三花集团CIO叶根平：不容忽视的数据资产安全

随着移动互联网、云计算、大数据等创新技术应用的发展，在为企业发展和个人生活带来巨大便利的同时，数据泄露的风险也大大提升。

对此，三花集团CIO叶根平在2018 全国CIO大会上指出：“在企业信息安全规划中，应该投入更多的资源在数据和信息类资产的管理上。”

三花集团CIO叶根平

企业数据资产的保护需求凸显

对于很多企业来说，数据实际上是业务的核心。叶根平以知名手机制造商苹果公司为例：“苹果公司2014年年报的全部资产只有261.9亿美元，但是在2014年全球企业品牌价值排行榜上的品牌估值为 2188.63亿元美金。其中很多资产是以数据形态来承载的。”

叶根平称，企业在发展过程中由数据所承载的知识和智慧非常之多，而这部分数据资产，可能没有体现在财务报表里，甚至没有被认识到。

据介绍，企业的数据和信息类资产可分为四大类：

第一类是与创新相关的，包括专利、产品、软件代码等；

第二类是跟市场相关的，比如客户信息、需求以及项目资料等；

第三类业务层面的，包括管理平台所承载的材料、加工以及成本数据；

第四类是环境信息，比如行业分析、政策分析、趋势分析等。

而在数字化转型的过程中，信息和数据类资产已经成为企业价值的重要组成部分。

“现如今企业的信息安全威胁可以归结为数据和信息类资产所面临的各种内部和外部的威胁，尤其是内部威胁。” 叶根平表示。

内部防护是关键

根据调查显示，互联网接入后内部重要机密通过网络泄密而造成重大损失的事件中，只有1%是被黑客窃取或者外部窃取造成的，而97%都是由于内部员工有意或者无意之间泄露而造成的。

数据的泄露会对企业造成严重损失，为了更好地实现数据资产的管理，叶根平认为，企业需要应对以下几大挑战：

“首先是企业数据资产分布情况无法掌握。很多企业的信息资产分散各个系统之间，相互之间没有实现互联互通，也就是所谓的信息孤岛。这些系统可能已经有了十几年的历史，极有价值的信息被淹没在海量数据堆中，难以识别。”

其次是信息泄漏途径繁多，泄密无从追溯。

“对于一些重要的数据，在内部的移动轨迹没办法管理和控制，另外对于外泄情况一无所知，也没办法追溯。”

第三是网络界限不清，云计算打破了传统企业的信息网络边界。

“网络的互联性、共享性，导致企业缺乏有效的技术手段进行数据资产防护。在公有云环境中如何进行有效的数据防护也是值得考虑的。”

规划实施全面的数据安全管理

为了做好内部防护，企业应该规划并实施全面的数据安全管理， 叶根平认为可以概括为三个关键词，即全面、全程、全员：

1、全面规划。对企业的所有数据信息类资产或载体进行梳理，并确立分级管理，例如分为普通级、普密级、机密级、绝密级;

2、全程跟踪。对重点数据信息类资产逐步实施并实现采、存、移、用、毁全过程的轨迹可视化;

3、全员参与。特别是要完善对企业高授权人员涉密或泄密行为的管理，增加“追溯”的技术手段，设置“追责”的管理制度。

目前，三花集团已经开始对重点数据信息类资产及其载体进行梳理，并规划实施更完备的信息安全管理方案。比如，利用“文件基因”技术实现对重要数据文档的轨迹可视化，打造“云”环境下的“防火墙”等。

“云的数据保护不能单纯依赖于第三方或者依赖于运营商，比如利用防火墙可以及时发现公有云被入侵的行为。”叶根平指出。

其次，要坚定不移的落实执行事前防护、事中监控、事后追溯的数据和信息安全部署策略。

“过去我们更为侧重事前防护，没有企业数字资产分布图，也没有文件的流传轨迹可视化，通过加强事中的监管以及事后的追溯，来解除各种数据泄露的痛点，让数据自主、安全、可控。”

为此，三花集团正在实施构建企业级数据综合防护平台，从应用、数据和文件的存储、传输及使用等几个方面，为企业数据提供全方位无盲点的安全保护，确保在各种复杂业务场景下企业核心数字资产不被泄露和窃取，即便被泄露或窃取也可以有技术手段进行跟踪、追溯和取证。

（来源：企业网D1Net）