如何打造企业数字化护城河—

数字时代，一切皆数字化，万物均连接，数据已经无处不在。在数据需流动和共享的背景下，数字化为企业带来无限发展机遇的同时，也产生大量的网络攻击、信息泄露、商业入侵、病毒威胁等网络安全与数据安全险。无论过去还是现在，抑或未来，如何更安全地运用数据，实现高效安全的数据资产管理。应该一直是企业需要绷紧的一根弦。企业数字化绕不开数据安全。

保障信息安全，加强信息安全管理体系建设，筑牢数字化的基座

数字化实践表明，信息安全不是简单的安全产品堆砌，而是企业展中极其重要的体系建设，这是包括管理理念和云端安全技术等整合一体式安全工程。许多企业对信息安全的重视度不够，IT部门也只是用心部署一些安全防护产品了事。比如，我们经常看到一些企业IT部防火墙来做隔离防护带，防火墙基本上只能感知已知的危险，要防止针对性攻击或利用未知漏洞的威胁方面则是远远不够的。即便如此企业的电脑端、移动端等几乎是全开放的，就如同在广袤无际的草原用几根篱笆圈住了羊，而所有通往羊圈的出入口都是毫无防备的，周围都是伺机扑食的狼，这样的后果可想而知，毫无安全可言。

信息安全的目标就是要保障信息的一致性、完整性、可用性。只有从管理和云端技术两个维度着手建符合企业自身需要的信息安全管理体系，才能充分保障企业数据的安全，才能合理管控企业运营风险。

建立业务信管和专业技防相结合的信息安全管理体系

随着企业数字化加深和全球化竞争的加剧，网络环境的不安全因素会来越多、因此，信息安全工作必须常抓不懈，而建立常设的组织和明确的安全管理机制是实现常抓不懈的最有效途径。

企业要从业务管理角度制定信息安全政策、策略方针，推动业务领域的信管职责的落地和信管工作的落实，负责安全审计、重大事件的追踪调查。在业务领域设立专职或兼职的信息安全专员，负责监督本领域信息安全制度规范的建设和落实公司信息安全的管理要求。监控本领域信息安全的状况，并协助信息安全部进行审计调查工作等。信息安全需要有统筹全局、与各业务一把手对话的能力，把信息安全部独立出来，赋予他直接向公司总裁汇报的通道和权力，是把信息安全工作上升到业务运营安全的高度来对待，对它充分授权。

安全无小事、尤其是现在的商业环境非常复杂，商业间谍、商业贿赂、知识产权纠纷等乱象频发，企业领导者需要对安全进行全方位的关注.发现管理漏洞、降低信息安全风险，技术实现只是其中的一个环节，还需要从业务和管理上（如监督、审计、流程优化等方面）全方位提升信息安全水平。

需要指出的是，企业信息安全不是单纯靠一两个专业的机构、组织或者几条腿就够建设完成的，需要公司上下全体主管和员工共同努力，加强信息和文化建设，因为"堡垒往往是从内部攻破的"。企业要从新员工入职对其进行信息安全和商业行为准则的培训，告知员工信息安全的红线，帮助他们树立安全意识。

核心数据资产安全优先，非核心资产效率优先

信息安全上要学会"灰度"，就是要防止过度防御，一定要明确防范谁和防范什么内容，要坚决避免没有轻重缓急的一刀切式的防御方式。

例如企业管理过程中的相关文档在存储、传递过程中由于缺乏安全控制措施，常常出现非法或者内容泄密，有时内部文件刚出来就被传到外部网络上，或者出现在对手的办公室，对企业的经营造成不良影响。为了防止文档泄密，有的企业会引进一套文档加密系统，并嵌套到微软Office软件中。信息安全部制定了文档加密的规定，要求文档创建者对文档安全负责，只有创建人授权才能访问该文档。在系统上线后，几乎所有文档都被要求加密授权访问，这种情况下一刀切加密的结果是，文档无法在内部正常地合理流动。例如某位员工写了一篇工作总结上交主管，主管觉得不错，想把文档分享给部门其他主管和员工，但其他人没有查看权限，必须找到这位员工重新要授权。这样，内部工作效率大幅度降低，业务人员纷纷抱怨信息安全策略已经严重影响正常工作。

所以信息安全部门要重新调整安全策略，例如只针对机密级资料和绝密级资料进行加密，明确要求其他文档不允许加密;同时机密级资料和绝密级资料的加密策略也进行了大量简化，在安全和效率上找到新的平衡点，业务效率问题得到了较好的解决。同时，为了防止这类问题再次出现，企业要把"协同工作效率提升"作为考核指标纳入信息安全管理部门的关键绩效指标，以此约束信息安全工作必须时刻考虑效率提升，避免防卫过度。

企业要定义好信息密级标准，业务相关人员根据密级标准识别数据的安全等级。企业需要根据信息的安全分级对不同等级的数据采取各自相适配的安全策略，以便在安全与成本、安全与效率上取得平衡。对于非机密文档要以效率优先为原则，对于核心资产的管理就应该以安全优先。

内外兼顾，构建防泄密、防攻击、防IT 特权和安全运营监控四位一体的安全环境

除了前面提到的核心数据资产须加密及最小化权限访问原则，从安全聚焦的核心内容来看，企业的信息安全策略还要在防泄密、防攻击、防IT特权和安全运营监控4个方面下功夫。信息安全工作抓两头——一头是人、一头是数据。这就要求企业以业务安全发展为导向，以人和数据为天平的两端，内外兼顾，持续进行安全治理和体系化建设。

1.防泄密

除了非常有针对性的商业入侵或政治入侵，信息安全事故的发生大多数为内部人员有意或无意造成的。例如弱账号口令问题是很多泄密的源头，文印和非法复制是故意泄密的主要途径等。因此，防泄密做好了，也有利及时发现和有效阻止外部攻击。

为了防止泄密，所有需要访问网络和数据的内部员工、合作伙伴等，要统一身份及鉴权管理。基于授权访问数据、实现所有访问留痕等，通过用户的分析建立基于角色和基于人的网络行为分析管理，对容易出现高频泄密事件的地方加强安全改进和安全监控，对用户的不合理行为进行例行化可计，防止内部泄密;同时，也要对机密数据进行加解密。

2.防攻击

企业可以通过对终端设备的安全加固、数据的存储加密、数据访问防屏控与防护、邮件安全检查、网络流量的感知实现全网安全协防，建立云防御屏障、强化企业的防攻击能力。

3.防IT特权

防IT特权，具体是指规范IT运行维护管理，严格控制超级权限的使用和数据访问，加强审计，确保IT 超级权限的安全管理。许多企业还没有认识到防IT特权的重要性，但企业数字化转型后，由于保密数据已经数字化、如公司经营数据、产品价格和成本、公司产品路标规产品代码等。如果没有建立基于时间、地点和任务场景的特权使用规则，没有使用权和管理权的分离，就难以避免信息滥用的风险。

4.安全运营监控

从信息安全发展来看，安全运营监控未来在安全监控领域会有更大的发展空间和潜力。企业要将信息安全策略一致性检查、安全风险评估等日常安全管理例行化，将海量日志和安全事件的管理、监控、分析、预警和事后技术调查制度化。

信息安全不是某个部门的责任，而是企业重大的系统工程，要用架构性思维方法，从整体来看如何构建信息安全环境，如何在云、管、端各环节建立基于关键资产、精准防御的技术安全体系。

综上所述，信息安全的使命就是打造企业数字化的护城河。企业的信息安全要围绕降低业务运营的风险和保护公司数据资产开展，持续提升数据保护和安全运营能力，在安全建设中力求做好效率和成本方面在内部达成共识∶没有绝对安全!从本质上讲，安全就是以风险管理为基础，聚焦核心数据安全，处理非核心数据的安全时以效优先。兼顾安全、效率和成本之间的均衡才是正确的路径。