中国信息官CIO精英 前沿视野 经验之谈 职业发展 信息官杂谈 | 产品资讯笔记本 商用电脑 服务器 办公 网络设备 存储设备 软件 显示设备 其他

您当前的位置: 首页 > 基础设施 > 数据库 〉数据安全的重点之一:保护不设防的非生产环境

数据安全的重点之一:保护不设防的非生产环境

2008-01-23 10:05:41

  大部分企业都清楚地意识到保护其生产环境下的计算机拒绝未授权访问的必要性。政府法规和行业内法规(如PCI安全标准委员会)都要求企业进行执行相关的数据安全检查规程。即使如此,数据违规行为还是不停的被人揭露见诸报端,甚至诉诸法律,代价非常惨重。

  虽然业界已经采取行动应对最恶劣的数据剽窃行为,不过还是有不少计算机系统容易受到某种程度的攻击。而企业的数据安全规程完全没有切实涉及到也没有加以保护的另一个层面的计算机数据仍然存在,那就是非生产系统,这些计算机系统只用于企业内部开发、测试和培训之用。不管位于地球的哪个角落,也不管是多大规模的企业,这些“开放”的系统都是安全实务的一大漏洞。

  美国民间组织隐私权数据交换中心自2005年初臭名昭著的choicePoint数据外泄事件(2004年底该公司被黑客窃取了14.5万名客户的个人信息,包括社会安全号码和信用卡记录等资料,而公司在2005年初才将真相公诸于世)后,即对美国的资料安全状况展开了持续的根中调查。如果从安全威胁波及程度的角度来看,自2005年一月起有超过600多项违规操作被举报,造成了超过1.6亿个数据记录外泄,其中包括敏感的个人信息数据。而这只是保守估计,由于很多提交报告的企业并不知道数据记录泄漏的确切数量,还有的不愿意透露确切树数目,所以估计这个数目还不到实际数目的一半。而2006年的个人资料外泄事件再攀新高。涉及的企业包括上市公司也包括私人所有企业,有非盈利企业和各级政府机关。涉及的数据包括高度敏感的健康医疗信息、财政信息、就业信息、信用卡信息、社会安全信息和其他的个人资料。

了解何处不设防

  来自企业内部的威胁占据了主要地位,上述的违规行为中约有60%来自内贼。敏感个人信息的黑市交易对于某些人而言是个巨大的诱饵,因为盗窃数据俨然已经成为能带来滚滚财源的生意。举例而言,每个信用卡信息记录的价格是1.5美元,而每一份医疗身份卡信息记录的价格甚至高达5到50美元。而在几年前的身份盗窃黑市里,这些身份信息的售价还要更高,价格的下降也意味着黑市的规模在壮大,交易量突飞猛进。

  绝大多数的企业都喜欢在开发环境和测试环境中使用“真实数据”,以便对其应用程序进行测试,因为这可以提供一个最佳环境确保应用程序正常工作。然而,开发和测试环境中的人员、过程和技术控制实务以及所采取的安全措施都远比不上实际的产品生产环境。因此,许多企业都于不经意间在应用程序软件开发水平上,就使高度敏感的资料陷于泄漏的危险当中。

  某位曾在赛门铁克、富达投资和强生等大企业呆过的资深安全主管称,在今天的软件开发世界离,很多企业使开发资源多元化,他们不仅立足于本国,也开发了海外市场,不仅聘用承包商在其开发设备上工作,也会聘用外包人员开发软件。而非生产环境通常是开放式的,不需要登录,不进行监测,而且往往可以进行远程访问,这无疑为数据窃贼大开了方便之门,兼职就像是在给内部和外部的窃贼发布邀请函,让他们来轻轻松松收获敏感的个人信息,而且不会被什么安全卫士监测到。

保护非安全环境下的机密数据

  要保护机密数据以防各种潜在数据违规行为的破坏,企业必须确保非生产环境下的机密数据也得到了严密的保护。Gartner 的一份研究报告表明,安全漏洞造成的企业损失每年高达六百亿美元。事实上,在软件投入运行后,消除某项缺陷的费用是在开发和质量保证(QA)过程中纠正该错误花销的两到五倍。

  很多企业的机密数据可能存在很多未受保护的拷贝,为了保证这些拷贝数据的安全,新一类的数据安全软件正在开发当中,这些软件使企业能够自动为敏感数据进行保护设置,而不会破坏数据的完整性和测试的有效性。这项技术应当涵盖在应用程序软件开发水平上解决数据安全问题的三个关键要素。

  首先,企业应当寻求一种解决方案,使他们能够利用、自定义和创建复杂的规则,或者使已经移植到测试、培训及其他环境的敏感信息模糊化。其次,企业应当保证其解决方案在系统内部提供了对敏感信息的访问控制。最后,一个有效的解决方案应当自动识别和改变系统中复杂数据结构敏感数据元素的每一个实例,以便最大限度减少在所有测试和开发过程及系统中涉及信息安全的手动操作过程。

尽量降低数据泄漏的风险

  维护开发、测试和培训环境中的数据安全不仅能满足数据隐私法规的相关要求,而且能够通过避免敏感数据丢失、被盗或受到不正当访问及被非法使用所招惹的维护诉讼,减少法律风险成本。适当的数据安全软件提供了在测试环境中保证数据安全的方法,同时满足严格的法律规定。

  敏感数据和机密数据所受到的威胁确实存在,而且越演越烈。世界隐私论坛主管Pam Dixon在关于医疗身份被窃的一份报告中指出,医疗身份被窃在医疗系统中已经根深蒂固,除了给身份被盗的受害者带来财产损失之外,还会由于冒名顶替者在受害者的健康档案中添加的错误信息造成严重的危害,医疗机构也会由于没能防范这些窃取行为而承受法律风险。

  现在企业应当比以往任何时候都深刻地认识到保护敏感个人信息的重要性,不管这些信息存储在企业的什么系统中。有太多的敏感个人资料以电子形式存在,并在企业系统内导出流窜。数据的模糊化处理以及访问控制能够用来而且应当被用来保护信息技术基础架构的安全。

(责任编辑:刘科)

投稿邮箱:cio114@foxmail.com