企业数据保护应以数据为中心

【10月26日51CTO外电头条】随便浏览一下现在的主流出版物，你会发现有越来越多关于商业企业和政府机构受到信息安全袭击的报道。大量的数据泄露事件势必会引发公众的焦虑情绪。即便是深知这些威胁的严重性并且采取了适当的安全防御措施，企业们仍然面临着各种各样的信息安全风险。

既然对于这类攻击的无视已经不再是企业和政府不能妥善保护数据的理由，你可能会提出这样的疑问：他们到底在哪儿出了问题？

想想看：今天，数据的管理不仅涉及广泛分布的工作地点和与员工，还必须考虑合作伙伴、供应商和共享服务提供商。随着在日益复杂的网络环境下对数据的收集、共享、处理和存储，企业也就不得不面临越来越严重的数据失窃和泄露的风险。

传统的周边防御，比如防火墙、入侵检测和防病毒软件，已经不再能够解决很多今天的数据保护问题。为了加强这些防御措施并且满足短期相关规范的要求，许多公司对于数据安全纷纷采取了执行多点产品的战术性措施。这种片面的部署计划确实可以为他们的数据提供一点点额外的保护，但是在管理上花费昂贵并且操作困难，这种做法并不能为未来的发展提供一个清晰的框架。

为了应对这些挑战，企业需要采取以数据为中心的方法来实现真正的企业数据保护（EDP）——这是一个通过企业核心一直到它的边缘来保护数据本身的战略，也就是从关键数据存储地到数据使用地的保护措施。EDP把数据分为活动、静止或者是正在使用三类——包括数据库、应用程序、网络、文档、终端设备和可移动媒体。该解决方案包括加密、安全密钥管理、集中化控制以及日常管理实践。

企业数据保护始于数据的发现和分类，在这期间应该决定哪些数据需要保护。检测和报告功能也是确保数据完整和可靠必不可少的部分，这样企业可以清楚地了解他们的安全状态。任何可能会导致业务上的法律后果或者影响价格和公司责任的数据风险都是十分敏感的，必须进行及时保护。

数据存在三种不同的状态：活动数据、静态数据和正在使用的数据。一旦发现了数据并进行了分类，就必须对之加密。

加密是确保数据安全最重要的环节。这是一个转化信息的过程，除了拥有特殊密钥的人以外，该信息对其他人都不可读。必须确保数据加密而不是仅仅依赖一个防护基础架构。对数据进行加密可以让数据不论是在网络中活动、在数据库和电脑中静止或者在工作站中被使用的时候都能防患于未然。

通过使用数据加密这样的基本措施来保护数据本身，企业可以在确保这些信息的隐秘性的同时，对它们的去向加以控制。由于同样的措施可以用来保护整个公司的多个应用程序，企业就可以做到在确保隐私的前提下提高运营效率、管理风险并做到相应法规的遵守。

EDP的核心是对敏感数据进行加密和解密所使用的密钥。企业必须部署一个密钥管理解决方案从而能让管理员通过唯一的中央控制处轻松管理这些密钥。一个完善的密钥管理系统应该可以让你知道何种其它设备会拥有这个密钥的副本。

理想情况下，一个密钥管理方案应该为其它设备可以保持这样的副本的期限加以限定，至于这些设备届时是否能做到真正删除这些副本，这可能需要一定程度的信任。中央控制处可以决定将这种权力授予企业的其他部门，但是前提必须是在系统发生故障或者失去控制的时候收回这种控制权。可以同时启用集中化的日志和监察措施，这样就可以跟踪到所有用户和管理员的操作了。

大多企业会在部署密钥管理的时候考虑到以下环节——创建、存储、归档/备份、分布、循环、过期和删除。所有这些密钥管理周期中的环节在推行起来必须符合企业的商业和安全需求。

基于策略的管理系统可以让管理员们定义他们的规则然后在该规则系统之下进行管理。这些规则可以遵循“如果条件，然后采取何种行动”的形式。这个条件可能是一个用户或者群体、一天中的某个时间、应用程序类型或者是网络地址等等。然后将规则分配到网络资源中去。基于策略的管理系统最适合大型网络，通过中央控制可以轻松管理大量设备。

控制是监察、日志记录和监控网络活动必不可少的环节。企业应该学会利用多凭证技术——三重要素身份验证，一定数量的用户必须被授权某个特定的操作比如策略改变——由此来防患恶意管理员试图授予他们自己未经授权就可创建或者删除密钥的权力。这种程度的粒状通路控制可以让企业密切监控管理员的操作行为，从而显著降低风险和来自内部的攻击。

企业数据保护还勾勒了未来扩展和整合的基本框架。随着企业的不断发展，IT环境的不断多样化，数据隐私的需求日益增加，以及新规范的介入，新型数据和数据元素的安全越来越受到重视。今天，企业不但需要EDP来保障信用卡数据安全并遵守PCI安全规范，同时也必须积极寻求一个可扩展方案来确保人力资源数据、有价证券投资、平面文件、新的应用程序和引入数据环境的数据库的安全。

最后，一个有效的EDP策略还需要划坚持对安全管理人员的培训和坚持不懈的系统管理。这包括自动化流程，比如通过推行密钥循环和职责分离政策来防止因某个管理员权限过大而导致的内部袭击事件。换言之，就是授予某个管理员进行网络配置的权限，而授予另一个仅仅是认证管理控制的权力。

在选择数据安全解决方案的时候，企业出现差错往往是因为不能决定如何妥善安排他们的数据，不够了解他们的数据，或者没有寻求工作中所需的基于标准技术，亦或是因为没有坚持恰当的规划和合作。简单地说，他们没有对真正的EDP进行仔细思考。

企业数据保护能够确保一个有效的安全解决方案，可以降低企业IT基础架构的复杂性以及管理和维护成本。通过中央化的策略管理，它能够提供一个集成的安全平台和具备成本效益的无缝加密数据。通过防止数据破坏和泄露，为你的企业减少负面公共舆论，它也为未来数据的保护需求、业务流程和相应法规的遵从提供了基础。

原作者：Joe Moorcones

【编辑推荐】

1. 拯救行动第二季——揪出内网泄密的罪魁祸首
2. 2010年不容忽视的十大网络安全威胁变化
3. 网络安全威胁制约企业发展
4. 亚太区网络安全威胁如此严峻 如何让零日威胁降低到最小？
5. 采用DDOS攻击防御解决方案化解网络安全威胁
6. 解析企业网络安全威胁及防御技巧