数据安全合规

对于个人来讲，隐私与个人信息泄露的情况很普遍，不过，如果不是大富大贵或者大愚大蠢之人，就只是个普通老百姓，您那点隐私及个人信息的泄露，通常并不会严重影响到您的个人生活。但是，话说回来，我们的隐私和个人信息，必定属于我们，即使我们只是普通老百姓，也应该拥有基本的隐私权和数据所有权，是吧？那么，在数据泄露很普遍的情况下，我们就有权利，也有必要采取适当的方法，来保护我们的隐私及个人信息。

同样，对于商业来讲，数据泄露并不仅仅是跨国公司或者科技大厂才会面对的。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：信息时代，不论规模与行业，各类型的组织机构都面临着数据泄露的风险，数据泄露后果严重，带来的直接损失以及处理善后事宜的成本非常高，因此我们需要投入时间、人力和财力来确保保护业务和用户数据的安全。

正确的数据保护策略源自对威胁及风险的认识，大多数人都知道：黑客、间谍、窃贼、骗子和其他网络威胁潜伏在数字世界的各个角落，使用正确的工具武装自己以避免黑客攻击、盗窃或数据丢失至关重要。通过保护公司数据的安全，您可以保护公司的声誉并减轻处理数据泄露后果的财务负担。

让我们从最核心的数据保护措施讲起，加密是保护数据最简单、最有效的方法之一。也可以换个说法，加密是保护数据安全的最终极和最必要的举措。加密可以确保即使数据泄漏出去、暴露在外，黑客也无法读取。因此，无论何时，都需要对敏感数据进行加密。如果不加密数据，他人就有可能在数据失窃时，访问到它们。

加密的措施有很多，可以使用加密的外部硬盘驱动器，也可以将数据加密存储在网络硬盘上，当然需要使用强加密密钥。这就需要我们认真考虑密码安全的问题。

缺乏密码安全性是最常见的安全漏洞类型之一。如果贵单位并非只有老板，则应确保向员工们介绍密码安全的最佳做法。具体来说，应该制定一项密码安全政策或策略，内容涵盖密码强度的要求。强密码通常包含密码的长度和复杂度，比如要求至少一个数字、一个符号以及大、小写字母的混合。此外，还要通知员工们不要与他人共享密码。通过简单的密码安全相关培训，可以帮助加强公司的数据安全。

除了关注数据的电子存在，还应该注意妥善保护实物文件。在当今的数字世界中，我们有时会花费大量时间配置防火墙、虚拟专用网络和SSL证书，以至于忘记了环境因素和纸质因素。“护网”运动中大量对现场的渗透，让安全保卫团队强化了物理门禁、监控巡逻、外来人员及飞行器的管控，然而，“垃圾窃贼”、“远程窥视”等问题却没有引起足够的重视，以至敏感的纸质文件、窃听和偷窥等传统的保密领域出现漏洞。

根据业务数据的类型以及数据分类分级（需要安全保护的程度），我们可能会考虑在处理完包含敏感数据的文档后将其粉碎。当然，传统的会议文件、白板内容、文印资料、甚至宣传海报，都会记录一些工作中的敏感内容，及时并正确地清理，以避免留存它们可能会带来不必要的安全风险。

除了确保存储的安全之外，数据的流动安全也不容忽视。敏感信息的泄露，大多是内部人员通过电子外发造成的，当然，包括有意的窃密泄密，也包括无意的失密。建立信息外发方面的安全政策是最基础的管理措施，虽然少不了技术方面的控管，比如数据泄露防范系统，但是最重要的还是强化该政策的沟通、监管与落实。“内鬼”窃密泄密的防范，是很多组织机构不愿公开谈及的话题，怕伤雇佣感情。然而，这不是职业化的借口，公开透明的沟通，才是表达尊重、化解误会的正途。

让员工们了解最佳安全实践并尽最大努力确保遵循适用的安全实践，许多人为因素造成的数据泄露情况是完全可以避免的。具体的做法是告知员工们其在保护数据安全方面的作用，包括角色和职责，通常需要一些诸如保密协议之类的签署，同时定期进行一些额外的培训，以强调警惕，防范懈怠。

闲聊时，有业界网络安全专家表示：当下，数据安全的法规遵循驱动因素呈现急剧升级之势，高至营收5%的违法成本可不低。监管机关不是掷出“杀鸡骇猴”的大罚单，已使不少科技大厂的数据安全部门和高管们战战兢兢。

从技术层面减少用户数据的收集，并不是什么困难的事情，遵循相关的法律法规思想精神，做系统功能方面的“减法”，删除一些此前非法收集的文件，太容易不过。但是，那些员工们“违法违规滥用”数据的强大惯性，却是最难解决也亟需解决的问题。不仅因为既得利益的诱惑，也因为它们早已成了日常商业实践，甚至融入了企业文化之中。对此，我们要警醒地认识到相关法律不是儿戏，要找出、打破并剔除旧式商业实践中的违规项，同时将合规安全最佳实践整合到更新后的商业流程之中。这是一场涉及全员、全流程、全系统的活动，需要在全体员工范围内开展数据安全及个人信息保护合规的培训活动，唯有如此，才能改进和再造企业数据安全文化。

总之，利剑出鞘，保护公司数据安全及个人信息安全，不可犹豫，也没有回头路可走了。通过遵循上述策略和方法，我们正在迈向业务数据及个人信息安全保护的阳光大道。当然，法规既不是横空出世的，处罚也不是没有依据的，这个话题还有很多未尽之处，尽管一言难尽，仍然希望能够帮助到读者们。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

近年来，国家安全、政治安全等上升到新时代的新高度，网络安全、数据安全也随之成为热门行当。然而，全球疫情反复、局部战火不断，很多企业手中没钱，又要办事，至少得守法合规。举例讲：《网络安全法》、《数据安全法》、《个人信息保护法》等等必须得遵循，否则，前期的资本投入，后期的辛苦收入，都可能被黑客远程勒索、被处以巨额罚单，瞬间即可让整个事业化为乌有。

尽管网络有国界，但是网络不法分子却实实在在地分布于全球范围内。对此，昆明亭长朗然科技有限公司网络安全专员董志军表示，如同所有人都是电信诈骗的潜在对象一样，所有公司都是专门针对性攻击的潜在对象，这就是说，您所在的公司随时都有被远在地球另一端的黑客入侵的可能性。换句话说，即使是一个拥有中等资源的黑客，甚至一个脚本小孩，也可以试图甚至决心攻击您所在的公司，而且这种攻击有可能会成功。为什么呢？因为谁都有弱点，所有公司都有漏洞。您尚未遭受到电信诈骗，只是暂时没有适合您的剧本，或者您的公司还没有受到黑客袭击，只是针对贵公司漏洞的攻击手法还在研究中。

那么我们该怎么办？乖乖投降，将我们的辛勤努力换来的劳动成果拱手交给网络不法分子？除非贵司真的要倒闭了，否则，我们不能小气到一点钱都不花，多少需要投入一定的网络安全费用，以打击网络不法分子的气焰。然而，要实现网络安全，并不是花足够的钱就能阻止的，我并不是说有些行业骗子会拿一个垃圾东西包装成高大上的防御系统实施行骗，我的意思是在网络安全领域，没有完美的防守，也就是人们常说的，没有100%的安全。

那么，我们该怎么在网络世界的丛林法则中生存呢？让自己更加强大，让自己比同业在网络安全方面强大，让自己更难成为攻击者的目标，或者成为攻击者最困难的目标。您可能会问，那不是让我们成为黑客级别的公司吗？不必要，世界级的网络公司及安全公司已经帮我们做了很多事情，我们需要做的就是利用好这些世界级的优势，来让自己成为黑客难以拿下的目标。

网络安全的传统防御包括防火墙、防病毒软件之类的东西，以及复杂密码策略等等。正确实施这些措施，可以让外部黑客的日子变得艰难，然而他们会变换手法，让您点击一个网络链接，或者开启某个电子邮件附件，当然那个链接指向的是窃取信息的钓鱼网站，或者与邮件附件一样，包含可以控制计算设备的恶意代码。

当然，在正常的情况下，我们的用户会受到安全意识教育，不应该去点击那些可疑链接或者打开那些附件。不过，事情可能不会那么快就结束，黑客可能会冒充某机构给公司员工免费邮寄U盘，有的员工可能出于好奇，就将其插入到电脑中，这样，就给黑客打开了一道后门，让黑客通过U盘感染电脑，潜伏下来并以该电脑为跳板，逐渐向更高级别的信息系统进行渗透。通常来讲，黑客的潜伏期会长达半年至数年，他们并不容易被异常检测系统发现出来，因为他们窃取了某些员工们的数字身份，也就是说他们有员工们的账户和密码。

在工作时间进行异常检测真的很难。不要轻信那些被冠以大数据分析、行为建模、机器学习、人工智能之类的高科技产品，并不是说那些防御措施不起作用，而是要让它们起作用，使用者需要很强的能力。那我们能做的是什么？强化员工们的安全意识，将员工们武装起来，形成一道人员防火墙，部署实施如零信任等认证框架，切断黑客利用脆弱员工做跳板的入侵渠道。

我们可以做的第二件事，对于领导们来讲，非常重要。那就是打造企业信息安全文化，在平衡收入和支出时，我们必须承认网络安全的重要性，网络安全、数据安全的终极责任已经上升到高管层面，那么，首席执行官、首席财务官、首席运营官等等，是否在常规例会上与首席信息官、首席安全官讨论网络安全这个话题？如果答案是否定的，那么无疑，这是一个网络安全文化方面巨大的工作失误，需要补起来。

其次，关于企业安全文化，还需要看一看，首席执行官、首席财务官是否是信息安全方面的模范用户？黑客知道，高管们往往掌握着更多的内部敏感信息，也有更高的系统访问特权，因此，也是更有价值的攻击目标。而高管们往往并不是IT方面的高手，又接触的人多，一不小心很容易落入网络钓鱼的圈套。因此，这些高管们，也可以说是非常重要的人物们，必须掌握合乎其职位和角色的安全意识，这可能与普通员工们的不同，但是却是必不可少的。另一方面，高管们在信息安全方面的模范示范作用非常重要，高管们的以身作则，会引起员工们重视和效仿，高管们对信息安全的承诺，会变成政策和制度，会变成员工们的行为操守和日常习惯，进而演变成企业安全文化。

最后，再让我们回到数据安全合规这个核心主题，使用等级保护、分级保护思想，找到关键数据，分析其面临的威胁，如果被窃取、破坏或泄露给公众，会对公司产生战略影响吗？当然，也可能是客户信息数据库，即包含公民的个人身份信息，这就可能同时属于《网络安全法》、《数据安全法》和《个人信息保护法》的管辖范畴。弄清楚哪些流程、哪些人员可以访问哪些种类的数据，设置严格的数据访问控制策略，强化审计监管，可以大大降低数据泄露的风险。

数据安全保护政策必须得到全体员工甚至所有用户的理解和支持。这意味着公司必须做好准备，加强员工数据安全方面的培训，因为员工们是数据的处理者，包括创建者、收集者、使用者、展示者、分享者，任何一个环节的不当操作，都可能造成数据泄露、触犯相关法规。此外，还要考虑数据万一泄露的这种可能性。这不仅仅是技术问题，是紧急事件报告与响应流程，是管理问题。我们需要让所有员工都明白这一点，如何迅速报告可疑情况或泄露事件，如何快速恢复数据？如何进行取证？如何弄清楚根本原因，以免再次发生？

对于高级领导团队来说，最重要的还是沟通。当网络攻击发生，当万一成为真实之时，为公司能够生存下来，对客户说什么？对员工说什么？对监管者说什么？对执法该怎么做？对媒体说什么？需要准备好剧本和模板，需要事先做好演练。总之，未雨绸缪，为企业生存的最坏情况做好准备，保持成长和继续前进的重要部分。

最后，我们要说，不管您在一家非常小的公司，还是在一家跨国大公司工作，您的工作流程都离不开互联网，您的关键数据都运行在重要的信息系统之上，这些数据面临着各种各样的安全威胁，包括来自内部人员的威胁，当然这其中大部分是无意的大意或失误，少部分是恶意的盗窃。您需要弄清楚这一点，就是要加强数据安全方面的管控，因为能够在这方面投入资源的大公司正在让自己成为一个黑客更难拿下的目标。您所在的公司可能规模较小，也可能规模大但是此前未引起重视，因此，贵司可能很快成为黑客攻击的坚定目标。不要说，现在是困难时期，这是借口，当下黑客也很困难，正拼命寻找目标下手呢！现在是时候通过强化员工们的安全意识，让贵司变得强大起来，让黑客望而生畏、知难而退了。

电话：0871-67122372
手机、微信：18206751343
邮件：info＠securemymind.com

安全意识博客

我心安全，我行安全！

防范数据泄露需要合规指引及最佳实践引路

困难时期的网络安全战略选择