由上看出,多数企业和组织对数据安全的防护手段大同小异。钱是花了,各种办法也试过了,用过了,可心里就是不踏实。
谁来保护我们的数据安全
对于企业和组织迫切的数据安全防护需求,是在原有系统基础上增加辅助措施,还是重新来建设也是他们最为关注的问题。
但分析人士指出,目前最急迫的是要先提高数据防泄漏的群体防护意识。还要看当前市场能提供怎样的防护措施。
作为Gartner今年6月公布的DLP数据防泄漏产品全球四强首位的厂商赛门铁克,在3月便推出了Data Insight技术。赛门铁克中国区技术团队专家部技术经理徐耀文表示,新技术可以帮助企业通过洞察非结构化数据(如文档、电子表格和电子邮件等)的所有权及使用情况,提升对数据的治理。而该项技术也将被整合到赛门铁克整个安全和存储产品系列中,为企业提供一个统一的数据治理方法。据了解,Data Insight是目前唯一提供此类集成的技术,它通过简化对易受攻击关键数据的补救工作以及优化其存储环境,可以帮助企业将信息资产与企业业务目标统一起来。赛门铁克数据丢失防护(DLP)解决方案将是第一个完全集成Data Insight技术的解决方案。其后,公司还将在2010年推出集成了该技术的存储和信息管理解决方案。
另外,在目前热议的云计算安全方面,企业和组织在向云服务提供商购买服务时一般是基于安全和信任,因此电信运营商首先要保证云服务架构的安全,从而保证用户的信息安全,其次,由于不管用户使用何种设备或应用,其身份决定了他们能够访问何种信息,以及这些信息将被如何使用和共享。所以,在云计算中。鉴权及身份认证尤为关键。而赛门铁克刚收购了威瑞信的身份信息安全和身份认证业务,包括SSL认证服务、公钥基础设施(PKI)服务、威瑞信信任服务和身份保护认证服务,来帮助企业和组织在无论何时何地都能简单、安全地接人自己的信息,无论在云环境中或云环境外,相关信息都能得到保护。
绿盟科技产品市场经理刘敏告诉记者,针对数据防泄漏越来越集中到终端一侧的情况,他们更注重数据防泄漏之前的建设。比如到底哪些数据涉密,哪些数据可以公开,企业应做到心中有数。在此基础上,对业务系统做梳理,从业务层面尽量做到数据防泄密控制。可一旦脱离业务系统的数据防泄密,刘敏认为,有必要分清到底是想防更多有意、恶意的泄密还是一个误操作。
对有意、恶意的泄密,刘敏认为,要以管理制度为主,再加些技术措施;但对有意的泄密,可能技术手段都不能完全解决,还应以管理为主;而对无意或误操作的泄密,绿盟科技还是有相应办法去降低风险的。比如无意的泄密从途径上可分为两类:一是通过网络协议,如发邮件、发帖子过程;一类是通过物理设备,如终端外设管理,特别是u盘管理。u盘在企业日常工作中使用尤为频繁,而以往企业防火墙上了,相关产品都上了,感觉事件还是层出不穷。其实多半因为以往企业可能还是着重于网络层面,没有关注到数据层面,仅这一点就有很大区别。终端管理同样如此,以前u盘管理产品有很多,但落到数据防泄密层面,终端管理到底能解决多少问题,还要看产品到底在数据层面能解决多少问题。绿盟科技移动存储设备管理系统针对数据防泄密问题,从注册、授权、审批、审计、销毁的全生命周期管理人手,对u盘、移动硬盘等移动存储设备的使用进行全面、细粒度的管理和控制,为企业在数据防泄密的问题上把好外设这一关。
与国内厂商注重加密有所不同的是,McAfee等国外厂商对DLP的定义更关注内容识别。McAfee产品部门经理张东伟认为,企业要先了解信息泄露出去的途径可能有哪些?是U盘拷贝、打印、Email、论坛还是拷屏等。做到有效的信息安全保护,技术手段上,要将加密技术和有数据防泄漏的技术相结合,同时管理方面,如规章制度也要加强。要做到技术和管理并重。不能认为只要部署了产品,信息安全就可以高枕无忧了。
一贯给业界防病毒厂商印象的McAfee,其实是一个具有权限的安全产品公司,它从数据安全、网络安全包括主机安全、边界安全都有自己的解决方案。它提出了企业安全防护三道防线的理论。McAfee技术产品经理张雷生称,在构筑安全系统时,无论方案怎样设计,宏观上包含三道防线:第一道防线立足于防,即事前防御。如部署防火墙、防病毒,且的为了防止安全事故的发生。但毕竟防不胜防,第一道防线一旦被突破,就必须有第二道防线,即事中监控,包括管理和技术层面的各种手段,能保证我们及时发现和控制。但如果第二道防线也被突破,黑客手法太高明,没能被当场发现;或来势太猛,虽然发现了,却没能控制住,造成一定损失,这时第三道防线事后追踪就开始发挥作用了,即我们能够根据安全事件从发生到结束留下的各种踪迹,梳理有价值的线索,寻根溯源,挖出罪魁祸首。目前绝大多数单位已建筑了第一道防线,第二道防线做得不是很好,第三道更薄弱了。很多单位现在还把人力物力财力投入到第一道防线的升级、调整、加固上,这个思路是不对的。应抓紧时间部署后面两道防线。
张雷生指出,不管是McAfee,还是赛门铁克、趋势、websense,DLP都没有加密概念。但McAfee有一个针对网络的DLP(NDLP),是为解决第三道防线问题,即解决审计问题的。跟入侵检测不同,网络入侵检测是监听网络上一切活动,只负责检测里面的入侵,但NDLP通过监听网络,来审计出所有的敏感信息被访问时,被谁访问过,什么时间访问过,然后都做过哪些操作。所以,一旦企业发生安全事件,想要进行事后追踪、定位、想找证据,缉拿幕后真凶,从技术角度这个产品是—个较成熟的方案。
其实,正如张雷生所言,对企业和组织,信息安全不可能确保,只能尽量大可能去降低。
在文档加密方面,专注文档多年的金山现在联合一些涉密单位推出了WPS安全版,从基础文档人手增加企业的数据安全。金山业务拓展部经理赵力伟表示,本身研发WPS的金山在处理原始数据上较有优势,通过对原始数据加入干扰码方式来保护文档安全。当打开安全版文档时,需校验身份。根据企业内部系统指纹识别、IC卡或文本证书、硬件证书等来验证WPS的合法性。打开后,在生成文档时,还会有—个存放关键字的小字库,它们由企业自己定义。在用户保存文档时,它会根据文档内容帮企业识别,文档是要保密,是在哪—级别上,然后根据关键字来提示保存成安全文档。而金山也涉及加密。“我们对里面部分数据流包括验证用户合法性的特征字符,取自硬件UKey、软件证书、指纹识别、IC卡等,取其特征码后再加上服务器一些信息,再加上软件正版序列号,一起做非对称加密。之后对整体文档用干扰码处理,再做对称性加密。文档未经授权时,他人是无法打开的。
所以,金山尝试保证文档在最开始起草时,本身相对是安全的。同时金山在每个文件每次被编辑时,在文件里和服务器上都会留下一个信息,信息包括用户身份,哪个用户打开了这个文件,做了什么操作,打开这个机器的CPU序列号、硬盘序列号、IP地址、Map地址等都会被记录下来。
联想网御产品经理刘燕岭则认为:“身份认证是首先要完善的问题,它保证了员工身份和终端的合法性。划分了安全边界,才能对授信的人或终端进行管理,对不授信的人或终端我们就直接把他们隔离到网络之外。在文档管理上,我们要有张有弛,对重点区域、重点人进行权限划分,重点信息重点保护,非重点的可多采用审计系统进行震慑管理。”
尽管来自行业厂商的最新技术与方法多样且需要具体问题具体分析,但刘燕岭的一个说法却值得我们深思——他认为一一数据防泄漏不是单一的产品能解决的,而应是一个很系统的事情。
前文提到的埃森哲报告指出,从行业层面来讲,企业必须采取两个关键举措:一是重新审查数据保护和合规框架。在大多数行业中,数据保护和合规框架一直滞后于数据生成、收集和共享的方式和速度,这方面工作远远不够。而数据保护框架应当全盘统筹,避免片面应对合规问题。
关键在于,保护敏感数据的最佳方式就是将数据和隐私安全保护看作公司的核心价值,使其成为自己独特的能力,以帮助企业在不断变化、难测的全球经济中实现卓越的绩效。
相关专题:高校教学管理系统 career planning
