在近幾年，幾乎所有企業(yè)，無論行業(yè)、規(guī)?；蛘哳愋停紝⒋蟛糠?jǐn)?shù)據(jù)保護力量放在“內(nèi)部威脅”上，也就是，那些已經(jīng)具有訪問權(quán)限的員工或者臨時雇員，他們可以誤用或者濫用這些企業(yè)給予的特權(quán)。這確實是事實，內(nèi)部威脅需要加以解決和得到重視，但是似乎很多企業(yè)太過于關(guān)注內(nèi)部威脅，而根本無視于企業(yè)外部的風(fēng)險。

這里需要考慮的問題時：“自主地發(fā)送到外部的關(guān)鍵數(shù)據(jù)資產(chǎn)?”

例如，銀行需要與審計員、監(jiān)管機構(gòu)、供應(yīng)商以及合作伙伴共享信息，與這些外部阻止相關(guān)的數(shù)據(jù)傳輸絕對是影響持續(xù)經(jīng)營的關(guān)鍵因素。然而，這種信息共享同時也是相當(dāng)危險的活動，數(shù)據(jù)丟失的幾率非常高，如果沒有適當(dāng)控制的話，將對銀行的聲譽產(chǎn)生很大的負(fù)面影響。

信息共享的必要性和數(shù)據(jù)傳輸?shù)妮d體和形式的增加，需要考慮的要點包括以下：

必須考慮威脅

什么或者誰讓數(shù)據(jù)處于危險之中?

當(dāng)數(shù)據(jù)從企業(yè)環(huán)境流到外部環(huán)境時，數(shù)據(jù)將受到各種類型的威脅，包括傳輸過程中可能遇到的中間人攻擊，以及存儲在第三方網(wǎng)絡(luò)中時的社會工程學(xué)攻擊等。

應(yīng)該考慮的可能遇到的風(fēng)險

上述的威脅將對企業(yè)的關(guān)鍵數(shù)據(jù)資產(chǎn)造成嚴(yán)重威脅，這些風(fēng)險無疑將造成數(shù)據(jù)丟失或者保密性破壞。如果公司沒有適當(dāng)?shù)臄?shù)據(jù)傳輸控制，例如TLS、SSL或者sFTP，中間人威脅將乘機竊取關(guān)鍵數(shù)據(jù)。

這種損失將對企業(yè)造成嚴(yán)重影響，包括收入損失、負(fù)面影響、恢復(fù)成本、客戶通知費用和失去客戶信任

必須部署適當(dāng)?shù)陌踩刂苼斫鉀Q這些威脅和降低風(fēng)險

需要考慮部署的控制不僅僅是與電子數(shù)據(jù)保護有關(guān)的控制，例如軟件/硬件加密

這超越了技術(shù)的范疇，上升到社交、管理、運營和過程控制，以避免社會工程序攻擊，并確保部署了其他保護因素，例如密碼政策、用戶訪問/權(quán)利控制和數(shù)據(jù)保護意識活動等。

一旦企業(yè)信息離開內(nèi)部環(huán)境，你部署的大部分控制都失效了。數(shù)據(jù)現(xiàn)在位于第三方基礎(chǔ)設(shè)施，依賴于第三方的數(shù)據(jù)安全控制和程序。這不只是關(guān)于數(shù)據(jù)傳輸?shù)降谌竭^程中的加密，而是關(guān)于數(shù)據(jù)在其整個生命周期進行保護的問題。

以下相關(guān)問題可以幫助確保對外部數(shù)據(jù)流的適當(dāng)控制：

與接收數(shù)據(jù)的第三方具有適當(dāng)?shù)谋Ｃ軈f(xié)議或者不披露協(xié)議?

數(shù)據(jù)如何被傳輸?shù)竭@些外部合作伙伴?對于電子傳輸是否有適當(dāng)?shù)募用?例如SSL、PGP、TLS)以及媒介傳輸具有充足的物理控制(例如加密磁帶、安全車)?

當(dāng)數(shù)據(jù)存儲在第三方或者在第三方處理時，會有多少人會訪問你的數(shù)據(jù)?是哪些人?

你是否知道第三方對只限制環(huán)境內(nèi)有限的必要的人來訪問你的數(shù)據(jù)的程序?

對于企業(yè)外部的人(例如第三方的合作伙伴或者供應(yīng)商，也就是，你的合作伙伴的合作伙伴)的訪問權(quán)限控制時怎樣?第三方是否會審查外部承包商、供應(yīng)商的安全控制以確保傳輸給他們的數(shù)據(jù)將會得到很好的控制?

第三方的服務(wù)器和防火墻如何?

外部第三方的通信機房和數(shù)據(jù)中心是否部署了適當(dāng)?shù)奈锢砜刂?，包括適當(dāng)?shù)幕照略L問和環(huán)境因素等?

接收數(shù)據(jù)的第三方是否部署了技術(shù)和過程控制以應(yīng)對和調(diào)查數(shù)據(jù)丟失事件?

部署了哪些技術(shù)和過程控制來防止數(shù)據(jù)從第三方的便攜式媒體、移動設(shè)備和電子郵件通信的數(shù)據(jù)泄漏?

第三方是否進行了內(nèi)部/外部審計(例如SAS-70、ISO27001認(rèn)證)?

存儲在第三方的數(shù)據(jù)當(dāng)不再需要時，將如何被銷毀或者歸還?

第三方是否有意識培訓(xùn)和教育計劃以確保其員工遵守協(xié)議保護其客戶的敏感信息?

很顯然你對業(yè)務(wù)合作伙伴的質(zhì)疑必須從技術(shù)、運營和過程控制方面來考慮，讓我們來從一個現(xiàn)實世界實例來說明為什么：

一名銀行業(yè)務(wù)經(jīng)理有一天決定通過文本郵件的形式將公司的稅務(wù)數(shù)據(jù)發(fā)送給他們的注冊會計師，而不是通過sFTP或者PGP加密電子郵件傳輸。結(jié)果是該電子郵件被注冊會計師的ISP電子郵件服務(wù)器攔截，注冊會計師方面的電子郵件ISP服務(wù)器的惡意管理員看到這封電子郵件具有重要數(shù)據(jù)，并使用這些數(shù)據(jù)得到120萬美元。

Open Security Foundation的2011年(到目前為止)DataLossDB數(shù)據(jù)丟失統(tǒng)計數(shù)據(jù)顯示：“平均來看，涉及第三方的數(shù)據(jù)丟失事件比那些不涉及第三方的事件造成的數(shù)據(jù)丟失損失更大。這可能是因為第三方處理的數(shù)據(jù)類型的結(jié)果，在企業(yè)間傳輸數(shù)據(jù)的過程，或者其他假設(shè)，這種趨勢很令人擔(dān)憂。”

最后，對于數(shù)據(jù)而言，最具風(fēng)險的環(huán)境就是沒有受擁有這些數(shù)據(jù)的企業(yè)所控制。具有訪問權(quán)限和意圖的內(nèi)部人員可能造成嚴(yán)重破壞，但是數(shù)據(jù)在企業(yè)內(nèi)部，企業(yè)應(yīng)該能夠部署適當(dāng)?shù)募夹g(shù)、程序和操作/人員控制來保護自己的數(shù)據(jù)。當(dāng)數(shù)據(jù)離開我們信任的環(huán)境時，只有盡可能的借助審計、審訊和測試來緩解風(fēng)險。

【編輯推薦】

1. Websense助力美國大型金融機構(gòu)數(shù)據(jù)安全保障
2. CA Technologies攜手銀聯(lián)數(shù)據(jù)抵御互聯(lián)網(wǎng)交易欺詐
3. 有錢沒錢 CIO都得保證企業(yè)數(shù)據(jù)安全
4. 防止數(shù)據(jù)和隱私泄露的十個最佳做法
5. 數(shù)據(jù)庫安全專家指出數(shù)據(jù)庫取證仍然落后