数据安全似乎已经成了2011年信息安全的主要命题之一,Websense在其2010年安全威胁报告就已经指出:“2010年发生的主要攻击都有共同的目标:窃取数据”,其中还包括轰动一时的“极光(Aurora)和超级工厂病毒(Stuxnet)等。
而1月份爆发的“雷诺间谍案”则又为企业需警惕员工泄露内部核心数据敲响了一记警钟。据法国方面的新闻报道称,雷诺两名高管涉嫌盗窃和倒卖关乎雷诺未来发展的电动车资料。同时还有知情人爆出,雷诺与其合作伙伴为电动汽车项目投入了40亿欧元,此事将可能危及雷诺汽车未来的发展和数千人的就业。而同时,法国政府还是雷诺汽车15%股份的持有者,这一事实让此次泄漏事件的最终损失变得愈加难以估计。在此,我们且不论此次泄露事件爆出的背后是否有着更多的商业竞争和政治因素,但其直指了一旦企业的核心数据泄漏将为企业带来危险的后果。
众所周知,数据泄露一般经由三中途径造成,一是内部员工恶意窃取数据,二是内部员工无意间将数据外泄,三是外部威胁(如有组织的黑客犯罪集团及恶意软件等)。但在今天,无论是网络犯罪者,或者企业员工都清楚地意识到企业中的某些数据就是一种有形的价值资产,获取企业的敏感数据就等同于获得了现金。在这种直接利益引发的诱惑,我们不难预测在2011年甚至更远的将来,数据泄漏问题只会越演越烈。
如果威胁已经无法避免,那么企业应如何面对各种途径造成数据泄露问题呢?随着企业逐渐对数据安全重视,市场中各种类型的数据安全产品和解决方案也在各自为营,企业安全相关工作人员需要准确判断自身数据安全需求,并正确认识数据安全解决方案的特点,才能为企业做出最佳的数据安全产品选择,和最符合成本利益投资。对于数据安全我们需要了解:
安全是相对的,安全风险永远不可能等于0
用户有时候对数据安全的应用希望能够追求尽善尽美,倾向于把所以认知到的数据安全问题项都罗列出来,并希望这些数据安全问题能全部解决。但安全和威胁一直都是博弈存在的,此长彼消。作为安全厂商和企业我们共同的目标是要做到让数据安风险趋于0,而不是过于追求大而全的单款方案。在选择数据安全产品时,企业进行更多理性判断,诸如,什么情况下适合用怎样数据安全技术来对此类问题进行控制,而什么情况下我们需要借助数据安全工具将企业数据泄漏风险到最低,当然这个最低是业企业所能接受的,这样企业才能正确衡量投入多少资本进行安全防护是合理的,从而收到高的安全投资回报。
数据安全问题其实也是一种风险管理的问题,我们应该先解决最为严重的数据泄露风险,对于无法回避的数据泄露风险应该采用规章制度或者其他转嫁方法来解决。
数据安全不单单为一个部门,而是为企业运营解决问题
为企业解决数据安全问题,最理想的做法是从企业业务风险大小出发,告之企业一旦数据泄露对其业务影响有多大,这种影响绝不是只对其 IT层面。如果企业的图纸和源代码等核心数据泄露,整体企业都必须为其承担风险,而风险程度对于每个企业是各不相同的。例如某厂商的一款芯片的相关核心技术提前泄漏,由于一款芯片的生命周期是18个月,那么泄漏一款芯片对企业就不仅仅是半年到一年的影响,而意味着未来18个月企业都很难翻身。这对企业来说不是简单的几十万的损失,而是几百万甚至更多的无法预估的损失。所以要把数据泄露放在企业运营层面看待,它不仅仅保护企业内部的一些流程,不是对企业IT架构有多重要,而是对企业有多重要。数据安全不单单为一个部门,而是为企业运营解决问题。
数据泄漏防护(DLP)解决方案远远大于访问控制或加解密
数据泄漏防护(DLP)解决方案是目前最为成熟和国外最主流的数据安全保护方案,它可以有效识别各种机密数据的内容,从而应对各种数据变形后的泄密事件。但目前国内推出的DLP解决方案大部分依托于访问控制,加解密的保护。但在国外比较成熟的DLP产品会更多关注数据的内容到底是什么,它会用更多的技术去分析企业正在泄露的数据是工资单、图纸还是源代码。而不是不管是源文件还是代码,统统在策略中定制的只要是机密,就加密。
加密和DLP其实是两个概念。一款成熟的DLP产品需要做到能够真正识别企业机密数据的内容,正确的认识企业的业务流程(谁可以把何种企业数据发送到哪里?)以梳理出合理的业务流程保证敏感数据正确的流动,此外,还需针对主要的HTTP/s、 SMTP和USB等不同的业务渠道进行保护,并可以施以统一的策略管理和部署。
单纯通过加密和访问限制来对数据安全防护是非常局限的。进行加密之后文件从技术上讲内容被改变了,数据可能受到影响。此外,加密也可能会成为一种伪装,因为加密决策是由人来制定的。所以如果企业没有审计制度,就无法保证决策外的机密文件及其里面的内容是否没有被泄漏的。而这时,企业就会需要另寻专业的DLP技术来审计分析,外传文件中是否含有源代码等重要内容,因为审计部门靠人工是很难发现文件中是否有组合源代码的。并且,大范围内的加解密也会影响业务效率,尤其是对于上GB的文件来说。但一款专业的DLP方案能判断出真正是机密的内容,从而阻止外传,降低安全效率的损耗,缩小范围,提升效率。
但是,通常DLP解决方案无法解决数据已经泄漏到公司外部的情况,因此,企业可以采用加密、数字水印等技术来进行补充保护。
Web是当今数据泄露的主要通道
在Websense安全实验室针对2010年威胁的研究报告中就指出:52% 的数据泄露攻击通过Web实现。因为各种现代混合攻击都是通过将电子邮件威胁与Web攻击组合来破解企业安全防护组建的软肋。而另一方通过分析各种案例,我们不难发现由于员工的无意识或者疏忽造成的数据泄露事件最为频繁。企业内部员工可能因为无心之过,例如,在互联网上通过 Web 邮件网站将数据发送到自己的邮箱(如 gmail 和 hotmail),或是通过在线应用程序甚至Web2.0社交网络发帖等行为,无意识将机密数据送到图谋不轨的人的手里。面向未来的数据安全解决方案需要能与保护Web的Web安全网关相集成,做到一方面可帮助企业将将业务扩展到各Web 2.0网站,同时还能保护和防止恶意威胁并防范任何故意或意外导致数据及机密信息泄露。
总体来讲,无论是静态、动态或使用中的数据,其价值都不容忽视。而一次数据泄露所带来的损失可能比数据本身价值大得多。除了制定严格的数据保护法规和政策外,越来越多的政府开始着手实行对数据泄露方处以罚款的措施。 所以,从2011年企业起,企业应该更加强调和重视数据安全的应用。
【编辑推荐】
