企业生存命系数据安全

日期: 2008-03-18 作者:王琨月 来源:TechTarget中国

  我们的数据正处在四面楚歌的危险境地,我们需要保护哪些重要数据?我们又该如何保护重要数据?

  去年,非法盗取数据的案件引发了全球对企业数据保护的热议。据外电报道,一家欧洲零售商在长达18个月的时间里,多次被黑客渗透到公司的数据库中,造成 4570万用户个人信息泄露。而黑客利用窃取来的信息资料伪造信用卡,疯狂购物达800多万美元。据国外独立研究机构PonemonInstitute研究表明,每丢失或被盗一条客户记录造成的平均损失已经达到了197美元,较2006年增加8%,较2005年增加43%。现在,每次数据泄露事件对企业造成的平均损失高达630万美元。

  数据安全引发企业生存危机

  致力于提供安全方案的RSA实验室的一项调查发现,2008年最重大的数据泄漏事故将由企业自身引发。因为随着企业员工对互联网依赖程度的加深,数据泄露可能在员工执行动机良好,但是实际是危险的行为时发生,例如向个人电子邮箱发送工作文档,或者打开个人计算机收到的邮件等。
  
  从事数据安全保护的CheckPoint公司2007年6月进行了一项《公司员工及数据安全》意见调查。该项调研的结果摘要如下:尽管74%的企业制定了政策,规定员工不允许把数据带出公司的范围以外,然而85%的被访者表示,他们能容易地下载公司的机密数据,甚至把这些信息带出公司。这给企业数据安全带来了极大隐患。

  一些安全专家认为,数据泄露的后果将促使企业自身发生显著的变化,2008年我们将会看到企业更加关注如何保护数据和挽回损失。随着安全意识的增强,以及对数据保密的强烈需求,众多企业将会在安全解决方案上投入更多。

  然而,即便企业增加了数据保护重视程度,攻击者也能通过诡异多端的攻击手段窃取到机密数据。网络安全厂商飞塔公司认为:“数据保护这个问题之所以受到关注,一个重要原因就是很难百分之百的防止数据泄露。不管你想到什么方法去保护,总会有人想到破解之道,这是一场没有尽头的较量。

  checkPoint公司也表示:“各种研究表明,客户不愿意同遭遇过数据被盗事件的公司有生意上的来往,所以一家公司如果不能控制和保护敏感的信息,它将承受无法挽回的损失。”

  易观国际《2007年第四季度中国网络安全市场监测报告》数据显示,未来的安全防护策略趋势一定是将网络安全、数据安全、终端安全以及业务安全管理结合在一起,形成统一集中的安全管理平台。而从IDC最新的调查报告来看,数据和系统的安全仍然是企业目前面临的最重要问题。企业信息化的推进,对IT技术的依赖,以及业务运营从IT方面获得的支持和新应用新系统的加快推出,都增加了产生安全漏洞的风险,其中针对企业数据的安全问题最容易造成企业损失。

  数据安全问题,已经引发了企业生存的危机。

  虚拟化和数据集中加大数据安全风险

  虚拟化可能是IT的未来,但也是一个重要的挑战,因为在虚拟化时代,数据访问变得越来越容易,数据中心虚拟化方面的重大问题将是安全问题。

  一份由赛门铁克针对全球两千大客户做的调查显示,在构建绿色数据中心的时候,过半的客户选择从整合服务器和虚拟化着手。这份涉及全球前两千大客户、平均拥有14个数据中心的800位数据中心管理者的访谈报告显示,虽然在受访企业中,大部分采用了防病毒软件、防火墙、IDS/IPS等外网安全解决方案,但却忽视了对数据本身的保护,而数据恰恰才是企业真正有价值的资源。

  数据大集中则增加了每次数据泄露造成的损失。数据库确实是一座金矿,里面有大量的信用卡资料、社会保险数据和其他个人身份信息。数据大集中虽然简化了应用,但是也增加了安全事件发生时的损失。黑客们很乐意只要一次入侵就可以获得一家企业的一切信息。所以2008年,对企业而言数据库的防护将成为重中之重。专家认为,盗窃数据的风靡对大型企业提出了巨大的挑战,因为他们一般都拥有少则十几个,多则上百个数据库,而这些数据库对大多数安全人员而言还是一个未知的领域,无论是大型企业还是中小企业都会主动加大数据库安全上的投入。
  
  如果按 2007年的趋势看,类似MySpace和Facebook这样的社交网站将会继续成为数据窃取者的头号目标,黑客将使用木马工具骗取用户私密信息和个人身份资料。金融机构和其他大型企业也都是黑客的目标。无论社交网站也好,金融机构也罢,他们共同的特点恰恰是数据高度集中,一旦被黑客侵入,所有数据将在瞬间流失。

  另外安全研究人员还发现,2008年将有更多的攻击针对中小型企业,因为大型企业虽然数据高度集中,但目前已经调整了安全策略,使得入侵难度加大,而由于中小型企业也正在实施虚拟化和数据集中,安全意识又没有达到应有的高度,没有对黑客攻击做相应的准备,所以中小企业开始引起黑客的浓厚兴趣。

  信息分级加密有效保护数据安全

  企业安全解决方案其实都只有一个共同目标:最大限度确保数据安全和业务的连续性。对于高度依赖于网络的今天,数据安全和可用性对企业的生存和发展至关重要。据IDC统计显示,遭受关键业务数据丢失的企业有近70%在两年内倒闭。数据安全才是一切安全方案的核心和终极目标。

  数据安全的风险来自于两个方面:一方面是数据本身是否安全,也就是说数据是否加密;另一方面则在于访问数据的人是否得到了授权。为了解决关键业务的数据安全问题,对数据系统进行全面、可靠、安全和多层次备份是必不可少的。除此以外,各种安全产品,无论防火墙、防病毒、防黑客、防入侵等等,都或多或少地肩负着一些保护数据的责任。从保护数据的角度讲,对数据安全这个广义概念,又可以细分为三部分:数据加密、数据传输安全和身份认证管理。

  当然,并非所有数据都要用同一种方式来保护,毕竟在保障数据安全的同时,也要考虑使用便捷。比如你可以给房子大门上锁,再给房间门上锁,再给抽屉上锁,再在抽屉里放个密码保险盒,然后把每天戴的手表放在里面,这确实太繁琐了。同样,一些数据不必要用最高级别的加密技术,以增加访问的便捷性。

  所以对于企业而言,要保护自己的数据,又要保持数据应用便捷,就应该开发一个按信息敏感度分级的系统,以确定哪些数据是黑客最想获得的。除了信用卡资料和社会保险号码之外,多数公司还会把知识产权信息和其他可能影响股价的信息列为敏感数据。除此以外的数据则可以适当降低安全级别,针对不同级别的信息敏感度,企业可以采取不同的加密手段保护数据。不过由于加密算法太多,具体采取哪种保护数据方案,企业还应根据自身特点,通过咨询安全服务提供商来获得最有效的保护方案。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐