yīng)定期對自身的信息安全組織體系進行評估，包括內(nèi)部職責(zé)分配，與監(jiān)管機構(gòu)、特殊利益團體的聯(lián)系，及對信息安全的獨立評審等，持續(xù)改進信息安全組織體系建設(shè)中存在的缺陷及不足。

3）信息安全管理流程 企業(yè)的信息安全管理流程包括IT人力資源安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、信息系統(tǒng)獲取、開發(fā)及維護、業(yè)務(wù)連續(xù)性管理及符合性等關(guān)鍵信息安全流程。企業(yè)核心系統(tǒng)的穩(wěn)定與安全是業(yè)務(wù)正常開展的基礎(chǔ)條件，而影響其穩(wěn)定與安全的因素可能來源于支撐核心系統(tǒng)運行的IT基礎(chǔ)架構(gòu)，如操作系統(tǒng)、數(shù)據(jù)存儲系統(tǒng)、網(wǎng)絡(luò)設(shè)備、人員配置等環(huán)節(jié)，也可能來自于系統(tǒng)本身的影響，因此企業(yè)必須制定、執(zhí)行及持續(xù)優(yōu)化IT安全管理流程，包括有效地管理IT資產(chǎn)與IT風(fēng)險，確保實現(xiàn)管理層目標。

4）信息安全技術(shù)實施 當前的商業(yè)環(huán)境中，對IT環(huán)境的威脅日益增多，這些威脅的目標是企業(yè)重要的信息、人員、流程和技術(shù)。企業(yè)應(yīng)實施必要的技術(shù)安全手段，以確保信息系統(tǒng)和網(wǎng)絡(luò)的安全。這些技術(shù)手段包括且不限于部署防火墻、路由器、入侵檢測及防御軟件、防病毒軟件并進行恰當配置，企業(yè)還應(yīng)定期對信息系統(tǒng)及網(wǎng)絡(luò)進行漏洞檢測、模擬攻擊測試、黑盒/白盒測試、脆弱點評估、內(nèi)外部網(wǎng)絡(luò)滲透測試、惡意代碼和移動代碼防范、隱私和可接受使用測評等，以有效識別潛在的安全技術(shù)弱點和漏洞。

隨著信息時代的迅速發(fā)展，越來越多企業(yè)的日常業(yè)務(wù)已經(jīng)無法脫離數(shù)據(jù)和信息技術(shù)的支持，數(shù)據(jù)保護的重要性在今天已達到前所未有的高度。企業(yè)的CIO及IT安全管理者們必須意識到，數(shù)據(jù)的安全與隱私的保護不再僅僅是單純技術(shù)問題，而是企業(yè)面臨的商業(yè)發(fā)展與業(yè)務(wù)經(jīng)營的關(guān)鍵問題。

我們將數(shù)據(jù)保護的實踐經(jīng)驗與國內(nèi)外先進理論結(jié)合起來，形成了獨有的數(shù)據(jù)安全與隱私保護方法論。該方法論包括五個關(guān)鍵階段：1）準備工作階段；2）梳理敏感數(shù)據(jù)清單階段；3）識別敏感數(shù)據(jù)流，評估現(xiàn)狀，設(shè)計改進方案階段；4）實施數(shù)據(jù)隱私保護方案階段；5）持續(xù)監(jiān)控和改進階段。企業(yè)應(yīng)定義自身關(guān)注的敏感數(shù)據(jù)范疇，梳理敏感數(shù)據(jù)清單，在理解業(yè)務(wù)和數(shù)據(jù)流的基礎(chǔ)上進行數(shù)據(jù)敏感性分級，評估敏感數(shù)據(jù)保護現(xiàn)狀并設(shè)計敏感數(shù)據(jù)保護方案。企業(yè)制定數(shù)據(jù)隱私保護程序后，還應(yīng)組織員工開展敏感數(shù)據(jù)保護意識培訓(xùn)，從而保障數(shù)據(jù)隱私保護程序和控制措施的實施。

IT安全是保障企業(yè)正常業(yè)務(wù)運營的基礎(chǔ)，而數(shù)據(jù)泄露往往造成對公司業(yè)務(wù)運營的極大危害和影響。IT安全及數(shù)據(jù)保護是整個企業(yè)的職責(zé)，企業(yè)各個層面的決策者、管理者、執(zhí)行者均應(yīng)具備強烈的IT安全和數(shù)據(jù)保護意識。安全無小事，我們期待著IT安全和數(shù)據(jù)保護意識能夠真正地深入人心，并貫徹落實到企業(yè)的日常運營之中。