2012年发生的一连串备受关注的数据泄露事件，包括国外著名的LinkedIn和Global Payments，这些数据安全事故使得数据安全防护受到越来越多的重视。但是，当企业遇到数据安全事故时，注意力依然放在了救灾这种被动的方式上，而不是实施更长远的策略。最近，企业加密和密钥管理技术供应商Vormetric对企业在安全管理上常犯的四个错误进行了分析，并提出相应的解决方法。

　　2012年发生的一连串备受关注的数据泄露事件，包括国外著名的LinkedIn和Global Payments，这些数据安全事故使得企业数据安全防护受到越来越多的重视。但是，当企业遇到数据安全事故时，注意力依然放在了救灾这种被动的方式上，而不是实施更长远更有效的策略。最近，企业加密和密钥管理技术供应商Vormetric对企业在安全管理上常犯的四个错误进行了分析，并提出相应的解决方法。

　　企业安全管理的四个短视行为

　　1. 缺乏统一标准。特定的安全常常建立在多重“标准”之上，并由不同功能的IT小组提供相应的解决。这种模式带来一系列的问题，比如，数据加密常常由于IT专业人士不懂数据安全的相关要求而执行不力。有些机构在加密过程中采用新兴的业界标准为依据，比如密钥管理互操作协议(KMIP)。然而，它还不够成熟因而不是万全之策。由于缺乏整体的标准，导致更高的管理成本，更繁复的流程和更大的数据泄露风险。

　　2. 缺少集中控制。相互独立的安全加密工具通过相似的方式，为管理员提供了各自的管理控制、监视/审计和密钥管理后台。每个特定的方案都要单独配置，并且具有不同级别的功能、复杂性和认证方式。这让操作陷入泥潭：每一个工具，包括它的实现方式均引入不同程度的风险。同时，首席安全官们也没有一个统一的方法，去评估、监视、了解和报告这些不同安全措施的效果。因为每个独立的安全工具都有自己独立的策略、配置和管理系统。这转化为不断增加的成本和复杂性。

　　3. 分立的管理系统。众多的安全技术每一个都要单独配置，管理和监视。由于没有集中的管理或策略，管理员必须在每一个工具内部执行相应的操作。增加的管理操作次数加大了配置出错的风险，可能会造成安全事故或者关键文件不可恢复。

　　4. IT业务偏差。特定的安全工具往往被部署成不安全的方式，即允许具有相关业务关联的IT小组访问和控制这些系统。以加密密钥管理为例，当企业执行多重密钥方案时，加密密钥被暴露给太多有关联业务的成员。这和密钥的理想操作方式相去甚远，也就是说分离了责任。由于加密密钥暴露给太多的人，受到内部攻击的风险大大增加。

　　从上面的问题可以看出，安全管理工具系统和具体操作方式分而治之的方式，使得企业安全管理的效率和效果大打折扣。对应的，实施集中安全管理，能有效解决以上的问题。

　　集中安全管理实施的三个步骤

　　企业组织可以采取以下三步走的策略，以克服特定安全实现方式的几个缺点。

　　第一步，制定统一的规则。包括策略管理，配置管理和报告/审计在内，企业内部实施时一定要归同一中心控制。反过来，所有管理信息要能回到中央管理库，用于分析和生成报告。

　　第二步，强制执行分配的策略。集中的安全策略必须强制下发到企业下面的多个系统。要做到这一点，中央管理控制台必须具备分发代理，配置独立系统，可靠管理并记录所有活动的能力。

　　第三步，部署分层管理。企业要设置并强制执行企业和部门对应的策略，并允许安全管理员(而非其他职能相关的IT人员)在安全域管理控制时分离责任。比如，一个财务公司的员被合法地授予维护的权力，但是他没有权力连接管理的财务数据。这种方法可保护敏感数据的保密性和完整性，通过限制访问来实现工作中的安全管理。

　　诚然，企业对自身数据安全的重视，达到了前所未有的高度。但只有科学合理的安全管理策略，才能让企业的安全战略真正落地。Vormetric的建议，从企业内部安全管理出发，帮助企业理清脉络，从而大大降低数据安全面临的风险。