信息時代咋維護數據安全？業內：內部員工所致損失大于外部

每經記者｜靳水平    每經編輯｜文多    

成都•世界信息安全大會。圖片來源：每經記者 靳水平 攝

大數據時代，數據成為越來越重要的資產，數據安全防護也隨之變得越來越重要。因此，如何在高速發展的環境里做好安全建設，成為業界普遍關注的話題。今日（10月22日）下午，成都•世界信息安全大會在中國西部國際博覽城舉行，部分與會企業家、專家學者分別就網絡安全等問題展開激烈交鋒和思想碰撞。

螞蟻金服高級專家吳飛飛表示，很奇怪的是，企業在做網絡安全的時候，都會思考從不同角度入手。有的公司是以漏洞角度為核心，有些公司則是以風險角度為核心。

“我們之前在蘑菇街做的時候，一直嘗試以漏洞的視角為核心。”吳飛飛說道，但這樣做安全后來會發現會漏掉一些重要點。

而以偏基礎安全的風控，吳飛飛認為還不能看作是純粹意義上的風控。他認為，有些團隊有時會花很多時間去做一些對實際安全沒有太大幫助的事情。但實際上，有的漏洞要么利用條件比較苛刻，要么利用路徑比較困難。此外，還要考慮企業自身內部的量級、影響面、是否能快速修復漏洞。漏洞本身的情況加上企業的情況，才是這個漏洞對于企業的風險程度。這個風險程度才是做網絡安全時應該要考慮的事情。

吳飛飛建議，在保護整個網絡安全的過程中，如果企業本身有一個很好的目標、一個基準，朝著這個方向選擇一個最優的基準，以基準進行網絡安全建設，會少走很多彎路。

針對網絡安全問題中的數據安全，滴滴出行數據安全負責人錢業斐認為，在企業內部，首先要思考的是數據感知，在證明、找到一個安全風險后，企業內部要思考感知，共同決定對于這個風險的評級是否要調低？否則安全保護推動起來就是時上時下，很多措施做了，日后卻可能會被放開。

錢業斐表示，數據安全要想做得好，跟漏洞不一樣，漏洞有CVE（公共漏洞和暴露），但數據安全則不同，比如前端頁面可以直接下載大數據，或者這個權限沒有做隔離，這些東西都可能導致數據泄露。

“習慣性用數據驅動，不要用感性認識評定該如何做。重視內部員工的數據安全行為，它造成的損失大于外部威脅。”錢業斐最后建議道。