数据安全
数据安全是降低敏感数据向内、外部泄露风险的最有效层面之一。在该层面,防护的焦点在于数据本身,其目的在于确保数据安然无恙,而不论其传播途径如何。数据的移动性正日益加强,因此数据安全防护至关重要。
由于数据安全防护方案正处在产品生命周期的早期,这些方案仍然存在一些不足之处。然而,完善的步伐正在日益加快。随着企业数据面临的威胁日益增多,企业有必要认真地考虑这些方案。数据安全防护涉及的技术包括数据加密和数字版权管理(DRM)。
建议措施
企业主管和安全专家不能再对数据安全问题坐视不理了,现在是他们采取行动的时候了。
加密。企业可以对敏感数据进行加密,然后将其存储于数据库,在网络或因特网上传输,或保存为其他文件类型。最好是将加密信息随敏感数据一起传输。这往往需要借助其他的加密方法[如公共密钥体系(PKI)和版权管理]才能实现。
如果保护企业敏感信息还不能成为数据加密的足够动因,众多标准都强制规定了加密的必要性。许多标准规定必须对传输和存储的数据进行加密。这些要求对备份系统和数据同样适用。
移动设备。移动设备是最新出现的数据泄露途径。移动设备的连接能力和强大功能提升了企业的生产效率,但也使更多的敏感信息向更广的范围扩散。由于员工倾向于将移动电话和个人数字助理(PDA)视为个人财产,而不是企业资产的一部分,敏感信息面临受攻击的风险越来越高。企业必须采用防护策略和技术来降低这种威胁。
笔记本电脑应至少拥有经过加密的、即使系统完全启动后也受保护的目录或驱动器。一些供应商已经提供了全磁盘加密技术,以便对整个硬盘驱动器进行加密。例如,微软已在其Windows Vista和Windows Server 2008系统中添加了提供驱动器和卷加密功能的BitLocker驱动器加密技术。
最新的移动操作系统(如移动电话和个人数字助理中的操作系统)提供了更高的安全性。例如,微软的移动电话平台能够将一些群策略扩展到手机,并提供了一些基本的数据加密功能。
有些移动电话支持系统管理员远程擦除数据。如果移动电话被挂失或被盗,这种功能非常有用。此外,大多数的运营商能够对移动电话进行重置,并有可能擦除存储在移动电话上的敏感信息。
版权管理。对敏感数据进行控制和保护的有效途径之一,在于限制哪些用户具有访问数据的权限,他们可以对数据进行何种操作,可以在何处发送信息,以及可以在何种环境下使用这些信息。数字版权管理解决方案可以通过对用户的接入权限进行电子化设置和控制,以实现上述目的。这些方案也可以确定数据是否被修改、拷贝、打印、电邮,或存储于便携式存储设备。其软件还能够提供有关所有信息操作的审计日志。
版权管理的方法多种多样。一些方法需要借助公共密钥体系,而另一些则不然。公共密钥体系为用户提供双因子认证(two-factor authentication),且能够对公网上传送的数据进行加密。
微软Windows权限管理服务(RMS)要求采用数字证书作为其公共密钥体系。权限管理服务是一种信息保护技术,它能够与支持该服务的应用程序共同使用,以保护数字化信息被非法使用。它可以运用于在线和离线环境,也可以运用于防火墙内侧和外侧。
权限管理服务采用持续使用(persistent-usage)策略对信息进行保护。这意味着无论信息被发到何处,这些策略都将相伴左右。借助权限管理服务,企业可以防止敏感数据(如财务报告、产品规范、顾客数据、机密电子邮件)被有意或无意地泄露给非法用户。
泄漏防护。信息泄漏防护(ILP)是相对较新的信息防护领域。它也被称为数据泄露预防。它是版权管理的一种变体,且常被企业用来进行更大范围数据防护。版权管理倾向于将一些文档和文件类型进行打包,以便对其进行保护;而信息泄漏防护更注重对企业的网关进行保护和监控。
信息泄漏防护解决方案关注的焦点在于,防止敏感信息经电子邮件、文件传输、立即消息、网页发布、便携式存储设备或介质等途径泄漏出去。该方法要求与邮件服务器、网页服务器等网络基础设施进行集成。信息泄漏防护传感器被设置在数据离开网络的点,以便在敏感信息将要离开网络时进行告警和/或阻断。
大多数信息泄漏防护解决方案都提供了一些缺省模板,以便识别常见的敏感信息。企业可以对模板进行定制,以满足其特定的需求。
信息泄漏防护等解决方案只不过是成功信息安全策略的一部分。其他部分包括前文所述的,对数据本身及其经过或驻留的应用程序、系统和网络进行保护。采用这种深度防御策略,企业能有效防止其专有信息落入居心不良的人手中。