企業數據保護應以數據為中心
原創【10月26日51CTO外電頭條】隨便瀏覽一下現在的主流出版物,你會發現有越來越多關于商業企業和政府機構受到信息安全襲擊的報道。大量的數據泄露事件勢必會引發公眾的焦慮情緒。即便是深知這些威脅的嚴重性并且采取了適當的安全防御措施,企業們仍然面臨著各種各樣的信息安全風險。
既然對于這類攻擊的無視已經不再是企業和政府不能妥善保護數據的理由,你可能會提出這樣的疑問:他們到底在哪兒出了問題?
想想看:今天,數據的管理不僅涉及廣泛分布的工作地點和與員工,還必須考慮合作伙伴、供應商和共享服務提供商。隨著在日益復雜的網絡環境下對數據的收集、共享、處理和存儲,企業也就不得不面臨越來越嚴重的數據失竊和泄露的風險。
傳統的周邊防御,比如防火墻、入侵檢測和防病毒軟件,已經不再能夠解決很多今天的數據保護問題。為了加強這些防御措施并且滿足短期相關規范的要求,許多公司對于數據安全紛紛采取了執行多點產品的戰術性措施。這種片面的部署計劃確實可以為他們的數據提供一點點額外的保護,但是在管理上花費昂貴并且操作困難,這種做法并不能為未來的發展提供一個清晰的框架。
為了應對這些挑戰,企業需要采取以數據為中心的方法來實現真正的企業數據保護(EDP)——這是一個通過企業核心一直到它的邊緣來保護數據本身的戰略,也就是從關鍵數據存儲地到數據使用地的保護措施。EDP把數據分為活動、靜止或者是正在使用三類——包括數據庫、應用程序、網絡、文檔、終端設備和可移動媒體。該解決方案包括加密、安全密鑰管理、集中化控制以及日常管理實踐。
企業數據保護始于數據的發現和分類,在這期間應該決定哪些數據需要保護。檢測和報告功能也是確保數據完整和可靠必不可少的部分,這樣企業可以清楚地了解他們的安全狀態。任何可能會導致業務上的法律后果或者影響價格和公司責任的數據風險都是十分敏感的,必須進行及時保護。
數據存在三種不同的狀態:活動數據、靜態數據和正在使用的數據。一旦發現了數據并進行了分類,就必須對之加密。
加密是確保數據安全最重要的環節。這是一個轉化信息的過程,除了擁有特殊密鑰的人以外,該信息對其他人都不可讀。必須確保數據加密而不是僅僅依賴一個防護基礎架構。對數據進行加密可以讓數據不論是在網絡中活動、在數據庫和電腦中靜止或者在工作站中被使用的時候都能防患于未然。
通過使用數據加密這樣的基本措施來保護數據本身,企業可以在確保這些信息的隱秘性的同時,對它們的去向加以控制。由于同樣的措施可以用來保護整個公司的多個應用程序,企業就可以做到在確保隱私的前提下提高運營效率、管理風險并做到相應法規的遵守。
EDP的核心是對敏感數據進行加密和解密所使用的密鑰。企業必須部署一個密鑰管理解決方案從而能讓管理員通過唯一的中央控制處輕松管理這些密鑰。一個完善的密鑰管理系統應該可以讓你知道何種其它設備會擁有這個密鑰的副本。
理想情況下,一個密鑰管理方案應該為其它設備可以保持這樣的副本的期限加以限定,至于這些設備屆時是否能做到真正刪除這些副本,這可能需要一定程度的信任。中央控制處可以決定將這種權力授予企業的其他部門,但是前提必須是在系統發生故障或者失去控制的時候收回這種控制權。可以同時啟用集中化的日志和監察措施,這樣就可以跟蹤到所有用戶和管理員的操作了。
大多企業會在部署密鑰管理的時候考慮到以下環節——創建、存儲、歸檔/備份、分布、循環、過期和刪除。所有這些密鑰管理周期中的環節在推行起來必須符合企業的商業和安全需求。
基于策略的管理系統可以讓管理員們定義他們的規則然后在該規則系統之下進行管理。這些規則可以遵循“如果條件,然后采取何種行動”的形式。這個條件可能是一個用戶或者群體、一天中的某個時間、應用程序類型或者是網絡地址等等。然后將規則分配到網絡資源中去。基于策略的管理系統最適合大型網絡,通過中央控制可以輕松管理大量設備。
控制是監察、日志記錄和監控網絡活動必不可少的環節。企業應該學會利用多憑證技術——三重要素身份驗證,一定數量的用戶必須被授權某個特定的操作比如策略改變——由此來防患惡意管理員試圖授予他們自己未經授權就可創建或者刪除密鑰的權力。這種程度的粒狀通路控制可以讓企業密切監控管理員的操作行為,從而顯著降低風險和來自內部的攻擊。
企業數據保護還勾勒了未來擴展和整合的基本框架。隨著企業的不斷發展,IT環境的不斷多樣化,數據隱私的需求日益增加,以及新規范的介入,新型數據和數據元素的安全越來越受到重視。今天,企業不但需要EDP來保障信用卡數據安全并遵守PCI安全規范,同時也必須積極尋求一個可擴展方案來確保人力資源數據、有價證券投資、平面文件、新的應用程序和引入數據環境的數據庫的安全。
最后,一個有效的EDP策略還需要劃堅持對安全管理人員的培訓和堅持不懈的系統管理。這包括自動化流程,比如通過推行密鑰循環和職責分離政策來防止因某個管理員權限過大而導致的內部襲擊事件。換言之,就是授予某個管理員進行網絡配置的權限,而授予另一個僅僅是認證管理控制的權力。
在選擇數據安全解決方案的時候,企業出現差錯往往是因為不能決定如何妥善安排他們的數據,不夠了解他們的數據,或者沒有尋求工作中所需的基于標準技術,亦或是因為沒有堅持恰當的規劃和合作。簡單地說,他們沒有對真正的EDP進行仔細思考。
企業數據保護能夠確保一個有效的安全解決方案,可以降低企業IT基礎架構的復雜性以及管理和維護成本。通過中央化的策略管理,它能夠提供一個集成的安全平臺和具備成本效益的無縫加密數據。通過防止數據破壞和泄露,為你的企業減少負面公共輿論,它也為未來數據的保護需求、業務流程和相應法規的遵從提供了基礎。
原作者:Joe Moorcones
【編輯推薦】
