数据运维向管理要安全

不同员工之安全威胁

单位网络所服务的对象是员工，数据的生成、访问和操作使用对象依然是员工。从技术角度来看，所有员工可以分为技术类员工、非技术类员工这两种类型，不同类型员工在数据存储过程中的访问行为不同，操作权限不同，可能产生的安全威胁程度也不一样。

一般来说，中小规模单位的技术员工，既是单位网络运行的维护者，又是重要数据的管理者，数据的生成、备份、存储以及还原等管理事项，无不凝聚着他们辛劳的汗水，应该说这些员工是与单位重要数据接触时间最长的人员，他们是数据存储安全与否的关键人群。遗憾的是，在很多规模不大的单位中，技术人员没有充分发挥自身优势，而是被单位看成呼来唤去的勤杂人员，平时整天忙于做一些类似安装计算机、查杀病毒、处理网络故障这样简单重复的事务性工作，而没有时间去思考单位网络安全或数据存储安全等核心问题，使得单位重要数据存储安全性大大下降，甚至存在访问权限设置不当、存储备份机制不合理等现象，从而留下潜在的安全风险。当然，从单位领导角度来看，他们有些人安全意识薄弱，认为数据存储安全技术涉及到方方面面，仅靠单位有限的几个技术员工，无法精通所有的安全领域，所以他们一般舍不得耗费巨资来专门培养技术人员，这也造成了本单位技术人员在遇到数据存储问题时，不能及时采取有效措施进行应对。而且，一些单位领导层缺乏足够的连续性和稳定性，单位领导人员的不断变化，给技术员工的日常工作带来了很大的压力，恶化了技术人员的生存环境，造成了数据存储安全防范力量薄弱，使得安全预防措施简单，从而导致了一些安全事故。

非技术类员工可以分在职员工、离职员工，单位重要数据存储是否安全，最终还要依赖在职员工的安全意识。安全意识薄弱的在职员工，一些不正确的或者好奇的操作行为，容易把数据安全威胁主动地从单位外部网络环境带到内部网络环境，或者给单位内部不怀好意的员工创造可趁之机，无意间引起不可估量的损失。一些马虎大意的员工可能会忽略数据存储安全规则，例如将重要数据随手放到系统桌面上，在与好友在线聊天时，不小心泄露了单位数据隐私，将访问重要数据的密码以明文形式贴写在办公桌的显眼位置上等等。还有一部分在职员工，看上去跟普通的员工一样，表面上在正常的工作，但内心对单位、对领导甚至对其他普通员工有不满情绪，这些人可能会成为单位重要数据存储的最大隐患之一。当他们情绪失控的时候，或者会通过自己在数据管理存储中的便利，对数据进行破坏甚至外泄，而且其产生的损失将很大。对于那些已经离职的员工来说，离职原因不同，对单位数据存储的安全隐患程度不同，但无论由哪种原因引起的离职，都可能会偷偷带走以前单位的一些核心数据，或者通过以前的工作账号、专业工具登录到单位内部网络，窃取单位日后生成的重要数据。还有一些离职员工在重新应聘工作时，为了鼓吹自己的能力或本领，或者抢占市场先机，也可能在不经意间将自己掌握的重要隐私数据信息泄露出去。当然，也有一些员工离职属于被迫的，他们纯粹为了报复原单位，或许会在单位内网系统中植入木马等恶意程序，以达到偷窃原单位核心数据，甚至修改或删除重要数据的目的。

加强员工数据安全培训

接触单位重要数据的员工，常见的无意而有安全风险的操作可能比较多，比方说，通过E-mail形式将重要数据分享给单位外面的人员，以达到其帮助完成工作任务目的，通过移动硬盘等设备将重要数据带出单位内网，随意打印并摆放核心数据材料等等。之所以会有这么多的违规数据管理操作，主要是单位员工在数据安全保护方面的意识还不够。

有鉴于此，我们必须在平时，加强对单位员工的数据安全防范培训。

第一要进行多层次的宣传、培训，让员工意识到自己的哪些操作是违规的或者危险的，以及真的出现了违规操作后该采取什么样的安全防范措施，来弥补可能出现的安全损失。例如，定期举办一些操作培训班，教会员工怎样安全地打开邮件附件，以避免网络病毒的威胁，教会员工怎样设置复杂密码，来保护账号登录操作的安全，教会员工怎样设置数据文件的访问权限，以拒绝他人的随意访问。此外，反复的宣传、培训，也会让单位员工转变观念，认为自己是单位的重要安全资产，而不是所谓的安全负担。当单位员工认为自己在保护重要数据方面的警觉性，与满足工作目标方面的警觉性同样强，他们就会成为对单位重要数据安全计划而言非常宝贵的资产。通过不断的宣传培训和意识加强计划，认清各种数据安全事故带来的成本，同时熟悉采取哪些措施来预防数据安全威胁，员工们就不会担心所面临的安全威胁挑战了。

第二鼓励员工加强学习，充实自我、提升自我，为做好数据安全防范工作打下坚实基础。掌握数据存储和管理知识是一个与单位重要数据接触紧密人员的必然要求。要熟悉数据存储系统的功能、操作方法，了解数据存储系统的安全防护特性，遇到数据存储安全问题时能及时进行处理。

第三提高员工对数据存储相关安全工具的使用技能。为了让数据存储安全落到实处，单位应当积极组织相关员工学习相关专业工具的操作方法，让他们能够利用这些管理工具，对单位中的重要数据进行有效地监控管理，同时还应该了解一些数据防护工具的用法，确保数据在访问过程中遇到安全威胁时能够化险为夷。例如，借助专业安全工具，定期或不定期地对涉密数据系统进行安全检查，通过频繁安全检查，能够及时发现数据存在的安全隐患，堵塞涉密系统的安全漏洞，消除可能存在的不安全苗头。

堵塞数据管理制度漏洞

要使单位内网中的重要数据真正安全无忧，进一步完善和健全数据安全防范制度和措施，不断提升数据存储管理技术水平和能力是必须要做的工作。这是因为技术水平再先进，数据安全措施再得力，如果单位员工没有按照规定的要求去执行，仍然将保存有核心数据的移动设备任意处置、随意维修，仍然为核心数据设置较为脆弱的访问密码，单位内网中的核心数据安全依然无法得到有效保证。

首先建立健全各项管理制度。单位内网核心数据存储管理制度和措施是单位数据安全的防火墙和高压线，能够有效预防各种人为因素引起的数据安全事故。各项管理制度和措施的建立，策略上应坚持“安全第一、预防为主”的方针，明确各类员工在数据存储管理中的责任、权利和义务，明确奖惩措施，采用责任追究制和工作责任制，让每位员工都在时刻警醒自己，为单位内网重要数据营造一个安全的工作环境。

其次明确相关人员防护职责。与核心数据有着直接或间接接触的单位员工，不仅仅要充当数据使用者的角色，还要明确数据安全防护职责，找准定位，从繁重的事务性工作中解放出来，使其真正成为数据安全的管理员和防护员。

第三将数据安全预防流程纳入工作流中。不少单位之所以对重要数据丧失了控制权，就是由于重要数据的识别分类、访问存储并没有纳入日常工作流当中。例如，生成新的数据文档时，是否有分类流程来确认该使用什么样的安全制度或措施？或者当员工在不同部门之间内部交流时，不同部门之间是否有安全控制流程？要是单位仔细考虑了核心数据存储管理流程，同时采用了合适的数据保护措施，就能有效降低重要数据对外泄漏的风险。

第四对员工进行数据存储管理方面的教育。行之有效的数据存储管理政策应当采用“软硬兼施”的方法。应当对员工进行数据管理方面的教育，最好是在“违反时刻”和“使用时刻”进行教育。要是单位员工随意将重要数据复制到USB设备上，从而违反了安全管理制度，这时候对他们进行管理教育最有效，让他们深刻意识到怎样合理地保护单位内网的重要数据。要是严重违反了数据安全管理制度，及时告知员工的上司，以便采取合适的惩罚措施。加强员工在特别时刻的数据安全管理制度方面的意识教育，可以有效减少、甚至消除大部分意外或非故意发生的数据安全事件。所以，已知要访问重要数据的所有员工都应当接受单位重要数据安全管理制度方面的教育，这样一来，员工们不但要为自己使用重要数据负责，还有利于相互监督，确保每个人都在遵守这些安全管理制度。

强化员工日常技术管控

要确保单位重要数据的绝对安全，除了制定严格的管理制度加以防范外，还需要依靠有效的技术措施对单位员工加以控制。首先要加强员工的数据存取控制。数据存取控制是对合法员工的身份进行鉴别和识别，对合法员工利用数据的权限和范围进行审查，这种控制措施是保护重要数据的前沿屏障。存取控制措施采取的形式可以有身份认证、访问权限控制、数据库保护等，其中身份认证主要通过密码、员工的身份证件卡或员工生理特征标识，来判断员工的身份是否合法。访问权限控制主要是为了防止合法员工越权访问重要数据资源，所以单位领导或管理员要确定员工对哪些数据资源享有访问权，以及可进行哪种类型的的访问操作，并为不同员工赋予不同的访问权限。当单位员工离岗、离职时，必须要及时调整或删除用户账号及权限。

其次要加强对员工的操作行为进行审计。现在很多单位内网安全防范策略中，普遍缺少有效的操作行为审计功能，这容易导致不能及时潜在的数据安全隐患。