本文接续《平板电脑和云计算时代的数据保护策略(上)》,主要讲述数据保护方案的实施。 实施数据保护方案,= 将信息识别、信息保护和用户身份这三要素应用到真实的信息架构中,必须考虑企业的战略优先级、法律和合规环境、IT的能力、效率需求等方面。虽然每家企业都面临着不同的机会和限制,但我们仍可以将下面这个实施纲要作为一个模板和起点: 1、发现、监视、保护、管理敏感内容 对于保护数据的CISO而言,发现信息是最为首要的一步。如果仅仅向部门领导调查数据的位置和所有权,CISO将仅能获得一两台服务器的名字、专家及管理员的名字清单。
如果你使用一个自动化的发现工具,你就可以在不曾想过的位置发现数据的未授权的副本……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
本文接续《平板电脑和云计算时代的数据保护策略(上)》,主要讲述数据保护方案的实施。
实施数据保护方案,=
将信息识别、信息保护和用户身份这三要素应用到真实的信息架构中,必须考虑企业的战略优先级、法律和合规环境、IT的能力、效率需求等方面。虽然每家企业都面临着不同的机会和限制,但我们仍可以将下面这个实施纲要作为一个模板和起点:
1、发现、监视、保护、管理敏感内容
对于保护数据的CISO而言,发现信息是最为首要的一步。如果仅仅向部门领导调查数据的位置和所有权,CISO将仅能获得一两台服务器的名字、专家及管理员的名字清单。如果你使用一个自动化的发现工具,你就可以在不曾想过的位置发现数据的未授权的副本,从而为下一步的保护做好充分的准备。
自动发现是发现被遗忘或未授权的敏感信息副本的一种高效方法。在发现后,就可以从没有商业价值的暴露的服务器、笔记本电脑、存储器中清除数据。当然,企业可以根据行业规范和标准来区分所发现的信息的优先级,并对其进行清理,以便于更高效地管理。
在控制了敏感信息之后,下一步就是监视其发布和流转,保持其可管理性,并防止数据及非授权的副本发生损害。这正是数据丢失预防软件的专业领域,该软件能够监视结构化和非结构化数据的存储、网络通信和电邮通信。
2、对数据加密,保护移动设备和云中的信息
有时企业需要将敏感信息放到移动设备或云中。加密可以确保安全措施跟踪数据,即使黑手已经物理占有了携带敏感信息的设备,他也无法访问真正的内容。
许多公司在将加密数据放到移动设备上后,不再采取严格的数据安全控制,认为这样可以增强工作效率,这是不足取的。因为一旦设备丢失或被窃,仍有可能对企业产生潜在的威胁。
云计算产生的安全问题与丢失或被盗的设备所带来的挑战相同,因为数据的位置和访问都是未知的。加密可以确保信息保持私密状态,即使它位于云托管供应商或第三方那里。
3、对用户进行认证,保证合法访问的便利,阻止非法访问
身份验证(认证)可以确认试图访问敏感信息的人的身份。虽然认证对于数据保护是必要的,但它并非第一步。认证依赖于明确定义的不断强化的认证策略。该策略可以将适当的权利分配给个人。必须指出,许多信息安全官注重数据安全的技术方面,却常常忽视过程元素。而认证策略就是一个明显的例证。
认证一般是根据最小特权原则来分配的,要求雇员、承包商、临时客户等仅能获得为完成其工作所需要的访问权。该原则必须随着时间的推移而持续地发挥作用,以避免“认证漫延”,即在用户更改角色并获得新的特权时,仍保留着不再服务于任何业务的原有特权,致使其访问权得以积累和增加。
即使有强认证策略的支持,单因素认证方法(如口令)也会使敏感数据面临风险。几乎没有哪个口令能够阻挡攻击者利用口令破解软件的伎俩。强健的口令往往非常复杂,用户几乎难以记住,更别说雇员们在其日常工作中要使用很多应用程序。最终,会存在许多弱口令,而且许多口令管理工具自身都依赖弱口令或需要不断更新口令,或者雇员们将口令粘贴到显示器上以图方便。
多因素认证通过其它的措施来强化口令,一般使用物理设备来证明用户的身份。多因素认证比单因素认证的口令更强健,因为攻击者必须拥有用户的口令和其它的因素。基于风险的认证通过规定设备及其用户的行为而增加了进一步的保护,从而可以确证异常的登录活动,进而阻止其访问并向企业发出警报。
4、集成信息识别、信息保护和身份验证
拼凑起来的保护方案并不能真正发挥作用,信息识别、信息保护和身份验证这三个因素的集成就像任何一个因素一样重要。
以下这些因素都会为非法访问打开绿灯:
A、没有活动的发现和监视:后果是,信息会放置到或迁移到不受保护的位置,易于遭受未知的高风险。
B、没有对移动设备和云中的数据加密:后果是,信息会暴露给未知的第三方,使其有时间、资源、技能来使用或散布信息。
C、没有强健而高效的用户认证:后果是,授权用户在访问信息时过于困难,从而降低了效率;或者非法用户访问信息时过于轻松,从而增加遭受损害的风险。
这些缺陷对于损害信息安全未必是绝对的。支持上述因素的集成方案需要避免难以使用的管理过程。
相关推荐
-
不一致的国际数据隐私法
中国新的网络安全法已经生效,这意味着全球范围内新增一个国际数据隐私法,这可能给跨国企业带来更多挑战。面对各种国际数据隐私法,跨国企业保持合规性并不容易……
-
专访志翔科技伍桑海:“懂业务才能做安全”
志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……
-
第四代安全已来:志翔科技致力成为“无边界”安全领跑者
近年来安全行业发展十分迅速,其进入壁垒和天花板都非常高,安全创业公司最能代表行业前沿的技术趋势。发展至今,安全从以NetScreen为代表的防火墙时代先后经历可视化、虚拟化时代,进而迈向第四代“无边界”安全时代。志翔科技即是倡导“无边界”安全的创新公司之一……
-
McAfee全面数据丢失防护产品概述
去年9月,英特尔以9亿美元将其安全业务主要股权出售给私募股权公司TPG,该交易预计将于今年4月完成,之后Intel Security将更名为McAfee。与很多主流信息安全供应商一样,Intel Security提供数据丢失防护软件,帮助企业预防潜在的信息泄露……