中國(guó)IDC圈4月24日?qǐng)?bào)道:最近幾個(gè)月發(fā)生的事件表明�,僅僅跟上隱私和安全條例的發(fā)展并不意味著你就不會(huì)遭遇數(shù)據(jù)破壞。企業(yè)需要更加認(rèn)真和更富創(chuàng)造性地對(duì)數(shù)據(jù)的管理和保護(hù)問(wèn)題進(jìn)行思考�,并且以后這將比法規(guī)遵從更加重要,Voltage的Mark Bower寫(xiě)到�。
在如此一個(gè)經(jīng)濟(jì)不景氣時(shí)期思考這些問(wèn)題具有特別的意義:惡劣的市場(chǎng)狀況,企業(yè)消減開(kāi)支�、精簡(jiǎn)那些心懷不滿的員工給渴望在全球數(shù)據(jù)系統(tǒng)領(lǐng)域得到尊重的黑社會(huì)發(fā)起有組織有預(yù)謀的攻擊制造了完美的條件。
今天的我們正不得不面對(duì)如下的問(wèn)題:記錄的數(shù)據(jù)被破壞�����,強(qiáng)度和規(guī)模都有所增加的搶劫行動(dòng)����,以及專業(yè)黑客購(gòu)買和銷售的整套攻擊技術(shù)和系統(tǒng)的漏洞信息。如果你讀到消息稱數(shù)千萬(wàn)美元被支付網(wǎng)絡(luò)侵吞�����,要知道這其實(shí)并不罕見(jiàn)。
實(shí)際上����,我們可以假設(shè)多重犯罪分子要想盜竊我們的身份有眾多方式的選擇。這些給我們帶來(lái)的損失就是:數(shù)十億美元的金額賠償����,品牌和名譽(yù)損害導(dǎo)致的不計(jì)其數(shù)的損失,呈螺旋上升趨勢(shì)的審計(jì)費(fèi)用�����,以及絞盡腦汁解決這些問(wèn)題時(shí)人們的頭痛�����。
數(shù)據(jù)破壞事件比僅僅遵守保密規(guī)定的花費(fèi)要昂貴得多���,因?yàn)橐?guī)定永遠(yuǎn)都是在威脅已經(jīng)發(fā)現(xiàn)后才被人們制定出來(lái)的��,并可能演變成為能被利用的企業(yè)弱點(diǎn)�。企業(yè)��、付款處理機(jī)構(gòu)、業(yè)務(wù)流程外包商�,甚至非盈利組織都必須采取積極主動(dòng)的對(duì)策才應(yīng)對(duì)這些問(wèn)題,或者��,他們現(xiàn)在就必須去付諸行動(dòng)���。
通過(guò)流程進(jìn)行保護(hù)
Data privacy compliance(數(shù)據(jù)隱私規(guī)則)并不是一成不變的固定條款。盡管直到現(xiàn)在����,全面的安全措施高昂的價(jià)格仍不能讓人們接受,但是最佳的保護(hù)措施往往需要全面的保護(hù)����。然而,最近規(guī)模擴(kuò)大的企業(yè)中出現(xiàn)了一個(gè)新的數(shù)據(jù)保護(hù)的模式:一個(gè)“數(shù)據(jù)為中心”的辦法���,它從捕獲時(shí)刻開(kāi)始并貫穿整個(gè)生命周期����,是真正端到端的保護(hù)���,并對(duì)現(xiàn)有系統(tǒng)沒(méi)有重大的破壞����。這樣的數(shù)據(jù)保護(hù)方法讓系統(tǒng)可有效地抵御從外部到內(nèi)部威脅,并且還大大降低了成本����。
傳統(tǒng)保護(hù)數(shù)據(jù)的方法通常強(qiáng)加了很大的負(fù)擔(dān),并且迫使人們改變應(yīng)用程序和系統(tǒng)�。例如,大多數(shù)企業(yè)或交易處理機(jī)構(gòu)在現(xiàn)有系統(tǒng)上已經(jīng)投入了大量的資金����,并且大量的規(guī)定的數(shù)據(jù)可能需要留在原有的IT平臺(tái)和網(wǎng)絡(luò)上。舉例來(lái)說(shuō)���,在應(yīng)用程序環(huán)境中��,系統(tǒng)存在著固有的復(fù)雜性和多樣性��,這意味著用傳統(tǒng)的方法對(duì)數(shù)據(jù)進(jìn)行加密需要IT基礎(chǔ)設(shè)施的一次整體“大修”�。更糟糕的是����,靜止數(shù)據(jù)加密(在實(shí)時(shí)的IT系統(tǒng)中少有靜止數(shù)據(jù))無(wú)法阻止(那些我們?cè)诮裉煸絹?lái)越頻繁地看到的)瞬間發(fā)生的攻擊。
拿金融交易處理環(huán)境作為一個(gè)例子來(lái)說(shuō)�,在傳統(tǒng)的加密方式中加密數(shù)據(jù)和對(duì)社會(huì)安全號(hào)(SSN)或信用卡號(hào)進(jìn)行加密同樣簡(jiǎn)單���,會(huì)影響應(yīng)用層社會(huì)安全號(hào)或信用卡領(lǐng)域的每個(gè)地方。由于從加密數(shù)據(jù)處理的變化�,傳統(tǒng)的方法將會(huì)對(duì)用戶體驗(yàn)以及交易的反應(yīng)時(shí)間產(chǎn)生影響。
tokenization或“data vaults”(原始數(shù)據(jù)的一個(gè)別名��,指向真實(shí)數(shù)據(jù)����,或者可產(chǎn)生真實(shí)數(shù)據(jù)的二級(jí)數(shù)據(jù)庫(kù))等其他的傳統(tǒng)方法�,只是簡(jiǎn)單地將問(wèn)題轉(zhuǎn)移到了另一個(gè)地方,同時(shí)還造成了更多的負(fù)擔(dān)��。例如�,敏感數(shù)據(jù)的更多儲(chǔ)存需求和業(yè)務(wù)連續(xù)性管理方面的巨大復(fù)雜性。再次��,這并不現(xiàn)實(shí)���,特別是在這樣一個(gè)艱苦的市場(chǎng)環(huán)境下����。
但是���,好消息是出現(xiàn)了一些新的方法可以盡量減少這種影響�����。例如AES格式保留加密(AES Format-Preserving Encryption)和Stateless密鑰管理等技術(shù)可以讓加密更新過(guò)程更簡(jiǎn)單和更具成本效益地融入到原有的應(yīng)用環(huán)境中���。
當(dāng)然�,數(shù)據(jù)加密也有其負(fù)面:一些規(guī)章制度給處理加密數(shù)據(jù)帶來(lái)了法律以及其他方面的挑戰(zhàn)����。例如,目前支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI)等規(guī)定和一些地方性法規(guī)(2010年內(nèi)華達(dá)州和馬薩諸塞州新頒布的法律)特別提出要對(duì)數(shù)據(jù)進(jìn)行加密��,而且還有一些規(guī)定需要數(shù)據(jù)的快速恢復(fù)程序��,如電子發(fā)現(xiàn)(例如����,美國(guó)證券交易委員會(huì)17A-4條)。
這就是為什么以數(shù)據(jù)為中心的保護(hù)方法必須考慮到數(shù)據(jù)的整個(gè)信息生命周期��;如��,一些業(yè)務(wù)流程可能會(huì)強(qiáng)加于已沒(méi)有實(shí)際用途的數(shù)據(jù)上。如果不對(duì)這些數(shù)據(jù)進(jìn)行銷毀���,只會(huì)對(duì)特定的交易的數(shù)據(jù)的日常用途造成妨礙��。
在數(shù)據(jù)倉(cāng)庫(kù)技術(shù)中這變得至關(guān)重要��。例如����,Stateless Key Management就是以數(shù)據(jù)為中心的保護(hù)辦法��。當(dāng)與強(qiáng)用戶認(rèn)證系統(tǒng)相結(jié)合的時(shí)候(如Identity Management Infrastructure)�����,電子監(jiān)管準(zhǔn)入成為自然過(guò)程��,而不是在被禁止使用��,這讓調(diào)查過(guò)程的復(fù)雜性猛然增多���。以前的密鑰在fly和數(shù)據(jù)恢復(fù)過(guò)程中還將有用武之地,并且在高審計(jì)訪問(wèn)和驗(yàn)證管理策略的控制之中���。
一些不用生命周期進(jìn)行數(shù)據(jù)保護(hù)的方法造成了漏洞��。例如只對(duì)靜止數(shù)據(jù)(data at rest)加密的方法�����,如本地?cái)?shù)據(jù)庫(kù)加密始終總是讓攻擊者通過(guò)多種多樣的渠道(如SQL注入攻擊)能夠訪問(wèn)數(shù)據(jù)�。包括利用數(shù)據(jù)庫(kù)訪問(wèn)層的弱點(diǎn)和損害數(shù)據(jù)庫(kù)切入點(diǎn)(如管理員帳戶)。在遵守法規(guī)的企業(yè)中��,這樣的攻擊事例不勝枚舉��,行業(yè)數(shù)據(jù)破壞報(bào)告(如DatalossDB.org)也全都是這樣的案例���。
[1] [2] 下一頁(yè) |
