信息化觀察網(wǎng)

2020年讓企業(yè)獲得的關(guān)鍵經(jīng)驗之一就是為風(fēng)險做好準(zhǔn)備，減少不確定性對企業(yè)產(chǎn)生的影響。對于中小企業(yè)而言，其規(guī)模和預(yù)算相對較小，因此在面對風(fēng)險時它們更容易受到損害。

隨著數(shù)字技術(shù)滲透到商業(yè)環(huán)境中，數(shù)據(jù)安全威脅正成為企業(yè)高層關(guān)注的一個關(guān)鍵風(fēng)險。尤其是在疫情期間，遠程辦公的趨勢使企業(yè)面臨著新的網(wǎng)絡(luò)安全威脅。據(jù)安達（Chubb）發(fā)布的報告顯示，在2019年，近三分之二的中小企業(yè)報告稱遭遇過網(wǎng)絡(luò)事件，并且以新冠肺炎為主題的網(wǎng)絡(luò)釣魚攻擊在2020年初的幾個月明顯增加。中小企業(yè)若不加速增強其應(yīng)對網(wǎng)絡(luò)攻擊的韌性，這些數(shù)字將會持續(xù)上升。

網(wǎng)絡(luò)攻擊的模式及技術(shù)的成熟度和復(fù)雜性正以前所未有的速度進化。一些網(wǎng)絡(luò)犯罪分子正在使用人工智能（AI）來分析行為模式、識別弱點，以提高攻擊的有效性。中國網(wǎng)絡(luò)威脅的復(fù)雜性和規(guī)模也都在不斷升級，導(dǎo)致從電子商務(wù)到制造業(yè)的各個垂直領(lǐng)域的企業(yè)都面臨著巨大損失。

此外，地方中小企業(yè)對數(shù)據(jù)丟失存在認(rèn)知和實際準(zhǔn)備上的差距，由此使威脅的影響加劇。Chubb報告稱，超過一半（54%）的數(shù)據(jù)泄露事件是由于中小企業(yè)管理層已經(jīng)發(fā)現(xiàn)但未能采取行動所導(dǎo)致。同時，幾乎所有報告受到勒索軟件攻擊的企業(yè)都運行了殺毒軟件、設(shè)置了防火墻，并安裝了其他網(wǎng)絡(luò)安全軟件，卻仍遭到了攻擊。這一現(xiàn)象表明了數(shù)據(jù)保護的重要性及其在更大的網(wǎng)絡(luò)安全戰(zhàn)略中的作用。網(wǎng)絡(luò)安全和數(shù)據(jù)保護不應(yīng)相互隔離，而應(yīng)相輔相成，為企業(yè)提供其數(shù)據(jù)的完全控制權(quán)。

對此，我們總結(jié)了分析數(shù)據(jù)風(fēng)險并加強數(shù)據(jù)管理和保護的方法，包括以下三個方面：

一、鑄造“前線”防御陣線——人員

IDC稱，到2023年，隨著數(shù)字基礎(chǔ)設(shè)施逐漸成為新的業(yè)務(wù)“操作系統(tǒng)”，75%的首席信息官（CIO）將成為商業(yè)決策不可或缺的一部分。CIO不僅領(lǐng)導(dǎo)著企業(yè)的數(shù)字化轉(zhuǎn)型，還是引領(lǐng)其業(yè)務(wù)復(fù)蘇實踐不可或缺的一環(huán)。企業(yè)必須有一個合格的CIO來掌舵，領(lǐng)導(dǎo)風(fēng)險評估和風(fēng)險識別，并在企業(yè)不幸遭受網(wǎng)絡(luò)攻擊時及時引領(lǐng)推動業(yè)務(wù)恢復(fù)。

增強網(wǎng)絡(luò)安全意識的責(zé)任并不僅限于高級管理層和IT人員。CIO有責(zé)任培養(yǎng)技術(shù)風(fēng)險意識和管理文化，但更加至關(guān)重要的是將網(wǎng)絡(luò)威脅意識和教育擴展到普通員工。疫情促使全球向居家辦公的轉(zhuǎn)變，催生了大量需要從家庭網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)的遠程員工。許多在家工作的員工使用的是缺乏適當(dāng)安全性的消費級個人設(shè)備。大多數(shù)人甚至可能沒有意識到這些行為的相關(guān)風(fēng)險和可能造成的后果。這就是缺乏網(wǎng)絡(luò)安全意識的表現(xiàn)。中小企業(yè)需要加大努力，確保各級員工意識到數(shù)據(jù)風(fēng)險，了解他們在管理網(wǎng)絡(luò)安全風(fēng)險方面的角色和責(zé)任，培養(yǎng)長期的數(shù)據(jù)和風(fēng)險意識文化。定期教育和培訓(xùn)提高員工網(wǎng)絡(luò)安全意識，是中小企業(yè)保持強大“前線”防御陣線的最佳方式。

二、構(gòu)建合規(guī)數(shù)據(jù)分類協(xié)議

在CIO和員工發(fā)揮作用的同時，企業(yè)應(yīng)當(dāng)基于安全分類或數(shù)據(jù)，建立信息資產(chǎn)的用戶訪問管理等策略，確保只允許基本和必要的敏感數(shù)據(jù)訪問，從而限制網(wǎng)絡(luò)罪犯可利用的潛在攻擊點。而明確的數(shù)據(jù)管理政策和標(biāo)準(zhǔn)的第一步，則是根據(jù)數(shù)據(jù)的關(guān)鍵或敏感程度對數(shù)據(jù)進行適當(dāng)?shù)姆诸?。識別敏感數(shù)據(jù)時，Commvault建議企業(yè)可以通過以下三個問題理清思路：1）所收集的數(shù)據(jù)的本質(zhì)是什么；2）它屬于誰；3）它的預(yù)期用途是什么。一旦確定了這三個問題的答案，就可以建立正確的協(xié)議來有效地保護這些數(shù)據(jù)。

此外，各地政府機構(gòu)正在呼吁采取更有力的數(shù)據(jù)保護措施，敏感數(shù)據(jù)需要按照數(shù)據(jù)法規(guī)進行保護和保障。近日，中國正式發(fā)布《數(shù)據(jù)安全法》，該法律成為了數(shù)據(jù)安全保障和數(shù)字經(jīng)濟發(fā)展中的至關(guān)重要的基石，它強調(diào)了在保護數(shù)據(jù)安全中企業(yè)應(yīng)當(dāng)承擔(dān)的責(zé)任，包括制定數(shù)據(jù)安全的相關(guān)保障制度、上報相關(guān)事件、實施補救相關(guān)措施等，并對違規(guī)行為制定了相應(yīng)的處罰。

正確的數(shù)據(jù)保護需要強有力的安全性，而安全性的形成必須從嚴(yán)格的數(shù)據(jù)分類工作開始。中小企業(yè)如果不確定其下一步行動，可以借鑒當(dāng)?shù)氐谋O(jiān)管框架。

三、保持?jǐn)?shù)據(jù)“恢復(fù)就緒”

采用新技術(shù)和加速數(shù)字化轉(zhuǎn)型對中小企業(yè)來說似乎令人生畏，因為隨之而來的是數(shù)據(jù)安全的風(fēng)險，但風(fēng)險是可以規(guī)避的。有遠見的企業(yè)明白，如果想要降低此類風(fēng)險，最為重要的是制定一個覆蓋云上、來自云、跨云或跨云域數(shù)據(jù)的全面災(zāi)難恢復(fù)計劃，這意味著需要能夠恢復(fù)應(yīng)用程序、數(shù)據(jù)庫、整個虛擬機環(huán)境或IT環(huán)境。

此外，可以采用分層的方法來保護數(shù)據(jù)，比如不可變備份和Air Gap技術(shù)，也有助于抵御惡意威脅。為了實現(xiàn)這一點，可以使用備份即服務(wù)（BaaS）選項進行備份、恢復(fù)和數(shù)據(jù)保護，以便在云中保存其數(shù)據(jù)的一個無漏洞的虛擬副本。基于云的備份和恢復(fù)可以幫助企業(yè)管理遵從性，按需擴展，并管理不斷增加的數(shù)據(jù)成本。

企業(yè)想要保持“恢復(fù)就緒”狀態(tài)，還需要定期測試并評估備份、災(zāi)難恢復(fù)和事件響應(yīng)計劃，包括定期的威脅搜索、漏洞評估和滲透測試等。同時，IT團隊需要確保所有基本的、高可用性IT系統(tǒng)中的冗余。

中小企業(yè)是中國日益數(shù)字化和數(shù)據(jù)驅(qū)動的經(jīng)濟的關(guān)鍵驅(qū)動力。隨著許多公司加快數(shù)字化擴張計劃，增強相關(guān)數(shù)據(jù)風(fēng)險意識、對數(shù)據(jù)構(gòu)建分類協(xié)議并保持?jǐn)?shù)據(jù)“恢復(fù)就緒”對于成功提升市場競爭力至關(guān)重要。作為業(yè)界的領(lǐng)導(dǎo)者，Commvault能夠為企業(yè)提供專業(yè)的數(shù)據(jù)保護服務(wù)，幫助客戶建立并保持?jǐn)?shù)據(jù)“恢復(fù)就緒”，實現(xiàn)跨本地和云環(huán)境的業(yè)務(wù)連續(xù)性。