近年来的频繁曝出的数据泄露事件令人不得不思考,机构是否把安全投入投到了正确的地方。
最近的一份数据泄露报告显示,95%的数据泄露事件其动机均为获取物质利益或商业间谍行为。于是一个疑问就此产生,我们为什么要把很多的资源和精力投入到保护网络边界,而不是防止数据泄露或篡改方面呢?信息安全是否需要一种新的方法来关注数据本身的安全问题?
企业花费大量的资金用于保持企业的安全边界,以防范网络攻击和内部威胁。Gartner的报告显示,全球在信息安全方面的投入2014年将达到711亿美元,较2013年增长7.9%。2015年将继续增长8.2%,达到769亿美元。
这些花费的大部分都用于加强传统的安全防护边界,但越来越多的安全事件表明,这种投入方向的效果很差。索尼影业就是一个例子,其数量繁多的安全工具和产品服务,也未能阻止黑客盗走其高度敏感的数据。
对于想要获取物质利益的黑客来说,攻击的首要目标是数据。因此,如果能保证数据不被盗取或不被篡改,就可以在防止网络入侵方面少花一些资源和精力。遗憾的是,现实情况许多机构都未将数据保护视为重点。
一份调查了5000名高级IT经理的报告显示,全球35%的机构并没有对其数据进行加密。而近年来,所有发生的信息泄露事件,如果泄露信息的这些企业全部都对其数据进行加密的话,至少有一半的泄露事件可以避免。
这就是为什么越来越多的管理标准和行业标准,如COBIT 5、PCI DSS 3.0、FISMA等,强制要求数据完整性。那么,如果数据是网络攻击的最终目标,采取何种数据完整性战略,才能够最有效的保护机构的敏感数据资产呢?
数据完整性的目标是在数据作者的认可下,确保数据的正确性、完整性、完全性、健康性和合规性。在IT安全的安全环境下,其目标是防止数据库中的数据遭到意外、故意和未授权的移除、插入、修改或破坏。因此,最佳数据安全实践的基础应该如下:
第一步,按业务需求分类保护数据。如分成“公开”、“内部”、“秘密”和“绝密”等类别。数据分类常常被弃用是因为,需要手工维护数据不断变化的类别状态。但如今新兴的大数据风险管理系统都有着所谓的动态分组功能,允许简单的拖放操作重新分类,并可将改变分发到所有相关节点。
数据分类之后就是数据加密。加密技术在最近几年来有着良好的发展,消除了早期在性能和部署方面的障碍。机构应该确保把加密机制正确地实施到所有敏感数据,无论数据在哪里保存,也不管数据如何传输。
访问控制是许多安全项目的最薄弱点,这是因为实施者必须平衡数据可用性与未授权数据的使用(如盗用、泄露、篡改和破坏)。另一方面,黑客通常的目标是特权用户,因为这些人的账户是入侵整个网络的桥头堡。因此,要严格执行界定良好的访问控制政策并持续监控访问路径,以确保访问控制策略的正常执行。此为保证数据完整性的基本要素。一套能够评估风险态势、可视化结果和合理安排基于业务关键性的补救措施的大数据风险管理系统,可以给企业的数据保护工作带来很大的帮助。
最后,机构应该保护数据的传输安全性。这方面最危险的案例就是黑客在股票市场的数据公开发布前,对其进行操纵。
对于信息安全工作而言,想达到百分百的安全是不可能的。然而,增加了数据完整性措施的安全防护机制,将极大的降低数据大规模泄露的可能。
原文地址:http://www.aqniu.com/neo-points/6900.html
