對(duì)企業(yè)來(lái)講,無(wú)論如何規(guī)劃業(yè)務(wù),信息安全作為保障企業(yè)關(guān)鍵數(shù)據(jù)的措施始終是最重要的一塊。不過(guò)現(xiàn)在有另外一種劃分業(yè)務(wù)的方法,IT決策者在決定如何規(guī)劃信息安全這項(xiàng)業(yè)務(wù)的時(shí)候,會(huì)利用企業(yè)敏感數(shù)據(jù)的信息來(lái)提供安全情報(bào),并據(jù)此來(lái)做出最合適的數(shù)據(jù)安全管理措施。
在云計(jì)算的時(shí)代,信息安全問(wèn)題越來(lái)越受到重視,保護(hù)信息安全同樣也成為企業(yè)發(fā)展業(yè)務(wù)的重要手段。越來(lái)越多的企業(yè)選擇開(kāi)展線上業(yè)務(wù)來(lái)增強(qiáng)他們的競(jìng)爭(zhēng)力,并通過(guò)改善業(yè)務(wù)流程來(lái)擴(kuò)大利潤(rùn)。而在這個(gè)過(guò)程中,用戶的信息作為最重要的數(shù)據(jù)要確保不會(huì)落入不法分子的手中。而通過(guò)完整的信息安全體系構(gòu)建的環(huán)境可以幫助企業(yè)避免這些危機(jī)的出現(xiàn),企業(yè)可以通過(guò)這些用戶的信息來(lái)獲得最有利的情報(bào),取得最佳的收益。
數(shù)據(jù)安全技術(shù)的演變
在最近關(guān)于企業(yè)信息安全的報(bào)告中,專家們都期望著信息安全能夠隨著近幾年來(lái)幾項(xiàng)截然不同的技術(shù)的不斷發(fā)展,而得到進(jìn)步。這幾項(xiàng)技術(shù)所包含的元素毫不相干,例如,Web應(yīng)用防火墻,應(yīng)用程序安全測(cè)試解決方案,數(shù)據(jù)庫(kù)活動(dòng)監(jiān)測(cè)(DAM),數(shù)據(jù)標(biāo)記以及身份管理等等。
對(duì)于如何整合這些完全不同的技術(shù)以及來(lái)自于他們的數(shù)據(jù)就成了一個(gè)關(guān)鍵性的需求。根據(jù)一位ESI的一位分析師的觀點(diǎn),當(dāng)前這些互不相干的數(shù)據(jù)安全技術(shù),實(shí)際上限制了安全分析系統(tǒng)來(lái)獲得監(jiān)控日志并取得報(bào)告,缺乏必要的數(shù)據(jù)管理,分析以及規(guī)劃的能力。而當(dāng)前確有很多企業(yè)采用這些獨(dú)立的安全技術(shù),由于很多獨(dú)立的產(chǎn)品之間并不能很好的協(xié)作,這實(shí)際上是對(duì)追求完整的企業(yè)信息安全體系是一種阻礙。
而且從另一方面來(lái)講,獲得安全信息并不意味著只是收集安全日志,你還需要了解到你的敏感數(shù)據(jù)在哪,數(shù)據(jù)的內(nèi)容是什么。在今年的四月,得克薩斯州審計(jì)辦公室曾經(jīng)發(fā)生一起數(shù)據(jù)泄露事件,大約350萬(wàn)人的姓名、社會(huì)安全號(hào)碼和郵寄地址,另外還有一些人的出生日期和駕駛執(zhí)照號(hào)碼在網(wǎng)上被公開(kāi)泄露。正是由于得克薩斯州審計(jì)辦公室的一臺(tái)沒(méi)有加密的誰(shuí)都可以訪問(wèn)的服務(wù)器,得克薩斯州三個(gè)政府機(jī)構(gòu)的數(shù)據(jù)庫(kù)所收集的敏感信息被泄密了將近整整一年,這三個(gè)政府機(jī)構(gòu)是得克薩斯州教師退休中心、得克薩斯州勞動(dòng)力委員會(huì)和得克薩斯州雇員退休系統(tǒng)。據(jù)稱負(fù)責(zé)把數(shù)據(jù)發(fā)布到網(wǎng)上的幾個(gè)員工違反了部門的工作程序,這起泄密事件披露后已被開(kāi)除。
安全體系規(guī)則同樣重要
如果不安裝技術(shù)性的監(jiān)控解決方案來(lái)認(rèn)真執(zhí)行程序,那么就沒(méi)有太大意義。員工能夠?qū)?shù)據(jù)庫(kù)信息置于如此不堪一擊的險(xiǎn)境,證明要是整個(gè)安全體系的規(guī)則沒(méi)有采取“強(qiáng)制實(shí)施的有效手段”,會(huì)給企業(yè)帶來(lái)多大的風(fēng)險(xiǎn)。得克薩斯州現(xiàn)在因這起泄密事件而面臨兩起集體訴訟,其中一起要求對(duì)該州判以向每個(gè)受影響的人賠償1000美元的賠償處罰,考慮到這起事件影響到數(shù)百萬(wàn)人,這筆費(fèi)用無(wú)疑如同天文數(shù)字。
因此,一個(gè)真正全面的安全體系,還要考慮到執(zhí)行程序的員工的角色以及職責(zé)。例如,如果某個(gè)雇員可以接觸到實(shí)際的客戶數(shù)據(jù),那么他會(huì)不會(huì)利用工作之便取得這些數(shù)據(jù),這是一個(gè)不得不考慮的問(wèn)題。而采用一套合理的規(guī)則就成了防范此類時(shí)間發(fā)生的關(guān)鍵,例如,對(duì)那些可以解除到客戶數(shù)據(jù)的員工強(qiáng)制執(zhí)行“最低權(quán)限”可以有效的防止發(fā)生員工數(shù)據(jù)泄露事件,因?yàn)闊o(wú)論是誰(shuí),都可能因?yàn)樨澙坊蛘咂渌颢@得企業(yè)的數(shù)據(jù)。
可以肯定的是,這些數(shù)據(jù)所能驅(qū)動(dòng)的商業(yè)價(jià)值是肯定要遠(yuǎn)遠(yuǎn)超出部署安全體系所花費(fèi)的成本的。廠商通過(guò)分析數(shù)據(jù)來(lái)做出更好的商業(yè)決策就是一個(gè)很明顯的證據(jù)。就像商業(yè)情報(bào)提供商可以通過(guò)軟件來(lái)讓一家保險(xiǎn)公司利用客戶數(shù)據(jù)來(lái)取得更好的決策一樣,數(shù)據(jù)安全提供商也可以通過(guò)幫助企業(yè)保護(hù)他們的關(guān)鍵性數(shù)據(jù)來(lái)使企業(yè)充分利用這些數(shù)據(jù)做出最有利的決策,從而促進(jìn)整個(gè)企業(yè)的發(fā)展。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:構(gòu)建完整的企業(yè)信息安全被提上日程
本文網(wǎng)址:http://www.ezxoed.cn/html/solutions/1401931401.html