從自動(dòng)駕駛汽車到數(shù)十億物聯(lián)網(wǎng)設(shè)備，從全自動(dòng)化工廠到數(shù)百萬(wàn)個(gè)筆記本電腦和移動(dòng)應(yīng)用，未來(lái)將是萬(wàn)物自動(dòng)互聯(lián)的世界。各種數(shù)字接觸點(diǎn)產(chǎn)生了海量數(shù)據(jù)，并在云端、物聯(lián)網(wǎng)和各種移動(dòng)設(shè)備之間傳輸，但數(shù)據(jù)安全否得到保護(hù)卻不得而知。

當(dāng)下，數(shù)據(jù)無(wú)疑對(duì)任何企業(yè)和個(gè)人來(lái)說(shuō)都是最重要的資產(chǎn)——它不僅關(guān)系到個(gè)人在數(shù)字世界中的存在，還包括為企業(yè)帶來(lái)的前所未有的巨大商機(jī)。數(shù)據(jù)隱私一直是數(shù)百萬(wàn)企業(yè)和數(shù)億消費(fèi)者的隱憂，這是由于他們對(duì)數(shù)字環(huán)境中的個(gè)人信息收集、使用、整理、處理或共享狀態(tài)僅有有限的了解。

在2016年，歐 盟 出臺(tái)了《通用數(shù)據(jù)保護(hù)條例(GDPR)》，重點(diǎn)針對(duì)數(shù)據(jù)安全和隱私保護(hù)問(wèn)題。該條例的基本理念強(qiáng)調(diào)，數(shù)據(jù)隱私是公民的基本權(quán)利，企業(yè)有責(zé)任部署數(shù)據(jù)隱私策略，積極確保數(shù)據(jù)安全，并將數(shù)據(jù)隱私安全嵌入設(shè)計(jì)之初。同時(shí)，在2016年，中國(guó)政府制定了網(wǎng)絡(luò)安全法，旨在統(tǒng)一規(guī)范企業(yè)對(duì)個(gè)人信息的收集和使用標(biāo)準(zhǔn)。該法律規(guī)定，在中國(guó)的企業(yè)不僅需要重視“數(shù)據(jù)安全”，同樣需要保護(hù)“個(gè)人隱私”。

以信息為中心的安全策略的重要性

過(guò)去，企業(yè)依賴網(wǎng)絡(luò)邊界來(lái)保護(hù)機(jī)密信息的完整性，但這種傳統(tǒng)措施已無(wú)法滿足當(dāng)今的保護(hù)需求。如今，傳統(tǒng)防線之外的數(shù)據(jù)不斷飆升，網(wǎng)絡(luò)犯罪分子虎視眈眈，伺機(jī)而動(dòng)，企業(yè)必須實(shí)施端到端的安全防護(hù)。如果不能妥善保護(hù)信息安全，企業(yè)將面臨的不僅是前所未有的資產(chǎn)損失，還會(huì)導(dǎo)致品牌和聲譽(yù)因數(shù)據(jù)泄露而嚴(yán)重受損。

賽門鐵克認(rèn)為，不以設(shè)備、網(wǎng)絡(luò)或用戶為中心，但以數(shù)據(jù)為中心的信息保護(hù)策略能夠應(yīng)對(duì)企業(yè)面臨的諸多數(shù)據(jù)保護(hù)挑戰(zhàn)，即“Information Centric Security，以信息為中心的安全防護(hù)”。本質(zhì)上，“以信息為中心”安全策略是運(yùn)用一系列信息保護(hù)技術(shù)對(duì)任何位置和任何訪問(wèn)者的個(gè)人敏感數(shù)據(jù)提供全面的保護(hù)。

這也標(biāo)志著一種全新信息安全保護(hù)措施的誕生。現(xiàn)在許多數(shù)據(jù)保護(hù)系統(tǒng)都專注于數(shù)據(jù)存儲(chǔ)庫(kù)（如網(wǎng)絡(luò)存儲(chǔ)）、數(shù)據(jù)傳輸機(jī)制（如電子郵件）或應(yīng)用（如財(cái)務(wù)系統(tǒng)），而非數(shù)據(jù)本身。而以信息為中心的安全策略能夠結(jié)合不同技術(shù)，利用自動(dòng)化或基于用戶的分類和識(shí)別技術(shù)，覆蓋電腦、服務(wù)器、電子郵件系統(tǒng)、設(shè)備及云，發(fā)現(xiàn)閑置、使用或傳輸中的敏感和個(gè)人數(shù)據(jù)，并在集中的用戶監(jiān)控下，基于策略，通過(guò)自動(dòng)加密和數(shù)字權(quán)限管理來(lái)保護(hù)數(shù)據(jù)。

以下是部署以信息為中心的安全策略的五個(gè)步驟：

1.根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)對(duì)信息資產(chǎn)進(jìn)行優(yōu)先級(jí)劃分

首要的第一步，企業(yè)需要投入足夠的時(shí)間和精力來(lái)判斷哪些數(shù)據(jù)對(duì)他們而言更具有價(jià)值，評(píng)估數(shù)據(jù)泄漏所可能造成的潛在業(yè)務(wù)風(fēng)險(xiǎn)。任何有關(guān)企業(yè)安全的對(duì)話都應(yīng)當(dāng)從這一步開(kāi)始。這一步的最終目的在于明確需要保護(hù)的數(shù)據(jù)及其業(yè)務(wù)價(jià)值。

因此，企業(yè)需要首先識(shí)別最為重要的信息資產(chǎn)，并進(jìn)行優(yōu)先級(jí)劃分，而這將在企業(yè)通過(guò)采取多層控制和保護(hù)措施的整體數(shù)據(jù)保護(hù)策略實(shí)施之下，且覆蓋整個(gè)數(shù)據(jù)生命周期。同時(shí)，安全團(tuán)隊(duì)需要與日常接觸信息最多的業(yè)務(wù)領(lǐng)導(dǎo)者緊密協(xié)作，從而充分了解業(yè)務(wù)需求及其對(duì)日常運(yùn)營(yíng)、員工行為和企業(yè)文化的影響。

2.為最重要的資產(chǎn)制定數(shù)據(jù)保護(hù)策略

企業(yè)機(jī)密信息可以被存儲(chǔ)在企業(yè)的任何一個(gè)角落。要想做到全程跟蹤，制定一對(duì)一保護(hù)政策極其困難。賽門鐵克建議，企業(yè)需要對(duì)主要信息類型進(jìn)行排名，如企業(yè)財(cái)務(wù)、工程計(jì)劃、客戶個(gè)人身份信息等，然后根據(jù)優(yōu)先級(jí)重新排序，并監(jiān)控電子郵件、網(wǎng)頁(yè)、云應(yīng)用和端點(diǎn)等高流量渠道。

下一步，企業(yè)應(yīng)確定策略的部署時(shí)間，根據(jù)實(shí)際情況留出充足的時(shí)間，這將幫助安全團(tuán)隊(duì)優(yōu)化新策略并盡量減少誤報(bào)，同時(shí)讓各業(yè)務(wù)部門為適應(yīng)流程變更做準(zhǔn)備。

3.技術(shù)與策略雙管齊下改變員工行為

事實(shí)上，企業(yè)最大的安全漏洞是自己的員工。長(zhǎng)期以來(lái)，許多員工對(duì)安全實(shí)踐并不上心，例如重復(fù)使用弱密碼、點(diǎn)擊惡意鏈接和隨意共享文件等不良習(xí)慣屢絕不止。相比強(qiáng)制實(shí)施的法律、法規(guī)和政策，技術(shù)與流程的恰當(dāng)結(jié)合則更加有效，能夠引導(dǎo)正確的員工行為，降低業(yè)務(wù)風(fēng)險(xiǎn)，例如在使用特定窗口之后部署密碼管理策略，實(shí)施強(qiáng)制的密碼要求。

賽門鐵克建議，企業(yè)不要局限于基本的網(wǎng)絡(luò)和應(yīng)用安全，比如防火墻和入侵檢測(cè)系統(tǒng)等，應(yīng)利用“以數(shù)據(jù)為中心”的安全策略為信息資產(chǎn)實(shí)施特定的保護(hù)，比如多因素身份驗(yàn)證、數(shù)據(jù)防泄漏防護(hù)、云訪問(wèn)安全、加密和數(shù)字權(quán)限管理。

4.將數(shù)據(jù)保護(hù)實(shí)踐集成到業(yè)務(wù)流程中

如果與業(yè)務(wù)流程無(wú)交集，那么數(shù)據(jù)安全技術(shù)的有效性將會(huì)被大打折扣。若要數(shù)據(jù)保護(hù)策略順利實(shí)施，企業(yè)必須考慮哪些業(yè)務(wù)流程是管理信息資產(chǎn)用途的關(guān)鍵點(diǎn)，例如產(chǎn)品開(kāi)發(fā)、風(fēng)險(xiǎn)、合規(guī)和法律。企業(yè)需要將數(shù)據(jù)保護(hù)流程與業(yè)務(wù)流程和現(xiàn)行法規(guī)相融合，才能夠獲得最佳的安全防護(hù)。

5.創(chuàng)建企業(yè)數(shù)據(jù)安全文化

成功的數(shù)據(jù)保護(hù)策略不僅需要技術(shù)和流程，確保信息資產(chǎn)安全，還離不開(kāi)企業(yè)內(nèi)部的共同努力和責(zé)任共享。制定或加強(qiáng)企業(yè)內(nèi)部的宣傳戰(zhàn)略十分重要，這將提高員工對(duì)敏感數(shù)據(jù)的理解，提升對(duì)數(shù)據(jù)保護(hù)的責(zé)任感，以及對(duì)數(shù)據(jù)泄露后果影響的進(jìn)一步了解。

可以說(shuō)，樹(shù)立正確的數(shù)據(jù)保護(hù)意識(shí)，從未像現(xiàn)在一樣如此重要?？紤]到愈加嚴(yán)格的監(jiān)管環(huán)境和嚴(yán)厲懲罰，以及發(fā)生數(shù)據(jù)泄露事件后帶來(lái)的品牌受損，構(gòu)建全面的信息保護(hù)策略應(yīng)成為所有企業(yè)在2018年的首要任務(wù)。