4月23日，信息安全專家陸寶華和360集團信息安全中心負責人高雪峰分別接受了21世紀經濟報道記者的采訪，并圍繞企業在數據安全管理方面暴露出的問題進行了分析。

　　兩位受訪者均認為，從其中的一些案例可以看出，企業對于一些文件的重要性沒有做出準確的判斷，也導致這些文件沒有得到相應級別的保護。

　　陸寶華表示，實際上，國家對數據的分級保護有明確規定。如果涉及的是國家秘密，那國家保密局會對數據按照秘密級、機密級或者絕密級來嚴格劃分，相對應的也會有不同的保護措施。

　　但現實中，絕大部分數據都屬于企業的商業機密，無法上升到國家秘密的級別。對于這類信息，公安部、國家保密局等四部委曾于2007年下發過《信息安全等級保護管理辦法》，它根據信息系統的重要程度及被破壞后的危害程度，將信息分為五個安全等級。

　　“該《辦法》給企業提供了一個很好的參考標準?！标憣毴A說，“比如一些數據泄露會導致企業垮掉，從而引發大批員工失業，這實際上對社會秩序產生了影響，那這些數據就至少應該定為二級。如果還有可能造成更嚴重的損害，那就需要定到三級，甚至四級?！?/P>

　　國家雖然對數據安全的分級保護做出了引導，但具體實施中還是堅持自主定級、自主保護的原則，因為不同企業對數據的依賴性也有所區別，尤其是一些跨國企業，它的數據涉及到多方國家，這更需要企業自己去衡量。

　　可自主性太強，也導致在信息安全保護在實際操作中，情況很不樂觀。高雪峰告訴記者，在做企業安全工作時，遇到的最大的挑戰就是企業缺乏安全意識?！皼]有事情發生的時候，去跟企業強調數據安全或者網絡安全，他們都不會太在意。因為不管什么級別的信息防護，都需要投入成本，如果沒有事件發生，有些企業總覺得這部分成本被浪費了?！?/P>

　　這就像是一場賭博，很多企業平日里安全意識不夠強，可核心數據一旦泄露，引發的后果往往非常嚴重。正因為網絡安全行業存在這種博弈的狀態，使得整個行業的發展，通常會被安全事件所驅動。

　　據陸寶華介紹，網絡安全產業的發展經歷過多個階段，其中有一半的節點是以事件為驅動。比如2001年到2002年間爆發的“紅色代碼”等病毒，讓大家重視起病毒防護；2013年爆發的斯諾登事件，讓更多人意識到數據安全的重要性。

　　俗話說“吃一塹長一智”，企業也是如此?！昂芏嗥髽I在經歷過事件之后，在這方面肯定也會加強防護。我們走訪很多企業，那些對于辦公區隔離保護做得非常嚴格的，基本都是之前吃過虧?！备哐┓灞硎?。

　　“人”是最大風險

　　除了公司層面需要加強安全管理外，高雪峰坦言，在數據安全防護工作中，人的安全意識是最大風險點?！拔铱吹竭^很多出現安全問題的案列，刨根問底后發現，最主要的原因都是來自于人。比如有的是故意泄露，有的是電腦被入侵，還有的是把機密文件隨意給外人看等?！?/P>

　　高雪峰認為，人的意識確實很難標準化管理，所以企業一方面要加強對員工的安全意識培訓，讓他們意識到哪些數據是重要的以及哪些行為可能引發數據泄露。同時，企業也需要建立一定的懲罰機制，這樣員工才會對安全問題更加上心。

　　對此，陸寶華提出，企業通過技術手段來加強安全防范，也能有效降低人為因素而產生的風險。比如在公司內部，通過技術檢查是可以發現網絡有沒有非法外聯、計算機的各種移動介質接口有沒有封堵等，這些技術漏洞，往往是導致員工無意識泄露的根本原因。

　　而在公司外部的數據傳輸方面，陸寶華認為，即使員工將重要信息直接存放在電腦中也是不正確的。一方面不能直接用計算機帶出，另外如果要帶出，可以利用加密信道，發送至可信的機構。

　　“對于一些重要的文件，最好是存放在單獨的可加密的介質中，因為電腦涉及到系統安全，外人可以通過一些系統漏洞拿到里面的文件，所以電腦存放是有一定風險的?！?/P>

　　綜上可看出，網絡安全管理是件環環相扣的事情，任何一個環節的失誤，都可能導致全盤皆輸。高雪峰告訴記者，從攻防角度來說，沒人敢說能做到百分之百的安全，包括上文提及的人為因素，都是不可控的。但不能因為這樣，其他的安全防護工作就不做了。

　　對于中國網絡安全的現狀，高雪峰表示，一方面需要企業強化自身的安全管理；另一方面，也需要國家進一步完善相關法律?！叭ツ晖瞥龅木W絡安全法是一個很大的進步，但是，真正涉及到不同公司和行業時，還是缺少一些細化的標準?！?/P>

　　至于企業如何做好自身的數據安全管理，陸寶華給出了他的建議：首先是對數據做好梳理，了解數據是什么形態，是文檔、音頻還是其他，以及數據是集中存儲還是分散存儲等，這都對應著不同的保護方案；

　　然后是明確數據屬性。數據一般有兩個最基本的安全屬性，分別是保密性和完整性，保密性要求不能泄露，完整性則要求不能被篡改。這會決定企業該制定怎樣的保護策略。

　　最后，是要從數據的全生命周期來看，不同的環節采取不同的保護手段。比如數據存放在計算機時、傳遞時、發到網絡時等等，這些環節都需要理清楚，然后進行相對應的保護。

　　數據已經成為互聯網時代的一項重要基礎設施，它甚至可以決定一家企業的生死存亡，其重要性不言而喻。但同時，數據的電子化、人們對高效的追求等又給安全管理工作帶來了全新的挑戰?？偠灾?，對網絡安全行業來說，這是一個機遇與挑戰并存的時代。

責任編輯：韓希宇