一、人是关键

利洋水产IT经理陈建安认为：现在系统泄密大部分是人为的，要做好信息安全建设，对人的管理和人拥有的权限的管理是必不可少的。

某企业IT负责人高远志也很同意这个观点：人才是关键，国外的很多黑客最后是怎么攻进去的，是最后通过“人”进入公司的，进入公司了，技术再怎么牛也没用。

既然人是最关键的环节，那么该怎么从人的角度入手保护数据安全呢？

“等保、还有国家态势感知平台等，其实从很多方面已经在防范大流量攻击了~而如何防范企业自身安全问题，才应该是问题的关键点。”高远志说。

陈建安认为重点是控制接触面：减少接触到数据的人和系统，然后做好这些人和系统的管控，最后再做好备份容灾。

震雄集团IT经理黄总的观点略有不同，他们现在已经落实了详实的安全制度：我们现在数据中心和服务器操作都是开发和运维分离，然后硬件和软件分离使用堡垒机。开发不允许碰生产，软件人员不允许碰硬件服务器。

但他认为：一般企业的机房现在等保都难达标，另外防御的目标不是不让你进来，而是在于快速的恢复。

二、钱也重要

对于数据安全是防泄露，还是重恢复这个问题上，群里并未达成统一意见。

但从群里的讨论中，我认为两边的观点都是对的，但是讨论的维度有区别：

1. 首先，行业和企业规模不同，有些行业数据机密性较高，应该更重视防泄露，同样道理的还有大型企业；
2. 其次，理论和实际的区别，理论上肯定是要防泄露的，但实际上大部分时候条件不允许。

粤澳中医药产业园IT经理薛智源的案例就很现实：我司老板曾经要求全公司部署DLP数据防泄密系统，简单来说就是【加密】。但是经过数轮详细评估，包括友商考察、产品试用之后，综合数据价值、泄密风险、管控成本、效率损害等因素之后，最终说服老板放弃加密，转为采用制度建设、员工教育等手段，建立网络安全、数据安全、信息追溯等措施和体系。

“目前大多数厂商的技术能力其实都够了~除非是价值特别高的，那可能会被人惦记，要不其实都还好，所以首先需要先衡量一下，自己那些数据的价值。”高远志说。

其实说到底就是“钱”的问题。企业的目的是盈利，数据保护并不是做得越多越好，而是要匹配企业的数据价值和盈利能力。

三、效率影响

另外，过于严格的数据安全措施还会影响企业的效率。

莱士杰副总经理戴向东说：数据防泄漏，最主要的问题是 理想很丰富，现实很骨感！兼容性的问题太大。

薛智源很同意这个观点：我个人认为最大的问题是效率损害，特别是对中小企业来说。

处理数据案例问题的原则和上节相同，要与企业想匹配。中小企业和发展中的企业更重要的是操作记录和备份，还有就是在企业内多宣传保密法。

薛智源还分享了对于加密厂商的看法：国内主流DLP厂商的方向是加密，若加密范围控制不好，该泄露的还是泄露，办公效率还会严重下降；国外厂商主流方法是侦测与预警，理想很丰满现实很骨感，对国内环境来说有点水土不服。个人的一点经验。

四、解决思路

最后，搬运几位大佬在群内分享的数据案例思路。

戴向东：

1. 数据集中化保存；
2. 隔离业务和终端，做到数据不落地；
3. 访问显示，做好防泄漏的手段（例如：水印、数字水印）；
4. 缺省不允许下载，如需下载走审批；
5. 零信任接入控制，业务细颗粒安全控制；
6. 做好数据备份。

华威医药IT主管吴德强：

1. 物理层准入机制：包括各种网络设备的物理防御措施，有的公司系统做的很好，机房确很轻易的能进入。那还谈何保护？
2. 入网审批制度：这是第二重物理入网保障，必须经过相关责任人有效的签核方可入网（通过MAC绑定等）；
3. 最小权限制度：所有系统和网络的权限仅按最小范围开通，后续按需开放，后期建立权限的定期确认制度，无法确认的权限及时清除；
4. 审计制度：即所有操作皆能追溯到操作的账号、时间等信息；
5. 数据防泄密保护：防泄密数据保护系统（加密锁系统）防水墙等进行数据防泄密保护；
6. 数据备份\同步制度：建立数据备份制度，根据不同系统的数据选择合适备份工具\系统进行全备、差备，重要数据进行异地备份；
7. 数据安全定期培训制度：和HR部门制定年度培训计划，将数据安全培训同其他业务培训一样纳入所有员工考核。

高远志：

1. 需要社会在安全环境上的构建，包括态势感知平台、监测平台、等保体系建设等；
2. 需要企业自身对自身业务数据价值、业务数据的分类整理以及理解，保障核心数据私有化；
3. 在于安全体系建设，包括两地三中心、安全系统等等的，
4. 需要企业管理体系建设，包括权限管理、运维人员管理、制度管理等等的；
5. 人性的培养方面，对人进行管理，这里就可能有点远了，要懂人性，要让运维人员以及自己员工不监守自盗。