隨著網絡信息技術和電子商務的發展，對于現代企業而言，關鍵業務數據已經成為其核心資產之一，也是企業核心競爭力的體現。一家現代企業能否對其關鍵敏感數據進行有效保護，已成為企業自身在激烈的商業競爭中能否立于不敗之地的一項決定因素。敏感數據丟失對企業不但意味著重大經濟損失，還會給企業信譽帶來致命影響。2013年部分品牌連鎖酒店“開房數據泄露”事件、2011年知名程序員網站CSDN 600多萬用戶信息泄露以及天涯社區4000萬用戶資料泄露等事件表明，數據安全無小事，如果不采取有效手段加強數據安全防護，由此造成的損失是難以估量的。

目前，越來越多的企業開始重視業務數據安全防護工作，特別是隨著有中國版“薩班斯法案”之稱的《企業內部控制基本規范》頒布以及云計算技術的廣泛應用，數據保護重心已從單純針對系統與網絡基礎層面防護向關注應用和關鍵數據層面的防護轉換。盡管如此，仍有一些企業數據安全方面的問題沒有得到足夠的重視，所以，我們來看看目前企業CIO眼中普遍擔心的數據安全威脅都有哪些？

◆敏感信息及數據在哪里？哪些是敏感數據？（關注度：5星）

◆怎么可視化數據在IT環境中的動向？（關注度：5星）

◆怎么制定一個既不阻礙業務發展，又能滿足合規要求，還得具備與合作伙伴實現部分數據共享的整體數據保護策略？（關注度：4星）

◆如何智能地，主動地處理大量不同環境中進行交換的數據，如云環境、移動互聯網環境等。（關注度：4星）

◆有哪些價錢合適又有效果的DLP解決方案、數據庫防護技術，以及無縫的數據整合加密技術來幫助企業實現整體的風險控制與管理？（關注度：3星）

注：上面的關注度只是筆者給出的一個主觀評價，不具備任何參考價值，提到的所有點，都是非常重要的，尤其對于一個CISO來說，這是你每天都要面對的事情，筆者也在尋求上面滿足幾個需求的整體數據安全保護解決方案，歡迎各位讀者一起討論。為了讓大家更加深入的理解數據安全不容忽視的重要性，本文將從安全管理執行效果、新興技術應用以及物理環境安全三方面進行闡述。

一、領導重視數據防護，但執行力有待提高

信息安全領域“三分技術七分管理”的理念，已是老生常談，目前也逐漸被企業領導層所接受，但由此帶來的“一分部署九分落實”的問題，則日益顯現，并已成為信息安全建設，特別是數據安全管理方面的重點和難點。遺憾的是，在實際工作中，安全要求執行不到位的情況仍相當普遍。如有的企業在自主開發部分應用系統過程中，雖然能夠按照內部整體安全策略制定了開發規范，但由于種種原因未將這些規范進行拆分和細化，導致開發人員在開發過程中很難將這些要求落實到具體的開發過程中去，這給應用系統在使用階段留下了隱患，并可能導致關鍵數據泄露。這樣的例子還很多，它們都是因為管理執行力不到位造成的。

“天下難事，必做于易；天下大事，必做于細”。對于企業來講，領導重視了、制度有了、裝備有了、部署有了，但是能否按質、按量、按時地將各項要求細化并落在實處，進而取得預期的效果，確實還要做大量周密細致的工作。“執行力就是戰斗力”，只有數據安全管理的每一個執行者依據相關制度要求認真履行各自的崗位職責，才能使數據安全管理制度真正落到實處，才能使企業的數據安全保護水平達到應有的高度，而要想達到這個目標，企業內部自上而下、依法依規的辦事風氣、嚴格的懲罰制度、有效的激勵政策等等都是必不可少的。

二、采用新興技術體系框架，但數據防護應用能力滯后

作為計算機與互聯網技術融合發展的產物，以云計算、物聯網為代表的新興技術體系，正逐步地被推廣到各應用領域中，并為信息技術產業模式帶來了重大革新，但由此帶來的數據安全挑戰也不容小覷。以云服務為例，2011年4月，亞馬遜公司在北弗吉尼亞州的云計算中心宕機，致亞馬遜云服務中斷持續了近4天；2012年7月，云存儲服務商Dropbox確認，有黑客盜取了部分用戶信息并侵襲了他們的云服務賬戶。

采用新興技術體系，特別是云服務技術的企業，無論是公用云，還是私有云環境，都應對不同的云服務模式（laaS、PaaS、SaaS）進行深入的研究，有針對性制定符合自身安全需求的數據防護方案，同時還要緊密跟蹤安全防護技術發展的最新研究成果，從而“在戰略層面”上，能夠及時調整自身數據安全管理策略，“在戰術層面上”，能夠不斷改進提高數據防護手段。

三、數據周邊防護手段齊全，但物理環境安全投入不足

大家對于小沈陽在春晚小品《不差錢》里的那句經典臺詞一定印象深刻：“世界上最痛苦的事情，就是錢還在，人卻沒了……”。在數據防護領域，最痛苦的事情也莫過于此，技術人員在、防護設備在、嚴格管理在，但數據自身卻不在了，更嚴重一點，機房也沒了。

對于一名專業的信息安全主管領導而言，識別物理安全控制中所存在的重大缺陷并向高層管理者提出彌補這些缺陷的建議是其必須承擔的重要責任。但我們又不得不承認，很多企業里的IT部門看起來基本上是效益不大、但成本不小的部門，年度預算中被擠來擠去、砍了又砍的情況也司空見慣。因此，如何把握物理安全控制的度，就是一個仁智互現的問題了。一般來說，基本的數據物理安全，應該兼顧考慮到機房場地選擇、物理鎖、安全警衛、監控設備、數據備份、應急電源、防火、防水、防雷等等。而其中，我認為數據備份，特別是異地和同城的數據加密備份，則尤為重要。美國“911”事件讓許多公司長年積累的商務資料在瞬間毀于一旦，也足以說明遠程數據備份在關鍵時刻所發揮的關鍵作用。

總之，企業數據安全無小事，數據安全防護永遠在路上。只要我們能充分認識數據安全防護的重要性，做到未雨綢繆，積極建設全方位、多層次的數據安全保護體系，就能夠將數據安全威脅將至最低水平，避免不必要的損失。