数据安全：企业信息化的关键

　　致力于提供安全方案的RSA实验室的一项调查发现，2008年最重大的数据泄露事故将由企业自身引发。因为随着企业员工对互联网依赖程度的加深，数据泄露可能在员工执行动机良好，但是实际是危险的行为时发生，例如向个人电子邮箱发送工作文档，或者打开个人计算机收到的邮件等。

　　虚拟化可能是IT的未来，但也是一个重要的挑战，因为在虚拟化时代，数据访问变得越来越容易，数据中心虚拟化方面的重大问题将是安全问题。

　　数据库确实是一座金矿，里面有大量的信用卡资料、社会保险数据和其他个人身份信息。数据大集中虽然简化了应用，但是也增加了安全事件发生时的损失。黑客们很乐意只要一次入侵就可以获得一家企业的一切信息。所以2008年，对企业而言数据库的防护将成为重中之重。专家认为，盗窃数据对大型企业提出了巨大的挑战，因为它们一般都拥有少则十几个，多则上百个数据库，而这些数据库对大多数安全人员而言还是一个未知的领域，无论是大型企业还是中小企业都会主动加大数据库安全的投入。

　　另外安全研究人员还发现，2008年将有更多的攻击针对中小型企业，因为大型企业虽然数据高度集中，但目前已经调整了安全策略，使得入侵难度加大，而由于中小型企业也正在实施虚拟化和数据集中，安全意识又没有达到应有的高度，没有对黑客攻击做相应的准备，所以中小企业开始引起黑客的浓厚兴趣。

　　数据安全的风险来自于两个方面：一方面是数据本身是否安全，也就是说数据是否加密；另一方面则在于访问数据的人是否得到了授权。为了解决关键业务的数据安全问题，对数据系统进行全面、可靠、安全和多层次备份是必不可少的。除此以外，各种安全产品，无论防火墙、防病毒、防黑客、防入侵等等，都或多或少地肩负着一些保护数据的责任。从保护数据的角度讲，对数据安全这个广义概念，又可以细分为三部分：数据加密、数据传输安全和身份认证管理。

　　当然，并非所有数据都要用同一种方式来保护，毕竟在保障数据安全的同时，也要考虑使用便捷。比如你可以给房子大门上锁，再给房间门上锁，再给抽屉上锁，再在抽屉里放个密码保险盒，然后把每天戴的手表放在里面，这确实太繁琐了。同样，一些数据不必要用最高级别的加密技术，以增加访问的便捷性。

　　所以对于企业而言，要保护自己的数据，又要保持数据应用便捷，就应该开发一个按信息敏感度分级的系统，以确定哪些数据是黑客最想获得的。除了信用卡资料和社会保险号码之外，多数公司还会把知识产权信息和其他可能影响股价的信息列为敏感数据。除此以外的数据则可以适当降低安全级别，针对不同级别的信息敏感度，企业可以采取不同的加密手段保护数据。不过由于加密算法太多，具体采取哪种保护数据方案，企业还应根据自身特点，通过咨询安全服务提供商来获得最有效的保护方案。