安全永遠是相對的
數(shù)據(jù)安全似乎已經(jīng)成了2011年信息安全的主要命題之一,Websense在其2010年安全威脅報告就已經(jīng)指出:“2010年發(fā)生的主要攻擊都有共同的目標(biāo):竊取數(shù)據(jù)”,其中還包括轟動一時的“極光(Aurora)和超級工廠病毒(Stuxnet)等。
而1月份爆發(fā)的“雷諾間諜案”則又為企業(yè)需警惕員工泄露內(nèi)部核心數(shù)據(jù)敲響了一記警鐘。據(jù)法國方面的新聞報道稱,雷諾兩名高管涉嫌盜竊和倒賣關(guān)乎雷諾未來發(fā)展的電動車資料。同時還有知情人爆出,雷諾與其合作伙伴為電動汽車項目投入了40億歐元,此事將可能危及雷諾汽車未來的發(fā)展和數(shù)千人的就業(yè)。而同時,法國政府還是雷諾汽車15%股份的持有者,這一事實讓此次泄漏事件的最終損失變得愈加難以估計。在此,我們且不論此次泄露事件爆出的背后是否有著更多的商業(yè)競爭和政治因素,但其直指了一旦企業(yè)的核心數(shù)據(jù)泄漏將為企業(yè)帶來危險的后果。
眾所周知,數(shù)據(jù)泄露一般經(jīng)由三中途徑造成,一是內(nèi)部員工惡意竊取數(shù)據(jù),二是內(nèi)部員工無意間將數(shù)據(jù)外泄,三是外部威脅(如有組織的黑客犯罪集團及惡意軟件等)。但在今天,無論是網(wǎng)絡(luò)犯罪者,或者企業(yè)員工都清楚地意識到企業(yè)中的某些數(shù)據(jù)就是一種有形的價值資產(chǎn),獲取企業(yè)的敏感數(shù)據(jù)就等同于獲得了現(xiàn)金。在這種直接利益引發(fā)的誘惑,我們不難預(yù)測在2011年甚至更遠的將來,數(shù)據(jù)泄漏問題只會越演越烈。
如果威脅已經(jīng)無法避免,那么企業(yè)應(yīng)如何面對各種途徑造成數(shù)據(jù)泄露問題呢?隨著企業(yè)逐漸對數(shù)據(jù)安全重視,市場中各種類型的數(shù)據(jù)安全產(chǎn)品和解決方案也在各自為營,企業(yè)安全相關(guān)工作人員需要準(zhǔn)確判斷自身數(shù)據(jù)安全需求,并正確認識數(shù)據(jù)安全解決方案的特點,才能為企業(yè)做出最佳的數(shù)據(jù)安全產(chǎn)品選擇,和最符合成本利益投資。對于數(shù)據(jù)安全我們需要了解:
安全是相對的,安全風(fēng)險永遠不可能等于0
用戶有時候?qū)?shù)據(jù)安全的應(yīng)用希望能夠追求盡善盡美,傾向于把所以認知到的數(shù)據(jù)安全問題項都羅列出來,并希望這些數(shù)據(jù)安全問題能全部解決。但安全和威脅一直都是博弈存在的,此長彼消。作為安全廠商和企業(yè)我們共同的目標(biāo)是要做到讓數(shù)據(jù)安風(fēng)險趨于0,而不是過于追求大而全的單款方案。在選擇數(shù)據(jù)安全產(chǎn)品時,企業(yè)進行更多理性判斷,諸如,什么情況下適合用怎樣數(shù)據(jù)安全技術(shù)來對此類問題進行控制,而什么情況下我們需要借助數(shù)據(jù)安全工具將企業(yè)數(shù)據(jù)泄漏風(fēng)險到最低,當(dāng)然這個最低是業(yè)企業(yè)所能接受的,這樣企業(yè)才能正確衡量投入多少資本進行安全防護是合理的,從而收到高的安全投資回報。
數(shù)據(jù)安全問題其實也是一種風(fēng)險管理的問題,我們應(yīng)該先解決最為嚴重的數(shù)據(jù)泄露風(fēng)險,對于無法回避的數(shù)據(jù)泄露風(fēng)險應(yīng)該采用規(guī)章制度或者其他轉(zhuǎn)嫁方法來解決。
數(shù)據(jù)安全不單單為一個部門,而是為企業(yè)運營解決問題
為企業(yè)解決數(shù)據(jù)安全問題,最理想的做法是從企業(yè)業(yè)務(wù)風(fēng)險大小出發(fā),告之企業(yè)一旦數(shù)據(jù)泄露對其業(yè)務(wù)影響有多大,這種影響絕不是只對其 IT層面。如果企業(yè)的圖紙和源代碼等核心數(shù)據(jù)泄露,整體企業(yè)都必須為其承擔(dān)風(fēng)險,而風(fēng)險程度對于每個企業(yè)是各不相同的。例如某廠商的一款芯片的相關(guān)核心技術(shù)提前泄漏,由于一款芯片的生命周期是18個月,那么泄漏一款芯片對企業(yè)就不僅僅是半年到一年的影響,而意味著未來18個月企業(yè)都很難翻身。這對企業(yè)來說不是簡單的幾十萬的損失,而是幾百萬甚至更多的無法預(yù)估的損失。所以要把數(shù)據(jù)泄露放在企業(yè)運營層面看待,它不僅僅保護企業(yè)內(nèi)部的一些流程,不是對企業(yè)IT架構(gòu)有多重要,而是對企業(yè)有多重要。數(shù)據(jù)安全不單單為一個部門,而是為企業(yè)運營解決問題。
數(shù)據(jù)泄漏防護(DLP)解決方案遠遠大于訪問控制或加解密
數(shù)據(jù)泄漏防護(DLP)解決方案是目前最為成熟和國外最主流的數(shù)據(jù)安全保護方案,它可以有效識別各種機密數(shù)據(jù)的內(nèi)容,從而應(yīng)對各種數(shù)據(jù)變形后的泄密事件。但目前國內(nèi)推出的DLP解決方案大部分依托于訪問控制,加解密的保護。但在國外比較成熟的DLP產(chǎn)品會更多關(guān)注數(shù)據(jù)的內(nèi)容到底是什么,它會用更多的技術(shù)去分析企業(yè)正在泄露的數(shù)據(jù)是工資單、圖紙還是源代碼。而不是不管是源文件還是代碼,統(tǒng)統(tǒng)在策略中定制的只要是機密,就加密。
加密和DLP其實是兩個概念。一款成熟的DLP產(chǎn)品需要做到能夠真正識別企業(yè)機密數(shù)據(jù)的內(nèi)容,正確的認識企業(yè)的業(yè)務(wù)流程(誰可以把何種企業(yè)數(shù)據(jù)發(fā)送到哪里?)以梳理出合理的業(yè)務(wù)流程保證敏感數(shù)據(jù)正確的流動,此外,還需針對主要的HTTP/s、 SMTP和USB等不同的業(yè)務(wù)渠道進行保護,并可以施以統(tǒng)一的策略管理和部署。
單純通過加密和訪問限制來對數(shù)據(jù)安全防護是非常局限的。進行加密之后文件從技術(shù)上講內(nèi)容被改變了,數(shù)據(jù)可能受到影響。此外,加密也可能會成為一種偽裝,因為加密決策是由人來制定的。所以如果企業(yè)沒有審計制度,就無法保證決策外的機密文件及其里面的內(nèi)容是否沒有被泄漏的。而這時,企業(yè)就會需要另尋專業(yè)的DLP技術(shù)來審計分析,外傳文件中是否含有源代碼等重要內(nèi)容,因為審計部門靠人工是很難發(fā)現(xiàn)文件中是否有組合源代碼的。并且,大范圍內(nèi)的加解密也會影響業(yè)務(wù)效率,尤其是對于上GB的文件來說。但一款專業(yè)的DLP方案能判斷出真正是機密的內(nèi)容,從而阻止外傳,降低安全效率的損耗,縮小范圍,提升效率。
但是,通常DLP解決方案無法解決數(shù)據(jù)已經(jīng)泄漏到公司外部的情況,因此,企業(yè)可以采用加密、數(shù)字水印等技術(shù)來進行補充保護。
Web是當(dāng)今數(shù)據(jù)泄露的主要通道
在Websense安全實驗室針對2010年威脅的研究報告中就指出:52% 的數(shù)據(jù)泄露攻擊通過Web實現(xiàn)。因為各種現(xiàn)代混合攻擊都是通過將電子郵件威脅與Web攻擊組合來破解企業(yè)安全防護組建的軟肋。而另一方通過分析各種案例,我們不難發(fā)現(xiàn)由于員工的無意識或者疏忽造成的數(shù)據(jù)泄露事件最為頻繁。企業(yè)內(nèi)部員工可能因為無心之過,例如,在互聯(lián)網(wǎng)上通過 Web 郵件網(wǎng)站將數(shù)據(jù)發(fā)送到自己的郵箱(如 gmail 和 hotmail),或是通過在線應(yīng)用程序甚至Web2.0社交網(wǎng)絡(luò)發(fā)帖等行為,無意識將機密數(shù)據(jù)送到圖謀不軌的人的手里。面向未來的數(shù)據(jù)安全解決方案需要能與保護Web的Web安全網(wǎng)關(guān)相集成,做到一方面可幫助企業(yè)將將業(yè)務(wù)擴展到各Web 2.0網(wǎng)站,同時還能保護和防止惡意威脅并防范任何故意或意外導(dǎo)致數(shù)據(jù)及機密信息泄露。
總體來講,無論是靜態(tài)、動態(tài)或使用中的數(shù)據(jù),其價值都不容忽視。而一次數(shù)據(jù)泄露所帶來的損失可能比數(shù)據(jù)本身價值大得多。除了制定嚴格的數(shù)據(jù)保護法規(guī)和政策外,越來越多的政府開始著手實行對數(shù)據(jù)泄露方處以罰款的措施。 所以,從2011年企業(yè)起,企業(yè)應(yīng)該更加強調(diào)和重視數(shù)據(jù)安全的應(yīng)用。
【編輯推薦】
