当前现有的数据安全技术与数据库安全保护技术,能够在一定程度上满足人们对数据安全的普通需求。但数据安全管理措施同样是确保数据安全的一个重要环节。数据安全不仅仅是技术问题,同时也是管理问题。
在如今各行业当中,计算机的普遍使用使数据安全逐渐成为一个重点课题。云计算、虚拟化、移动化概念的层出不穷,促进信息化的不断提升。据数据显示,各行业单位中办公人员的电脑使用率已经达到95%以上,这么高的电脑使用率给数据的安全性带来了严重的威胁。
数据是任何行业单位的命脉,例如电子邮件、内部文档等都是重点数据,没有它们就无法顺利运作。信息也是资产的观念已被各行业单位所认可,那么如何保护“信息资产”成为数据安全的重中之重。
数据安全威胁的源头在哪?
当前面临的数据安全威胁大概可以分为内部、外部还有所选存储备份设备的缺陷三种类型引起的:
1、内部管理及数据安全防范方面
内部第三方运维人员流动性是极强的,随着项目核心人员的离任不能排除会有相关的重要数据的丢失或泄密的事件发生;
在PC的运行和使用过程中由于误操作而造成数据损坏或丢失;
在数据共享过程中如果没有相应的防误措施,极有可能会出现相关重要数据的外泄;
工作平台的损坏如PC、磁盘等造成数据的损坏或丢失;
2、外部方面
病毒入侵、黑客攻击等,都极有可能会导致重要数据的丢失、泄密或是损坏;
内部设计人员受其他人员的“利诱”,而造成重要数据的泄密或丢失;
遭遇天灾如雷击,而造成设计平台损坏而导致数据丢失;
设备被盗取而导致重要数据的泄密。
破坏分子或竞争对手利用网络攻击或从网上窃取内部资料。还有诸如DOS攻击、流量攻击、注入攻击等致使计算机停止运行停止工作的各种网络威胁。
3、数据备份方面
没有进行定期进行数据备份和异地备份。
部分单位在技术防范上下了很大功夫,部署了防火墙、IPS、IDS、防病毒网关、备份系统等等一系列的安全设备,由外部技术攻击引起的数据安全问题已经越来越少,目前,绝大多数的数据安全问题是由管理不善导致的。据调查分析,因管理问题产生数据安全事故多达79%。
1、管理认识不足,认为信息安全与我无关
当前很多人由于对数据安全的重要性知之甚少,接触不多,长期以来形成了数据安全管理是少数从事专业工作人员的事情,与自己的工作生活无关的错误认识。部分单位的领导不注重在数据安全上下功夫真抓实管,没有把思想意识提高到确保数据安全就是确保本单位利益的高度上来。存在对本单位现有的信息资源学习应用及管理力度不够,对本单位成员随意处理信息现象管理不严的安伞隐患等问题。
2、认为确保数据安全就是防病毒与备份,没有必要应用新手段
在当前,我们使用的计算机最常见的故障就是计算机病毒的侵入。由于计算机病毒侵入经常会给用户带去惨重的损失,媒体的宣传报道也对计算机病毒给予了极大的关注。所以,人们最直观的印象就是:数据安全就是防计算机病毒。从而认为计算机病毒和人患感冒一样没什么大不了,只要有杀毒软件存在,就可以高枕无忧。这些错误观念和认识使人们忘记了信息传播的多元性,淡化了数据安全的重要性,淡化了对信息泄漏的警惕性,从而削弱了数据安全管理工作的力度。
3、数据安全的法规制度有待健全和落实
当前,人们并没有把数据安全管理当作是新时期管理工作中出现的新问题、新内容来看待。出现了对已有相关法规制度的学习不舍得下功夫、对数据安全的教育不能深入细致、对信息资源的正确应用和对成员处理信息的管理控制不力等问题,从而导致成员认为无规章制度来遵守和执行,无过细的规章制度可供遵照执行。这种对数据安全管理的相关规章制度不学习、不知道、不执行、不遵守的现象较为普遍。
那么,如何应对数据安全管理上的松散现象,加强各单位的数据安全管理工作呢?
面对数据安全管理中存在的诸多问题,各单位必须要充分认识做好数据安全管理工作的重要性,切实加强教育,强化管理,狠抓技术技能的提高和信息管理人才队伍的建设,不断提高确保数据安全的能力和本领。
1、 从思想入手,切实增强数据安全管理意识
首先应当在各单位内部营造数据安全管理的氛围。要开展针对性、科学性强的多种形式的宣传教育活动。结合典型的事例,提高成员对数据安全重要性和危害性的认识,并结合信息时代的形势和特点,有效地开展技术安全教育和安全管理教育。二是建立完善数据安全保密教育制度。实现数据安全保密教育的制度化、规范化、经常化是当前对安全工作的明确要求,也是强化数据安全工作的迫切需要。为此,必须明确教育任务,严密教育,优化教育形式,切实在增长知识、强化意识、提高认识上下功夫。
2、 从秩序入手,切实加大数据安全管理力度
首先要加强对各类涉及敏感信息的人员管理,其次要加强对载有敏感信息的设备、没施的管理。管理者要做到定期检查、不定期检查和实时跟踪检查的相互结合。对涉及敏感信息的人员,要按照有关规定使用设备,不随意在任何场合谈论敏感信息、不将涉及敏感信息的资料私自带出办公场所。平时对涉及敏感信息的各行业单位、设备、设施,要加强网络安全防护建设,在内部局域网和终端要安装防火墙、入侵检测、防病毒软件和电磁辐射干扰器。除此之外,还应在内部建立健全数据安全管理制度和技术标准,按照分级负责的原则构建数据安全管理体系。
3、从人才入手,切实提高数据安全管理能力
加强对数据安全管理人才的培养,是确保数据安全的重要手段。应合理利用人力资源,培养人员并使懂技术的人员为数据安全管理服务。应当客观看待数据安全管理人才,着力提高其素质,既要注意培养高层次个体的信息化安全管理人才,又要善于站在“优秀”的高度来审视群体的信息化安全管理人才,科学筹划,认真设计,精心培养。
目前,威胁数据安全的因素涉及人为因素、环境因素、技术因素等各个方面,点多面广,难于管控。但是我们应该加强数据安全的管理工作,切实遵守《网络安全法》,来确保各行业单位和公民数据的安全可靠。
