网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

数据泄露后果严重

4月23日，信息安全专家陆宝华和360集团信息安全中心负责人高雪峰分别接受了21世纪经济报道记者的采访，并围绕企业在数据安全管理方面暴露出的问题进行了分析。

两位受访者均认为，从其中的一些案例可以看出，企业对于一些文件的重要性没有做出准确的判断，也导致这些文件没有得到相应级别的保护。

陆宝华表示，实际上，国家对数据的分级保护有明确规定。如果涉及的是国家秘密，那国家保密局会对数据按照秘密级、机密级或者绝密级来严格划分，相对应的也会有不同的保护措施。

但现实中，绝大部分数据都属于企业的商业机密，无法上升到国家秘密的级别。对于这类信息，公安部、国家保密局等四部委曾于2007年下发过《信息安全等级保护管理办法》，它根据信息系统的重要程度及被破坏后的危害程度，将信息分为五个安全等级。

“该《办法》给企业提供了一个很好的参考标准。”陆宝华说，“比如一些数据泄露会导致企业垮掉，从而引发大批员工失业，这实际上对社会秩序产生了影响，那这些数据就至少应该定为二级。如果还有可能造成更严重的损害，那就需要定到三级，甚至四级。”

国家虽然对数据安全的分级保护做出了引导，但具体实施中还是坚持自主定级、自主保护的原则，因为不同企业对数据的依赖性也有所区别，尤其是一些跨国企业，它的数据涉及到多方国家，这更需要企业自己去衡量。

可自主性太强，也导致在信息安全保护在实际操作中，情况很不乐观。高雪峰告诉记者，在做企业安全工作时，遇到的最大的挑战就是企业缺乏安全意识。“没有事情发生的时候，去跟企业强调数据安全或者网络安全，他们都不会太在意。因为不管什么级别的信息防护，都需要投入成本，如果没有事件发生，有些企业总觉得这部分成本被浪费了。”

这就像是一场赌博，很多企业平日里安全意识不够强，可核心数据一旦泄露，引发的后果往往非常严重。正因为网络安全行业存在这种博弈的状态，使得整个行业的发展，通常会被安全事件所驱动。

据陆宝华介绍，网络安全产业的发展经历过多个阶段，其中有一半的节点是以事件为驱动。比如2001年到2002年间爆发的“红色代码”等病毒，让大家重视起病毒防护；2013年爆发的斯诺登事件，让更多人意识到数据安全的重要性。

俗话说“吃一堑长一智”，企业也是如此。“很多企业在经历过事件之后，在这方面肯定也会加强防护。我们走访很多企业，那些对于办公区隔离保护做得非常严格的，基本都是之前吃过亏。”高雪峰表示。

“人”是最大风险

除了公司层面需要加强安全管理外，高雪峰坦言，在数据安全防护工作中，人的安全意识是最大风险点。“我看到过很多出现安全问题的案列，刨根问底后发现，最主要的原因都是来自于人。比如有的是故意泄露，有的是电脑被入侵，还有的是把机密文件随意给外人看等。”

高雪峰认为，人的意识确实很难标准化管理，所以企业一方面要加强对员工的安全意识培训，让他们意识到哪些数据是重要的以及哪些行为可能引发数据泄露。同时，企业也需要建立一定的惩罚机制，这样员工才会对安全问题更加上心。

对此，陆宝华提出，企业通过技术手段来加强安全防范，也能有效降低人为因素而产生的风险。比如在公司内部，通过技术检查是可以发现网络有没有非法外联、计算机的各种移动介质接口有没有封堵等，这些技术漏洞，往往是导致员工无意识泄露的根本原因。

而在公司外部的数据传输方面，陆宝华认为，即使员工将重要信息直接存放在电脑中也是不正确的。一方面不能直接用计算机带出，另外如果要带出，可以利用加密信道，发送至可信的机构。

“对于一些重要的文件，最好是存放在单独的可加密的介质中，因为电脑涉及到系统安全，外人可以通过一些系统漏洞拿到里面的文件，所以电脑存放是有一定风险的。”

综上可看出，网络安全管理是件环环相扣的事情，任何一个环节的失误，都可能导致全盘皆输。高雪峰告诉记者，从攻防角度来说，没人敢说能做到百分之百的安全，包括上文提及的人为因素，都是不可控的。但不能因为这样，其他的安全防护工作就不做了。

对于中国网络安全的现状，高雪峰表示，一方面需要企业强化自身的安全管理；另一方面，也需要国家进一步完善相关法律。“去年推出的网络安全法是一个很大的进步，但是，真正涉及到不同公司和行业时，还是缺少一些细化的标准。”