每天,各种来自组织内和组织间的巨量数据流动,不知不觉中增加了难以掌控的安全风险。窃密、泄密和失密的情况可能随时发生,让我们的企业和组织“防”不胜防。
究竟是谁让我们的数据处于高风险?有什么方法可以保证我们的数据安全?风险与防范这对矛和盾该如何做到有效平衡?问题摆在我们面前,是深入思考还是置之不理,或将决定我们的数据安全处于何种状态。
泄漏,防不胜防
或许,每天来自网络的攻击报告让我们熟知采取一定的措施是可以在某种范围内防护病毒对系统的侵害。但是,对企业和组织的数据资产而言,这也只是安全风险中很小的一部分。甚至,它比起来自企业和组织内部的泄漏、违规上网以及应用过失风险等,麻烦远要小得多。
日前,在《软件和信息服务》记者拿到的一份《埃森哲一数据和隐私安全保护研究报告》中分析称,随着数据量的增长,企业和组织遭受数据泄漏事件随之增多。诸如SaaS(软件即服务)模式和基于云计算等颠覆性技术是造成这些事件的主要因素。特别是企业从多家服务提供商获得信息技术解决方案打破了数据储存在自身IT体系内的传统,并使数据在多个环境传播,使企业对数据管理的直接控制程度降低。这让企业的保密数据在流动过程中增加了安全风险。即使许多云服务商端到端、基础安全控制和隐私保护技术比任何一家企业客户自身的数据中心更先进、更安全,但仍有很多亟待解决的安全问题(如数据访问控制和认证)存在。
2009年,深圳妇幼医院信息泄漏事件、香港出入境资料泄密事件的发生都还只是冰山一角。在当事的企事业单位遭受难以估量的损害之余,人们不仅要问,我们的数据安全问题到底有多严重?来自IDC的调查报告显示,目前全球有近80%的企业存在信息安全与风险问题。而信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。
有分析人士指出,事实上,很多企事业单位在内外网、服务器隔离上就存在问题,业务系统的操作并没有明确授权,这会导致一些非授权人员大肆访问并修改内网服务器的重要数据;而许多单位内部员工的信息安全意识较为薄弱,很多时候将客户信息、内部敏感信息等在无加密的情况下在公网上随意传播,这样的信息数据极易被窃取和修改。
钱要花在刀刃上。难!
其实,说到数据安全,企业传统的做法更多是关注在外围访问控制,比如通过设置防火墙、入侵检测、购买防病毒软件等“硬手段”来防护。但这种措施只能防外部网络攻击和入侵,对来自企业内部的信息泄密无济于事。
对此,目前国内市场针对数据防泄漏的解决方案也不在少数,但整体来看不外乎围绕数据应用环境和数据本身两种思路做局部防护。所谓数据应用环境,是指数据运行和应用的软硬件环境,而对环境的监控,更多倾向于“堵”。结果可能是既影响企业运行效率,又永远跟在软硬件发展的后面呈追赶之势。对数据本身的防泄漏,又存在多种解决办法,比如现在市场颇为流行的DLP、内网管理、文档加密等技术手段。
理论如此,但真实情况又怎样?来自海关总署信息中心的信息安全工程师杨磊告诉本刊记者,数据安全是海关总署很敏感的一件大事,他们对这方面的需求很多,也很迫切。
尽管海关总署的信息安全工作是根据国家等级保护政策一起做起来的,而且等级保护里也用单独的一章来谈数据安全,“我们也按照这个做下来的。做法一是划安全域,即要搞清楚边界,另外是终端要控制住,还有就是访问控制,类似3A认证,对身份、权限等做控制。同时还做一些类似防火墙的控制和审计”。
现在工作一直在做,也做得越来越好,但杨磊仍感到不踏实:一是边界要划得很清楚,但这非常困难。因为在系统设计时,数据安全问题并没有考虑清楚。二是审计工作,虽然等级保护中对审计的要求很多,但现在业内对审计工作主要还是记日志,做深入分析的少。一旦有人动数据,想要很精确地定位这个人还是比较困难的。三是加密方式,海关总署的业务和信息系统是紧密捆绑在一起的,一旦信息系统出了问题,业务也会受阻。因此业务对可用性要求极高,而加密和可用性往往是一对矛盾体。所以做加密比较谨慎。四是数据和业务的联系。因为业务和技术的交互性不足,使得杨磊他们一时难以区分业务数据究竟哪些是重要的,哪些是特别需要保护的。
杨磊对加密的顾虑并非空穴来风。据悉,北京市曾在实施一卡通项目时遇到过这样的大麻烦。因为它对每笔交易同时要用加密算法做加密,带来的问题是加密完了以后速度跟不上,系统要求每天必须处理完三千万笔交易量,但实际情况是一上加密,处理量不到五百万笔。而单靠增加加密机数量,又会对整个系统架构造成一些破坏。
而北京市药监局在数据安全问题上则特别从业务层和数据关系上区分哪些数据是需要保密的,在涉及敏感或商业机密的数据上先做定义。比如他们掌握着北京市所有涉药企业的审批、后续监管手续;还有一些较敏感信息,如特殊药品的生产、运送、运输到最后使用的整个过程都必须是严格监管的;还有国家现在在做的所有药品的电子监管,即从药品生产出来到最后使用整个要到电子监管板上。其过程上报可能涉及到企业的商业机密,比如药厂跟谁合作,中间批发商、整个销量等等。
据北京市医药信息研究所信息技术工程师王永清透露,目前北京市药监局对特殊药品电子监管板采取的是特殊限制,即对所有企业上报登录系统,包括内部人员必须采用CA证书操作。一是登录身份验证,二是对所有操作做认证分析,做审计,包括行为审计和数据审计。当用户登陆时,他们知道是哪个用户,他做的每一步操作是什么,对数据做了哪些修改,都能及时掌握。而惯用的做法也不外对现有服务器做加密,以及做数据库审计,包括行为审计、操作日志,再就是数据加密。
但对于信息化发展仍属初级阶段的首都医科大学附属北京同仁医院来说,目前医院各主要信息系统都已上线,医院信息化发展的步伐从初步系统建设正在走向更深、更广的未来。随着IT技术的发展,医院的信息系统必将跟随着时代的脚步逐步前进,隐私安全、账户安全、资金安全等信息安全问题也将逐步显现。“一些基于管理,基于标准化、系统化、流程化的系统建设与跟进,安全的问题也日趋突出,我们需要一系列日臻成熟的、不断完善的信息安全系统类产品。”该院安全工程师孙琳告诉记者,北京市的医院自2008年以来,逐步都进行了信息系统等级保护定级工作,并且按照信息系统等级保护的相关要求,对相应的系统都按照信息安全策略进行了相应的防护。一些基于安全方面的数字签名、入侵检测、安全审计等技术、必将广泛的应用在医院各信息系统中。
而作为一家综合医院,一旦系统宕机超过10分钟就要上报。因此医院特别怕信息泄漏,尤其怕跟财务沾边的信息被篡改,因为医保上线,病人要实时结算,还有患者的隐私信息有没有保密,都让数据安全问题越来越重要。
相关专题:高校教学管理系统 career planning
