网管转身变“黑客”,企业该怎么保护自身的数据资产?
去年,渝北男子易某利用担任重庆某科技有限公司网络管理员的职务便利,与男子严某窃取公司10815条客户订单信息,并转卖给他人获利。近日,渝北区法院审结了这起侵犯公民个人信息罪案,被告人分别被判处9个月至1年不等的有期徒刑,同时被判处罚金。
1、企业信息泄露,有问题的不仅仅是员工,更是企业!
3月15日,新通过的《民法总则》明确规定,自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。易某的行为,无疑是在法律上认识不足,抱着侥幸心理从事了此类违法犯罪活动。
笔者认为,这个案件的出现,不仅仅是网管的道德问题,企业方对自身数据资产保护力度不够也为犯罪行为提供了可能。企业没有意识到自身数据资产的重要性,缺乏相应的保护措施,才使得网管有机可趁。
2013年3月,东软集团被曝商业秘密外泄,约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。此次商业秘密外泄造成东软公司损失高达4000余万元人民币。
2013年10月,圆通百万客户信息遭泄露,客户的地址、姓名、手机号码等信息一览无余,其近百万条信息,购买者可随意挑选。技术专家证实,能随时看到全国所有客户的实时信息,除了圆通内鬼,即便黑客也很难做到。
2016年12月11日晚间,有媒体报道称一个12G的数据包在黑市上开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自国内某知名电商。
上述企业作为国内知名企业,有一定技术实力,都或多或少遭遇了信息泄露,导致一系列损失。为什么这么大的公司都无法保护好自己的数据资产?最重要的原因在于企业的数据资产保护意识不足。那国内更为庞大的中小企业群体呢?是否也应该对自身数据安全有更深的认识呢?
2大数据时代即将到来,企业数据安全面临哪些威胁?
随着网络信息技术和电子商务的发展,对于现代企业而言,关键业务数据已经成为其核心资产之一,也是企业核心竞争力的体现。一家现代企业能否对其关键敏感数据进行有效保护,已成为企业自身在激烈的商业竞争中能否立于不败之地的重要因素之一。敏感数据丢失对企业不但意味着重大经济损失,还会给企业信誉带来致命影响。
然而,从目前的状况来看,大部分企业在数据安全方面还面临着巨大的挑战。
相当大一部分企业并没有意识到数据资产的重要性,因此重视力度不够,才会让罪犯有机可趁。据有关统计表明,在所有数据丢失事故的原因中,病毒、木马、蠕虫和黑客攻击仅占21%,而软硬件故障、内部员工误操作和其它原因占据79%,而我国近80%的中小企业采取的数据保护措施仅限于安装杀毒软件和防火墙,也就是说对79%的安全威胁毫无防范,这种状况应该引起每家企业引起重视!
3针对数据保护,企业应该从哪里入手?
数据资产如此重要,从企业管理者的角度来看,只有从以下几方面入手,才能有效保障企业的数据安全。
-
增强企业员工的信息保密意识
目前,许多企业员工对信息安全存在着误区。应该尽量使用复杂的密码做为保护,而不是只要随便设置个简单的密码,例如“123456”不同的账号和文件,设置不一样的密码,才不会让入侵者或“泄密者”有机可乘。而许多企业对入职员工培训并没有涉及到信息安全、保密这一方面。员工对信息安全、保密意识的缺失,企业也有一定的责任。
-
防火墙、杀毒软件的安装
当今互联网的发展,使得企业不能不使用网络进行各个方面的洽谈,正是由于互联网的开放性,导致了企业信息无时无刻都可能暴露在广大网民面前。所以,在管理好内网的同时,还需要对外网的行为进行管控,及时的更新防火墙、杀毒软件的版本,做好计算机网络的防护,也是防止企业信息失窃的重要手段。
-
数据资料备份
数据资料的备份,是防止数据丢失最简单的方案。但是,如果是重要的资料,尤其是丢失会造成大量损失的数据,数据备份还远远不够。
-
数据加密
要从源头保护文件,就需要利用前沿的驱动层加密技术,对单位内所有重要文件实现强制透明加密,一旦加密,如果非授权情况下把文件带离公司,文件将显示乱码无法使用,带走也徒劳。
-
终端管控
关于企业的数据资产安全,普华永道会计师事务所风险保证业务部的Joe DiVITo说道:“企业要正确核计赋予员工的访问权限。要确定谁拥有授权和日常访问该数据的权限,并确保需要修改或撤销访问权限时,各有关方均通知到位。”
所以,员工安全的上网行为对于企业数据信息安全来说越来越重要,这也正是步入信息时代上网行为管理产品市场需求逐步扩大的重要原因。而针对不同层级员工的权限控制,将会进一步降低信息泄露的风险。
严控泄密途径,实施终端安全管理,管控包括U盘拷贝、沟通工具传播、邮件发送、打印资料等在内的数据泄露隐患,同样非常重要。文件的全程操作过程都有记录可查,如果有人企图带走内部文件,增加了窃密难度,也增加了窃密成本。
企业数据资产的保护,只有从这5方面出发,才能全面防止企业信息的泄露。这5方面内容,主要是技术手段和非技术手段,技术手段可以花钱解决;而更重要的是非技术手段,只有数据安全意识的具备,才能做出更合理的行动来对数据资产进行保护!