数据泄漏真就“防”不胜防?
开篇:润墨网以专业的文秘视角,为您筛选了一篇数据泄漏真就“防”不胜防?范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
每天,各种来自组织内和组织间的巨量数据流动,不知不觉中增加了难以掌控的安全风险。窃密、泄密和失密的情况可能随时发生,让我们的企业和组织“防”不胜防。
究竟是谁让我们的数据处于高风险?有什么方法可以保证我们的数据安全?风险与防范这对矛和盾该如何做到有效平衡?问题摆在我们面前,是深入思考还是置之不理,或将决定我们的数据安全处于何种状态。
或许,每天来自网络的攻击报告让我们熟知采取一定的措施是可以在某种范围内防护病毒对系统的侵害。但是,对企业和组织的数据资产而言,这也只是安全风险中很小的一部分。甚至,它比起来自企业和组织内部的泄漏、违规上网以及应用过失风险等,麻烦远要小得多。
日前,在《软件和信息服务》记者拿到的一份《埃森哲一数据和隐私安全保护研究报告》中分析称,随着数据量的增长,企业和组织遭受数据泄漏事件随之增多。诸如SaaS(软件即服务)模式和基于云计算等颠覆性技术是造成这些事件的主要因素。特别是企业从多家服务提供商获得信息技术解决方案打破了数据储存在自身IT体系内的传统,并使数据在多个环境传播,使企业对数据管理的直接控制程度降低。这让企业的保密数据在流动过程中增加了安全风险。即使许多云服务商端到端、基础安全控制和隐私保护技术比任何一家企业客户自身的数据中心更先进、更安全,但仍有很多亟待解决的安全问题(如数据访问控制和认证)存在。
2009年,深圳妇幼医院信息泄漏事件、香港出入境资料泄密事件的发生都还只是冰山一角。在当事的企事业单位遭受难以估量的损害之余,人们不仅要问,我们的数据安全问题到底有多严重?来自IDC的调查报告显示,目前全球有近80%的企业存在信息安全与风险问题。而信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。
有分析人士指出,事实上,很多企事业单位在内外网、服务器隔离上就存在问题,业务系统的操作并没有明确授权,这会导致一些非授权人员大肆访问并修改内网服务器的重要数据;而许多单位内部员工的信息安全意识较为薄弱,很多时候将客户信息、内部敏感信息等在无加密的情况下在公网上随意传播,这样的信息数据极易被窃取和修改。
钱要花在刀刃上。难!
其实,说到数据安全,企业传统的做法更多是关注在访问控制,比如通过设置防火墙、入侵检测、购买防病毒软件等“硬手段”来防护。但这种措施只能防外部网络攻击和入侵,对来自企业内部的信息泄密无济于事。
对此,目前国内市场针对数据防泄漏的解决方案也不在少数,但整体来看不外乎围绕数据应用环境和数据本身两种思路做局部防护。所谓数据应用环境,是指数据运行和应用的软硬件环境,而对环境的监控,更多倾向于“堵”。结果可能是既影响企业运行效率,又永远跟在软硬件发展的后面呈追赶之势。对数据本身的防泄漏,又存在多种解决办法,比如现在市场颇为流行的DLP、内网管理、文档加密等技术手段。
理论如此,但真实情况又怎样?来自海关总署信息中心的信息安全工程师杨磊告诉本刊记者,数据安全是海关总署很敏感的一件大事,他们对这方面的需求很多,也很迫切。
尽管海关总署的信息安全工作是根据国家等级保护政策一起做起来的,而且等级保护里也用单独的一章来谈数据安全,“我们也按照这个做下来的。做法一是划安全域,即要搞清楚边界,另外是终端要控制住,还有就是访问控制,类似3A认证,对身份、权限等做控制。同时还做一些类似防火墙的控制和审计”。
现在工作一直在做,也做得越来越好,但杨磊仍感到不踏实:一是边界要划得很清楚,但这非常困难。因为在系统设计时,数据安全问题并没有考虑清楚。二是审计工作,虽然等级保护中对审计的要求很多,但现在业内对审计工作主要还是记日志,做深入分析的少。一旦有人动数据,想要很精确地定位这个人还是比较困难的。三是加密方式,海关总署的业务和信息系统是紧密捆绑在一起的,一旦信息系统出了问题,业务也会受阻。因此业务对可用性要求极高,而加密和可用性往往是一对矛盾体。所以做加密比较谨慎。四是数据和业务的联系。因为业务和技术的交互性不足,使得杨磊他们一时难以区分业务数据究竟哪些是重要的,哪些是特别需要保护的。
杨磊对加密的顾虑并非空穴来风。据悉,北京市曾在实施一卡通项目时遇到过这样的大麻烦。因为它对每笔交易同时要用加密算法做加密,带来的问题是加密完了以后速度跟不上,系统要求每天必须处理完三千万笔交易量,但实际情况是一上加密,处理量不到五百万笔。而单靠增加加密机数量,又会对整个系统架构造成一些破坏。
而北京市药监局在数据安全问题上则特别从业务层和数据关系上区分哪些数据是需要保密的,在涉及敏感或商业机密的数据上先做定义。比如他们掌握着北京市所有涉药企业的审批、后续监管手续;还有一些较敏感信息,如特殊药品的生产、运送、运输到最后使用的整个过程都必须是严格监管的;还有国家现在在做的所有药品的电子监管,即从药品生产出来到最后使用整个要到电子监管板上。其过程上报可能涉及到企业的商业机密,比如药厂跟谁合作,中间批发商、整个销量等等。
据北京市医药信息研究所信息技术工程师王永清透露,目前北京市药监局对特殊药品电子监管板采取的是特殊限制,即对所有企业上报登录系统,包括内部人员必须采用CA证书操作。一是登录身份验证,二是对所有操作做认证分析,做审计,包括行为审计和数据审计。当用户登陆时,他们知道是哪个用户,他做的每一步操作是什么,对数据做了哪些修改,都能及时掌握。而惯用的做法也不外对现有服务器做加密,以及做数据库审计,包括行为审计、操作日志,再就是数据加密。
但对于信息化发展仍属初级阶段的首都医科大学附属北京同仁医院来说,目前医院各主要信息系统都已上线,医院信息化发展的步伐从初步系统建设正在走向更深、更广的未来。随着IT技术的发展,医院的信息系统必将跟随着时代的脚步逐步前进,隐私安全、账户安全、资金安全等信息安全问题也将逐步显现。“一些基于管理,基于标准化、系统化、流程化的系统建设与跟进,安全的问题也日趋突出,我们需要一系列日臻成熟的、不断完善的信息安全系统类产品。”该院安全工程师孙琳告诉记者,北京市的医院自2008年以来,逐步都进行了信息系统等级保护定级工作,并且按照信息系统等级保护的相关要求,对相应的系统都按照信息安全策略进行了相应的防护。一些基于安全方面的数字签名、入侵检测、安全审计等技术、必将广泛的应用在医院各信息系统中。
而作为一家综合医院,一旦系统宕机超过10分钟就要上报。因此医院特别怕信息泄漏,尤其怕跟财务沾边的信息被篡改,因为医保上线,病人要实时结算,还有患者的隐私信息有没有保密,都
让数据安全问题越来越重要。
由上看出,多数企业和组织对数据安全的防护手段大同小异。钱是花了,各种办法也试过了,用过了,可心里就是不踏实。
谁来保护我们的数据安全
对于企业和组织迫切的数据安全防护需求,是在原有系统基础上增加辅助措施,还是重新来建设也是他们最为关注的问题。
但分析人士指出,目前最急迫的是要先提高数据防泄漏的群体防护意识。还要看当前市场能提供怎样的防护措施。
作为Gartner今年6月公布的DLP数据防泄漏产品全球四强首位的厂商赛门铁克,在3月便推出了Data Insight技术。赛门铁克中国区技术团队专家部技术经理徐耀文表示,新技术可以帮助企业通过洞察非结构化数据(如文档、电子表格和电子邮件等)的所有权及使用情况,提升对数据的治理。而该项技术也将被整合到赛门铁克整个安全和存储产品系列中,为企业提供一个统一的数据治理方法。据了解,Data Insight是目前唯一提供此类集成的技术,它通过简化对易受攻击关键数据的补救工作以及优化其存储环境,可以帮助企业将信息资产与企业业务目标统一起来。赛门铁克数据丢失防护(DLP)解决方案将是第一个完全集成Data Insight技术的解决方案。其后,公司还将在2010年推出集成了该技术的存储和信息管理解决方案。
另外,在目前热议的云计算安全方面,企业和组织在向云服务提供商购买服务时一般是基于安全和信任,因此电信运营商首先要保证云服务架构的安全,从而保证用户的信息安全,其次,由于不管用户使用何种设备或应用,其身份决定了他们能够访问何种信息,以及这些信息将被如何使用和共享。所以,在云计算中。鉴权及身份认证尤为关键。而赛门铁克刚收购了威瑞信的身份信息安全和身份认证业务,包括SSL认证服务、公钥基础设施(PKI)服务、威瑞信信任服务和身份保护认证服务,来帮助企业和组织在无论何时何地都能简单、安全地接人自己的信息,无论在云环境中或云环境外,相关信息都能得到保护。
绿盟科技产品市场经理刘敏告诉记者,针对数据防泄漏越来越集中到终端一侧的情况,他们更注重数据防泄漏之前的建设。比如到底哪些数据,哪些数据可以公开,企业应做到心中有数。在此基础上,对业务系统做梳理,从业务层面尽量做到数据防泄密控制。可一旦脱离业务系统的数据防泄密,刘敏认为,有必要分清到底是想防更多有意、恶意的泄密还是一个误操作。
对有意、恶意的泄密,刘敏认为,要以管理制度为主,再加些技术措施;但对有意的泄密,可能技术手段都不能完全解决,还应以管理为主;而对无意或误操作的泄密,绿盟科技还是有相应办法去降低风险的。比如无意的泄密从途径上可分为两类:一是通过网络协议,如发邮件、发帖子过程;一类是通过物理设备,如终端外设管理,特别是u盘管理。u盘在企业日常工作中使用尤为频繁,而以往企业防火墙上了,相关产品都上了,感觉事件还是层出不穷。其实多半因为以往企业可能还是着重于网络层面,没有关注到数据层面,仅这一点就有很大区别。终端管理同样如此,以前u盘管理产品有很多,但落到数据防泄密层面,终端管理到底能解决多少问题,还要看产品到底在数据层面能解决多少问题。绿盟科技移动存储设备管理系统针对数据防泄密问题,从注册、授权、审批、审计、销毁的全生命周期管理人手,对u盘、移动硬盘等移动存储设备的使用进行全面、细粒度的管理和控制,为企业在数据防泄密的问题上把好外设这一关。
与国内厂商注重加密有所不同的是,McAfee等国外厂商对DLP的定义更关注内容识别。McAfee产品部门经理张东伟认为,企业要先了解信息泄露出去的途径可能有哪些?是U盘拷贝、打印、Email、论坛还是拷屏等。做到有效的信息安全保护,技术手段上,要将加密技术和有数据防泄漏的技术相结合,同时管理方面,如规章制度也要加强。要做到技术和管理并重。不能认为只要部署了产品,信息安全就可以高枕无忧了。
一贯给业界防病毒厂商印象的McAfee,其实是一个具有权限的安全产品公司,它从数据安全、网络安全包括主机安全、边界安全都有自己的解决方案。它提出了企业安全防护三道防线的理论。McAfee技术产品经理张雷生称,在构筑安全系统时,无论方案怎样设计,宏观上包含三道防线:第一道防线立足于防,即事前防御。如部署防火墙、防病毒,且的为了防止安全事故的发生。但毕竟防不胜防,第一道防线一旦被突破,就必须有第二道防线,即事中监控,包括管理和技术层面的各种手段,能保证我们及时发现和控制。但如果第二道防线也被突破,黑客手法太高明,没能被当场发现;或来势太猛,虽然发现了,却没能控制住,造成一定损失,这时第三道防线事后追踪就开始发挥作用了,即我们能够根据安全事件从发生到结束留下的各种踪迹,梳理有价值的线索,寻根溯源,挖出罪魁祸首。目前绝大多数单位已建筑了第一道防线,第二道防线做得不是很好,第三道更薄弱了。很多单位现在还把人力物力财力投入到第一道防线的升级、调整、加固上,这个思路是不对的。应抓紧时间部署后面两道防线。
张雷生指出,不管是McAfee,还是赛门铁克、趋势、websense,DLP都没有加密概念。但McAfee有一个针对网络的DLP(NDLP),是为解决第三道防线问题,即解决审计问题的。跟入侵检测不同,网络入侵检测是监听网络上一切活动,只负责检测里面的入侵,但NDLP通过监听网络,来审计出所有的敏感信息被访问时,被谁访问过,什么时间访问过,然后都做过哪些操作。所以,一旦企业发生安全事件,想要进行事后追踪、定位、想找证据,缉拿幕后真凶,从技术角度这个产品是―个较成熟的方案。
其实,正如张雷生所言,对企业和组织,信息安全不可能确保,只能尽量大可能去降低。
在文档加密方面,专注文档多年的金山现在联合一些单位推出了WPS安全版,从基础文档人手增加企业的数据安全。金山业务拓展部经理赵力伟表示,本身研发WPS的金山在处理原始数据上较有优势,通过对原始数据加入干扰码方式来保护文档安全。当打开安全版文档时,需校验身份。根据企业内部系统指纹识别、IC卡或文本证书、硬件证书等来验证WPS的合法性。打开后,在生成文档时,还会有―个存放关键字的小字库,它们由企业自己定义。在用户保存文档时,它会根据文档内容帮企业识别,文档是要保密,是在哪―级别上,然后根据关键字来提示保存成安全文档。而金山也涉及加密。“我们对里面部分数据流包括验证用户合法性的特征字符,取自硬件UKey、软件证书、指纹识别、IC卡等,取其特征码后再加上服务器一些信息,再加上软件正版序列号,一起做非对称加密。之后对整体文档用干扰码处理,再做对称性加密。文档未经授权时,他人是无法打开的。
所以,金山尝试保证文档在最开始起草时,本身相对是安全的。同时金山在每个文件每次被编辑时,在文件里和服务器上都会留下一个信息,信息包括用户身份,哪个用户打开了这个文件,做了什么操作,打开这个机器的CPU序列号、硬盘序列号、IP地址、Map地址等都会被记录下来。
联想网御产品经理刘燕岭则认为:“身份认证是首先要完善的问题,它保证了员工身份和终端的合法性。划分了安全边界,才能对授信的人或终端进行管理,对不授信的人或终端我们就直接把他们隔离到网络之外。在文档管理上,我们要有张有弛,对重点区域、重点人进行权限划分,重点信息重点保护,非重点的可多采用审计系统进行震慑管理。”
尽管来自行业厂商的最新技术与方法多样且需要具体问题具体分析,但刘燕岭的一个说法却值得我们深思――他认为一一数据防泄漏不是单一的产品能解决的,而应是一个很系统的事情。
前文提到的埃森哲报告指出,从行业层面来讲,企业必须采取两个关键举措:一是重新审查数据保护和合规框架。在大多数行业中,数据保护和合规框架一直滞后于数据生成、收集和共享的方式和速度,这方面工作远远不够。而数据保护框架应当全盘统筹,避免片面应对合规问题。
关键在于,保护敏感数据的最佳方式就是将数据和隐私安全保护看作公司的核心价值,使其成为自己独特的能力,以帮助企业在不断变化、难测的全球经济中实现卓越的绩效。