#数据安全防护是被动的“堵”还是主动的“防”#
2020-05-12 07:43:46
数据安全防护应是主动的“防”而非被动的“堵”。以下从威胁来源、防护效果、成本效率及技术趋势四个方面展开分析:
一、被动“堵”的局限性内部威胁难以阻断80%的数据泄露案件由内部员工引发,包括主动泄密或无意操作。单纯封堵网络边界(如防火墙、禁用U盘)无法应对内部人员通过物理拷贝、移动设备或远程连接窃取数据的行为。例如,员工可通过连接笔记本电脑直接拷贝数樱陵据,或利用个人邮箱、即时通讯工具外传文件。
业务效率与安全成本失衡过度封堵(如禁用互联网、USB接口)会严重干扰内部协作与移动办公需求,导致工作效率下降。同时,企业需投入大量IT资源管理封堵措施,增加运维成本,但实际防护效果有限。
技术漏洞的不可控性封堵策略依赖对已知威胁的防御,而新型攻击手段(如零日漏洞、社会工程学)可能绕过边界控制。例如,2011年苹果员工通过内部系统泄露机密信息,2012年东软集团技术被窃,均表明单纯封堵无法应对内部或高级持续性威胁(APT)。
全生命周期数据管控主动防御通过技术手段(如DLP文档加密)对电子文档从创建到销毁的全过程实施保护。透明加密技术确保文档在存储、传输、使用中始终处于加密状态,即使被非法获取也无法解读,从根源上消除数据泄露风险。
行为审计与溯源能力主动防御体系包含详细的操作日志记录,可追踪文档的访问、修改、传输等行为。一旦发生异常操作,企业能快速定位责任人并采取措施,形成“事前预防、事中监控、事后追溯”的闭环管理。
适应非结构化数据主导的场景企业核心数据中80%为非结构化数据(如电子文档),存储于电脑、U盘、邮件等终端。DLP技术针对此类数据设计,通过加密、权限控制等手段实现精细化防护,而传统数据库安全措施(如结构化数据防护)仅覆盖20%的数据,防护范围严重不足。
技术层面:部署DLP文档加密系统
透明加密:文档创建时自动加密,用户无感知,不影响正常办公。
权限控制:根据角色分配文档访问权限,防止越权操作。
日志审计:记录所有操作行为,支持合规审查与事件溯源。
离线管控:即使设备离线,加密文档仍受保护,防止数据外泄。
制度层面:完善保密体系
制定保密制度:明确数据分类、访问权限、泄密责任等规则。
员工培训:定期开展安全意识教育,降低无意泄密风险。
竞业协议:与核心员工签订保密合同,约束离职后行为。
法律层面:弥补合规短板尽管我国商业秘密保护法律尚不完善,但企业可通过主动防御降低泄密损失,并在合同中约定违约赔偿条款,增强法律威慑力。
- 苹果公司案例:2011年因员工泄密损失240.9万美元,暴露封堵策略对内部威胁的失效。
- 东软集团案例:2012年技术被盗导手雹致1470余万元损失,说明单纯依赖物理封堵无法应对高级攻击。
- 主动防御优势:若采用DLP技术,即使员工尝试外传文档,加密状态也会使其无法解读,从而避免损失。
数据安全防护需从被动“堵”转向主动“防”,通过技术(DLP加密)、制度(保密体系)、法律(合同约束)三管齐下,构建覆盖数据全生命周期的防护体系。主动防御不仅能降低泄密风险,还能平衡安全与脊薯戚效率,帮助企业在激烈竞争中维护核心利益。
热门标签
