當(dāng)下，數(shù)據(jù)無疑對任何企業(yè)和個人來說都是最重要的資產(chǎn) -- 它不僅關(guān)系到個人在數(shù)字世界中的存在，還包括為企業(yè)帶來的前所未有的巨大商機(jī)。數(shù)據(jù)隱私一直是數(shù)百萬企業(yè)和數(shù)億消費(fèi)者的隱憂，這是由于他們對數(shù)字環(huán)境中的個人信息收集、使用、整理、處理或共享狀態(tài)僅有有限的了解。

　　在2016年，歐盟出臺了《通用數(shù)據(jù)保護(hù)條例（GDPR）》，重點(diǎn)針對數(shù)據(jù)安全和隱私保護(hù)問題。該條例的基本理念強(qiáng)調(diào)，數(shù)據(jù)隱私是公民的基本權(quán)利，企業(yè)有責(zé)任部署數(shù)據(jù)隱私策略，積極確保數(shù)據(jù)安全，并將數(shù)據(jù)隱私安全嵌入設(shè)計之初。同時，在2016年，中國政府制定了《網(wǎng)絡(luò)安全法》，旨在統(tǒng)一規(guī)范企業(yè)對個人信息的收集和使用標(biāo)準(zhǔn)。根據(jù)該法律規(guī)定，在中國的企業(yè)不僅需要重視“數(shù)據(jù)安全”，同樣需要保護(hù)“個人隱私”。

　　過去，企業(yè)能夠依賴網(wǎng)絡(luò)邊界來保護(hù)機(jī)密信息的完整性，但今非昔比，這種傳統(tǒng)措施已經(jīng)無法滿足當(dāng)今的保護(hù)需求。如今，傳統(tǒng)防線之外的數(shù)據(jù)不斷飆升，網(wǎng)絡(luò)犯罪分子虎視眈眈，伺機(jī)而動，企業(yè)必須實(shí)施端到端的信息安全防護(hù)。如果不能妥善保護(hù)信息安全，那么企業(yè)將面臨的不僅是前所未有的資產(chǎn)損失，還會導(dǎo)品牌和聲譽(yù)因數(shù)據(jù)泄露而嚴(yán)重受損。

　　賽門鐵克認(rèn)為，不以設(shè)備、網(wǎng)絡(luò)或用戶為中心，但‘以數(shù)據(jù)為中心’的信息保護(hù)策略能夠應(yīng)對企業(yè)面臨的諸多數(shù)據(jù)保護(hù)挑戰(zhàn) -- 我們稱之為 Information Centric Security，‘以信息為中心’的安全防護(hù)。本質(zhì)上，‘以信息為中心’安全策略是指運(yùn)用一系列信息保護(hù)技術(shù)對任何位置和任何訪問者的個人敏感數(shù)據(jù)提供全面的保護(hù)。

　　這也標(biāo)志著一種全新信息安全保護(hù)措施的誕生�，F(xiàn)在，許多數(shù)據(jù)保護(hù)系統(tǒng)都專注于數(shù)據(jù)存儲庫（如網(wǎng)絡(luò)存儲）、數(shù)據(jù)傳輸機(jī)制（如電子郵件）或數(shù)據(jù)應(yīng)用（如財務(wù)系統(tǒng)），而非數(shù)據(jù)本身。而以‘信息為中心’的安全策略能夠結(jié)合不同技術(shù)，利用自動化或基于用戶的分類和識別技術(shù)，覆蓋電腦、服務(wù)器、電子郵件系統(tǒng)、設(shè)備及云，發(fā)現(xiàn)閑置、使用或傳輸中的敏感和個人數(shù)據(jù)，并在集中的用戶監(jiān)控下，基于策略，通過自動加密和數(shù)字權(quán)限管理來保護(hù)數(shù)據(jù)。

　　首要的第一步，企業(yè)需要投入足夠的時間和精力來判斷哪些數(shù)據(jù)對他們而言更具有價值，評估數(shù)據(jù)泄漏所可能造成的潛在業(yè)務(wù)風(fēng)險。任何有關(guān)企業(yè)安全的對話都應(yīng)當(dāng)從這一步開始。這一步的最終目的在于明確需要保護(hù)的數(shù)據(jù)及其業(yè)務(wù)價值。

　　因此，企業(yè)需要首先識別最為重要的信息資產(chǎn)，并進(jìn)行優(yōu)先級劃分，而這將在企業(yè)通過采取多層控制和保護(hù)措施的整體數(shù)據(jù)保護(hù)策略實(shí)施之下，且覆蓋整個數(shù)據(jù)生命周期。同時，安全團(tuán)隊需要與日常接觸信息最多的業(yè)務(wù)領(lǐng)導(dǎo)者緊密協(xié)作，從而充分了解業(yè)務(wù)需求及其對日常運(yùn)營、員工行為和企業(yè)文化的影響。

　　企業(yè)機(jī)密信息可以被存儲在企業(yè)的任何一個角落。要想做到全程跟蹤，制定一對一保護(hù)政策極其困難。賽門鐵克建議，企業(yè)需要對主要信息類型進(jìn)行排名，如企業(yè)財務(wù)、工程計劃、客戶個人身份信息等，然后根據(jù)優(yōu)先級重新排序，并監(jiān)控電子郵件、網(wǎng)頁、云應(yīng)用和端點(diǎn)等高流量渠道。

　　下一步，企業(yè)應(yīng)該確定策略的部署時間，根據(jù)實(shí)際情況留出充足的時間，這將幫助安全團(tuán)隊優(yōu)化新策略并盡量減少誤報，同時讓各業(yè)務(wù)部門為適應(yīng)流程變更做準(zhǔn)備。

　　事實(shí)上，企業(yè)最大的安全漏洞是自己的員工。長期以來，許多員工對安全實(shí)踐并不上心，例如重復(fù)使用弱密碼、點(diǎn)擊惡意鏈接和隨意共享文件等不良習(xí)慣屢絕不止。相比強(qiáng)制實(shí)施的法律、法規(guī)和政策，技術(shù)與流程的恰當(dāng)結(jié)合則更加有效，能夠引導(dǎo)正確的員工行為，降低業(yè)務(wù)風(fēng)險，例如在使用特定窗口之后部署密碼管理策略，實(shí)施強(qiáng)制的密碼要求。

　　賽門鐵克建議，企業(yè)不要局限于基本的網(wǎng)絡(luò)和應(yīng)用安全，比如防火墻和入侵檢測系統(tǒng)等，應(yīng)利用‘以數(shù)據(jù)為中心’的安全策略為信息資產(chǎn)實(shí)施特定的保護(hù)，比如多因素身份驗(yàn)證、數(shù)據(jù)防泄漏防護(hù)、云訪問安全、加密和數(shù)字權(quán)限管理。

　　如果與業(yè)務(wù)流程無交集，那么數(shù)據(jù)安全技術(shù)的有效性將會被大打折扣。若要數(shù)據(jù)保護(hù)策略順利實(shí)施，企業(yè)必須考慮哪些業(yè)務(wù)流程是管理信息資產(chǎn)用途的關(guān)鍵點(diǎn)，例如產(chǎn)品開發(fā)、風(fēng)險、合規(guī)和法律。企業(yè)需要將數(shù)據(jù)保護(hù)流程與業(yè)務(wù)流程和現(xiàn)行法規(guī)相融合，才能夠獲得最佳的安全防護(hù)。

　　成功的數(shù)據(jù)保護(hù)策略不僅需要技術(shù)和流程，確保信息資產(chǎn)安全，還離不開企業(yè)內(nèi)部的共同努力和責(zé)任共享。制定或加強(qiáng)企業(yè)內(nèi)部的宣傳戰(zhàn)略十分重要，這將提高員工對敏感數(shù)據(jù)的理解，提升對數(shù)據(jù)保護(hù)的責(zé)任感，以及對數(shù)據(jù)泄露后果影響的進(jìn)一步了解。

　　可以說，樹立正確的數(shù)據(jù)保護(hù)意識，從未像現(xiàn)在一樣如此重要�？紤]到愈加嚴(yán)格的監(jiān)管環(huán)境和嚴(yán)厲的懲罰，以及發(fā)生數(shù)據(jù)泄露事件后帶來的品牌受損，構(gòu)建全面的信息保護(hù)策略應(yīng)該成為所有企業(yè)在2018年的首要任務(wù)。

　　賽門鐵克公司（納斯達(dá)克：SYMC）是全球領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)，旨在幫助個人、企業(yè)和政府機(jī)構(gòu)保護(hù)無處不在的重要數(shù)據(jù)安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案，在端點(diǎn)、云和基礎(chǔ)架構(gòu)抵御復(fù)雜攻擊。同時，全球 5000 多萬的個人和家庭也在使用賽門鐵克的 Norton 和 LifeLock 產(chǎn)品，保護(hù)家庭各類聯(lián)網(wǎng)設(shè)備安全，暢享無憂數(shù)字生活。賽門鐵克運(yùn)營著全球規(guī)模領(lǐng)先的威脅情報網(wǎng)絡(luò)，能夠發(fā)現(xiàn)和抵御最高級威脅。