信息与网络融合 重新审视数据安全防护

    近年来，越来越多的企业开始向外部商业伙伴和移动办公的员工开放公司的网络和数据中心，而安全专家们则一再表示，网络外围防御非常薄弱，存在很多漏洞，很可能使关键数据从端点泄漏并涌出数据库和文件共享区域。去年发生的JX公司泄漏事故，11名攻击者自2004年来就隐藏在TJX公司和其他6家品牌商的网络中，总共盗取了信用卡和借记卡帐户4500万美元。

　　如今的网络到处都布满漏洞，企业不仅要抵御那些试图攻击漏洞盗取信用卡号码的黑客，同样也要避免那些在家里办公的员工不小心将关键资料传到外部网络。

　　哥伦比亚大学计算机科学系的教授，Usenet在线讨论系统的创建人之一Steven Bellovin表示“通常情况下，公司经常需要透过防火墙与外部网络用户联系(包括客户、WEB服务、供应商以及外包商)，我们并没有保护好我们的关键数据，那么，我们应该怎么做呢?”

　　Bellovin提出了黑心安全的概念，以防止外部攻击者获取数据库和文件共享区域中的关键数据。这个概念与Open Group的Jericho Forum的想法非常相似，Jericho Forum主张根据数据重要性给数据分级，重点保护存储关键数据的区域，为这些分级数据进行加密并部署不同级别的安全通信方式。

　　网络外围，作为过滤网络攻击的有效屏障，其实还可以发挥更多重要的作用。不管是Bellovin还是Jericho Forum，他们并没有主张让公司企业对他们的外围边缘安全置之不理，他们也没有让公司简化信息保护的流程，他们希望开发出拥有更多过滤层、更具复杂性和多种选择的整合保护产品。

　　“我们的问题在于没有从整体把握数据，结果导致大量数据泄漏事故的发生，从整体把握数据需要弄清楚被访问的资源与用户之间的关系，用户通常怎样使用数据以及数据的性质等问题。”服务器和存储咨询公司Taneja Group的验证服务主管Jeff Boles表示说。

　　从整体把握保护关键数据的方法为那些正试图分辨结构化数据和非结构化数据或者使用中的数据和存储中的数据的IT专业人士们提供了整合解决方案的概念，不过，数据分级、加密、监测、控制访问以及关键数据的使用等工作是很难作为整体解决的，这就使公司不得不使用各种不同的工具来保护数据不被外泄，这些工具数据丢失防护工具、访问控制和加密工具等。

　　核心数据保护

　　首先，公司必须弄清楚哪些数据需要得到保护以及将这些数据存储在何处等基本问题，这也是Bellovin和Jericho模式的基本原理。

　　然而，很多公司根本不知道哪些是需要保护的数据以及数据存储的位置，Aberdeen Group的副总裁Derek Brink表示。在Aberdeen Group五月份公布的调查显示(调查对象是120多名IT安全专业人士)，50%的受访者表示其公司已经明确了关键数据并对关键数据做了分类。保护真正重要的资源和数据，对于企业而言是十分必要的。

　　位于圣地亚哥的夏普医疗护理中心，拥有七家医院、两支医疗小组和16000名员工，他们使用了各种手动和自动化工具来了解数据性质并管理好关键数据。这其中包括使用赛门铁克公司的Vontu数据丢失防护产品套件来发现关键非结构化数据，例如医保卡号码和社保卡号码等。通过识别存储HIPAA法案(健康保险流通与责任法案)、金融法规与其他法规审计数据的区域关键数据库中的数据，检查这些数据在数据库外面的文件共享区域和端点处的行径来最终确定关键数据。

　　根据Bellovin和Jericho的理论，DLP供应商们认为，DLP工具最好用于监控少量的重要的数据类型。因此，Vontu在执行初次扫描时并不需要标记关键数据库中的每种类型的数据，人们通常会标记前五种或者前六种需要保护的数据类型。Aberdeen调查结果显示，像夏普医疗护理中心一样，大多数公司会最先对合规数据进行分类并予以保护。

【我要评论】

【大 中 小】 【打印】