6月1日《网络安全法》的正式施行,标志着中国信息安全进入一个有法可依的新时代。《网络安全法》对公民个人信息安全、企业信息安全以及国民经济基础行业信息安全都做了明确而具体的规定,极大地推动了中国信息安全的发展历程。
具体到企业层面,《网络安全法》围绕“以数据为中心的安全”做了广泛而具体的规定,《网络安全法》的第二十一条对数据安全作出明确说明:网络运营者应当按照网络安全等级保护制度的要求,防止网络数据泄露或者被窃取、篡改。采取数据分类、重要数据备份和加密等措施。这充分说明了企业数据安全、企业信息安全已经成为关乎国计民生的重要方面。而从企业自身来说,如何防止公司重要数据泄密、防止公司信息泄密,已经成为保护企业未来市场竞争的重要法宝,甚至关系到企业的生死存亡。
《网络安全法》第一次对责任主体进行了规定,而且以往网络安全强调以技术为重,现在则开始强调管理主体的网络安全管理意识的重要性,因为实际操作层面,如果单位管理层的网络安全意识缺乏或严重不足,则将会导致整体数据安全保护工作的滞后,甚至导致整个数据安全保护系统无从建立。
这一次,《网络安全法》将责任主体点明落实到了公安、企业、个人等各层面主体身上。网络安全专家表示,《网络安全法》看重的,不是某个数据的安全、某个系统的安全,而是整个组织的安全。主体需要负起责任,“比如平台上信息泄露,作为运营者,也许昨天你的不作为,没有任何关系。但从今天起,你不作为就将承担责任。”这使得,企业的信息安全不仅关乎自身,而且还要承担因为自身原因导致的关联单位、社会个体等引发的信息安全责任。
以单位为主体负责的安全,不仅仅能够抵抗外部的攻击,事实上,数据安全威胁更多时候还来自内部,这个比例往往高于来自外部的有意攻击。内部的威胁,不仅仅是窃取,还有滥用和误用。据第三方统计,当前企业数据泄密、公司商业机密泄漏的80%都是由内部员工引发的。防止企业内部员工泄密已经成为当前公司信息防泄密、企业文件防泄密的重要着眼点。
大势至(北京)软件工程有限公司作为国内最早的上网行为管理软件、信息安全产品研发厂家,很早就基于以企业数据为中心的安全理念,研发了一系列的数据防泄密产品,实现了对重要数据全生命周期的安全保护,并且在全力确保企业数据安全的同时,进一步加强了对企业局域网电脑、移动设备的系统安全。通过系统安全和数据安全,最大限度上实现了公司数据防泄密、企业数据防泄漏的安全保护。
针对公司内部数据防泄漏(比如防窃取)。大势至公司推出了“大势至电脑文件防泄密系统”(下载地址:http://www.grablan.com/monitorusb.html),只需要在电脑安装之后,就可以全面防止电脑数据通过各种途径泄密出去。系统不仅不可以完全禁止U盘使用、禁用USB存储设备,而且还可以实现对USB存储设备的精细管理,可以只让从U盘向电脑复制文件而禁止从电脑向U盘复制文件,或者只允许特定U盘使用等,不仅防止了U盘泄密,也达到了一定情况下可以灵活使用U盘的目的。如下图所示:
图:大势至数据防泄漏产品
此外,本系统还可以禁止发送邮件(可以允许特定邮箱使用)、禁止向网盘上传文件、禁止FTP文件上传以及禁止QQ发送离线文件、禁止QQ群上传文件以及禁止微信发送文件等,防止各种网络应用泄密的行为。
而对于企业局域网滥用或误用文件的行为,尤其是不适当或越权访问共享文件的行为,将会给企业数据安全带来严重风险。这是因为,一方面企业局域网共享文件常常是单位的无形资产和商业机密数据;另一方面,一旦员工不小心或故意删除、恶意修改共享文件,将会导致共享文件彻底丢失而无法恢复,这样给企业信息安全带来巨大风险。
有鉴于此,大势至公司独家推出了国内首款专门保护服务器共享文件安全的专门软件——大势至局域网共享文件管理系统(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),通过在共享文件服务器上安装之后,就可以自动扫描到当前所有的共享文件夹列表,以及服务器上所有账户,然后勾选就可以设置用户访问共享文件的访问权限,可以独家实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,从而极大地保护了服务共享文件的安全,这些功能是操作系统和Windows域控制器都无法实现的。如下图所示:
图:大势至文件共享管理系统
总之,企业数据安全管理解决方案的真正实现,一方面需要充分建立严格的企业数据安全管理制度,并借助于《网络安全法》进一步上升到法律层面加以明确和执行;另一方面也需要借助一些电脑文件防泄密系统、公司数据防泄密产品,从技术层面进一步加强管控,只有这样才能最大限度保护企业数据安全,防止数据泄密行为的发生,为企业的稳健经营保驾护航。