大數(shù)據(jù)來(lái)襲 企業(yè)如何保護(hù)非結(jié)構(gòu)化大數(shù)據(jù)

責(zé)任編輯:editor004

2015-02-08 18:02:06

摘自:論壇

防護(hù) 阻塞:基于信息從監(jiān)控和發(fā)現(xiàn)組件防護(hù)數(shù)據(jù)傳輸,要么通過(guò)阻斷一個(gè)網(wǎng)絡(luò)會(huì)話,或者通過(guò)一個(gè)本地代理去停止信息流。終端的DLP軟件運(yùn)行在終端系統(tǒng)上監(jiān)控操作系統(tǒng)活動(dòng)和應(yīng)用程序,觀察內(nèi)存和網(wǎng)絡(luò)流量去探測(cè)敏感信息不恰當(dāng)?shù)氖褂谩?/p>

目前企業(yè)已經(jīng)進(jìn)入全新的大數(shù)據(jù)時(shí)代。在高帶寬、移動(dòng)的、網(wǎng)絡(luò)環(huán)境中工作和生活的我們,會(huì)產(chǎn)生大量的數(shù)據(jù),這些都成為大數(shù)據(jù)的來(lái)源,而這些信息很少存在于同一個(gè)地方。在幾微秒中,信息就能夠發(fā)布給世界各地的很多人。企業(yè)的高管門(包括CEO、CIO、CSO等)都必須面對(duì)因?yàn)榇髷?shù)據(jù)帶來(lái)的風(fēng)險(xiǎn)和安全挑戰(zhàn),并規(guī)劃好如何去應(yīng)對(duì)他們。本文將討論如何看待非結(jié)構(gòu)化數(shù)據(jù)相對(duì)于傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)帶來(lái)的安全風(fēng)險(xiǎn)和挑戰(zhàn)以及多層面防護(hù)方法。

識(shí)別非結(jié)構(gòu)化數(shù)據(jù)與結(jié)構(gòu)化數(shù)據(jù)安全保護(hù)的差異

信息通常被歸類為結(jié)構(gòu)化形式的或非結(jié)構(gòu)化形式的。不同的類型有不同的保護(hù)方法。舉個(gè)例子來(lái)說(shuō),非結(jié)構(gòu)化的Excel電子數(shù)據(jù)表實(shí)際上包含結(jié)構(gòu)化的數(shù)據(jù)。在經(jīng)典的術(shù)語(yǔ)中,結(jié)構(gòu)化的數(shù)據(jù)是指數(shù)據(jù)符合某種嚴(yán)格的數(shù)據(jù)模型和限制的模型。比如,模型可以定義一個(gè)業(yè)務(wù)流程控制信息流經(jīng)過(guò)一些面向服務(wù)的架構(gòu)(SOA)系統(tǒng),或者也可定義數(shù)據(jù)如何在內(nèi)存的一個(gè)數(shù)組中存儲(chǔ)。但是對(duì)于大多數(shù)IT和數(shù)據(jù)庫(kù)管理專家來(lái)說(shuō),結(jié)構(gòu)化數(shù)據(jù)是駐留在數(shù)據(jù)庫(kù)中,并基于數(shù)據(jù)庫(kù)架構(gòu)和相關(guān)數(shù)據(jù)庫(kù)規(guī)則被組織的信息。而作為一個(gè)安全專家來(lái)說(shuō),這就意味著兩個(gè)重要的事情:

數(shù)據(jù)庫(kù)駐留在數(shù)據(jù)中心,周圍是物理安全設(shè)施(包括磚墻、金屬柜子等)、網(wǎng)絡(luò)防火墻和其他安全措施,允許你能夠控制對(duì)數(shù)據(jù)的訪問(wèn)。

數(shù)據(jù)本身的結(jié)構(gòu)化方式通常允許對(duì)數(shù)據(jù)的簡(jiǎn)單分類。舉個(gè)例子,你能在數(shù)據(jù)庫(kù)中識(shí)別一個(gè)特定的人的醫(yī)療記錄和應(yīng)用相應(yīng)的安全控制。

所以,因?yàn)槟阒澜Y(jié)構(gòu)化數(shù)據(jù)是什么樣的以及它駐留在哪里,你有嚴(yán)格的控制機(jī)制來(lái)決定誰(shuí)能訪問(wèn)它。對(duì)于結(jié)構(gòu)化數(shù)據(jù)定義和應(yīng)用安全控制相對(duì)簡(jiǎn)單,要么使用結(jié)構(gòu)內(nèi)置的特性或者專門為特定結(jié)構(gòu)設(shè)計(jì)的第三方工具即可完成控制。

而在相比之下,非結(jié)構(gòu)化數(shù)據(jù)的管理和安全更加困難。非結(jié)構(gòu)化數(shù)據(jù)能在任何地方、以任何格式、在任何設(shè)備上存在,并且在大數(shù)據(jù)時(shí)代能夠跨越任何網(wǎng)絡(luò)。舉個(gè)例子說(shuō)明非結(jié)構(gòu)化數(shù)據(jù)的應(yīng)用復(fù)雜性,一個(gè)病人的記錄從數(shù)據(jù)庫(kù)中被提取出來(lái)顯示在一個(gè)網(wǎng)頁(yè)上,從網(wǎng)頁(yè)拷貝到數(shù)據(jù)表格中,附在電子郵件中,然后發(fā)送到另外一個(gè)網(wǎng)絡(luò)的郵箱中。

并且,非結(jié)構(gòu)化的數(shù)據(jù)沒(méi)有嚴(yán)格的格式。當(dāng)然,我們的Word文檔,電子郵件等符合定義它們內(nèi)部結(jié)構(gòu)的標(biāo)準(zhǔn);然而,它們其中包含的數(shù)據(jù)幾乎沒(méi)有限制。比如上面列舉的那個(gè)病人記錄的例子,假設(shè)一個(gè)用戶改變內(nèi)容后把它從網(wǎng)頁(yè)上拷貝到數(shù)據(jù)表格中,可能刪除了某些字段和標(biāo)題。因?yàn)檫@個(gè)信息從一種格式轉(zhuǎn)變成了另外一種格式,它原始的機(jī)構(gòu)被有效的改變了。

保護(hù)存儲(chǔ)成結(jié)構(gòu)化的數(shù)據(jù)和信息是相對(duì)簡(jiǎn)單的。但是隨著一個(gè)信息從結(jié)構(gòu)化的形式移轉(zhuǎn)變?yōu)榉墙Y(jié)構(gòu)化的時(shí)候,這個(gè)情況就會(huì)變得非常的復(fù)雜??紤]這樣一個(gè)例子,很多分析人士的報(bào)告表明在當(dāng)前的企業(yè)組織中,80%或者超過(guò)80%的電子信息是非結(jié)構(gòu)化的,還有非結(jié)構(gòu)化數(shù)據(jù)增長(zhǎng)的速度是結(jié)構(gòu)化數(shù)據(jù)的10到20倍。也考慮一下媒體上的新聞文章不斷強(qiáng)調(diào)知識(shí)產(chǎn)權(quán)的竊取、信息的意外丟失、數(shù)據(jù)的惡意使用等,最核心的問(wèn)題就是非結(jié)構(gòu)化的數(shù)據(jù)。在2010年,全球總的非結(jié)構(gòu)化的數(shù)據(jù)估計(jì)大概有100萬(wàn)PB(1048576000000GB),被認(rèn)為將以每年25%的速度增加。我們顯然需要去理解我們?nèi)绾伪Wo(hù)非結(jié)構(gòu)化數(shù)據(jù)的安全。

非結(jié)構(gòu)化數(shù)據(jù)需安全保護(hù)的“三態(tài)”

非結(jié)構(gòu)化的數(shù)據(jù)在任何給定的時(shí)間總是處在三種狀態(tài)中的一種:非使用、傳輸中、使用中。非使用也就是在存儲(chǔ)設(shè)備中;它可能在傳輸中意味著它從一個(gè)地方被拷貝到另一個(gè)地方?;蛘?,它可能在使用中(被一些應(yīng)用程序打開(kāi)著)。比如一個(gè)PDF文件,它可能存儲(chǔ)在一個(gè)USB設(shè)備上,不在使用狀態(tài);同一個(gè)PDF文件可能從USB設(shè)備拷貝,并附在電子郵件中發(fā)送到因特網(wǎng)上。PDF從USB設(shè)備上被拷貝,通過(guò)很多州到電子郵件服務(wù)器,通過(guò)網(wǎng)絡(luò)從發(fā)件箱到收件箱。最后,收件人收到郵件并打開(kāi)PDF文件,在那個(gè)時(shí)刻非結(jié)構(gòu)化數(shù)據(jù)處于使用狀態(tài)(駐留在內(nèi)存中),在一個(gè)應(yīng)用程序的控制下(例如Adobe Reader閱讀器),并被呈現(xiàn)給可以交互的用戶。

結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化為非結(jié)構(gòu)化數(shù)據(jù)帶來(lái)風(fēng)險(xiǎn)

基于上面三種狀態(tài)的描述,可以更加詳細(xì)地討論目前對(duì)保護(hù)非結(jié)構(gòu)化數(shù)據(jù)的挑戰(zhàn)。假設(shè)企業(yè)組織有一個(gè)HR的應(yīng)用程序,它包括一個(gè)維護(hù)每個(gè)員工信息的數(shù)據(jù)庫(kù),包括他們的年度工資、以前的紀(jì)律處分信息、個(gè)人數(shù)據(jù)(例如家庭地址和社會(huì)安全號(hào)碼)等。如同大多數(shù)現(xiàn)代的HR應(yīng)用程序一樣,它是基于網(wǎng)頁(yè)的,所以當(dāng)一個(gè)認(rèn)證的用戶運(yùn)行一個(gè)報(bào)表的時(shí)候,報(bào)表是從結(jié)構(gòu)化的數(shù)據(jù)庫(kù)過(guò)渡到非結(jié)構(gòu)化的數(shù)據(jù),以HTML的格式傳遞給網(wǎng)頁(yè)瀏覽器。用戶應(yīng)用程序能夠很容易從瀏覽器的拷貝和粘貼這個(gè)信息到電子郵箱信息和通過(guò)其他方式轉(zhuǎn)發(fā)。當(dāng)這個(gè)信息一旦添加到郵件正文中,它失去了與原始的應(yīng)用程序所有結(jié)構(gòu)和關(guān)聯(lián)。用戶可能也會(huì)選擇只拷貝和粘貼一部分信息,更改一部分信息,或者在原始的信息中添加一些新的內(nèi)容。收到用戶發(fā)的電子郵件的人可能會(huì)拷貝和粘貼數(shù)據(jù)到電子表格。這些電子表格信息可能被用來(lái)創(chuàng)建一個(gè)圖示的信息,使用的原始的一些文本信息在圖形上作為標(biāo)簽。如同這個(gè)情況所示,結(jié)構(gòu)化信息很快就被三種狀態(tài)的改變而轉(zhuǎn)化成了非結(jié)構(gòu)化數(shù)據(jù),這些結(jié)構(gòu)化數(shù)據(jù)從以前的數(shù)據(jù)庫(kù)中改變并重構(gòu)、存儲(chǔ)在較小的數(shù)據(jù)格式中,它們包括電子郵件,文檔,圖片,視頻等等。

企業(yè)可能已經(jīng)很好的定義了安全模型去控制訪問(wèn)HR的應(yīng)用程序和包含HR信息的數(shù)據(jù)庫(kù)。然而,信息需要傳遞給對(duì)有意義的人們或者應(yīng)用程序。如果它通過(guò)網(wǎng)絡(luò)傳輸了,企業(yè)和用戶能確定訪問(wèn)網(wǎng)絡(luò)是安全的,然而,當(dāng)信息到達(dá)用戶時(shí),它能夠被轉(zhuǎn)換成數(shù)千種不同的格式,發(fā)送給各種各樣的應(yīng)用程序和網(wǎng)絡(luò)。每個(gè)信息存在的地方能夠有保護(hù)的,它可能應(yīng)用訪問(wèn)控制對(duì)共享文件和控制對(duì)數(shù)據(jù)駐留(內(nèi)容)的地方和網(wǎng)絡(luò)的訪問(wèn);然而,你的非結(jié)構(gòu)化信息可能在任何地方被終結(jié),因此很難對(duì)它保護(hù)。事實(shí)上,甚至很難對(duì)它定位、識(shí)別和分類信息。一旦HR的數(shù)據(jù)終結(jié)在電子郵件中,意外的轉(zhuǎn)發(fā)給錯(cuò)誤的人,它就沒(méi)有存儲(chǔ)在數(shù)據(jù)庫(kù)原始數(shù)據(jù)的良好結(jié)構(gòu)了。它在從數(shù)據(jù)庫(kù)到一個(gè)未授權(quán)的用戶的收件箱的傳輸過(guò)程中,也被復(fù)制了好幾次。

事實(shí)上,在大數(shù)據(jù)時(shí)代,非結(jié)構(gòu)化的數(shù)據(jù)不斷的發(fā)生變化,數(shù)據(jù)終結(jié)在你沒(méi)有預(yù)期的地方,特別是因特網(wǎng)提供了一個(gè)令人難以置信的由擅長(zhǎng)傳輸非結(jié)構(gòu)化數(shù)據(jù)的計(jì)算機(jī)組成的大型網(wǎng)絡(luò)。大量的金錢和精力投入到去建設(shè)社交網(wǎng)絡(luò)(SNS),文件共享和協(xié)助服務(wù),點(diǎn)對(duì)點(diǎn)的應(yīng)用。點(diǎn)對(duì)點(diǎn)提供了無(wú)數(shù)種將非結(jié)構(gòu)化數(shù)據(jù)在幾秒鐘內(nèi)發(fā)布給數(shù)十億的用戶。所以我們經(jīng)常聽(tīng)到關(guān)于數(shù)據(jù)丟失的例子就不足為奇,現(xiàn)在我們創(chuàng)造了這么多令人驚訝的方法允許信息簡(jiǎn)單的離開(kāi)我們保護(hù)的邊界,我們的網(wǎng)絡(luò)控制用來(lái)阻止攻擊者范圍受我們保護(hù)的數(shù)據(jù)不再足以讓它安全了。

因此,企業(yè)高層管理者要充分意識(shí)到大數(shù)據(jù)時(shí)代非結(jié)構(gòu)化數(shù)據(jù)帶來(lái)的安全風(fēng)險(xiǎn)和沖擊,并提前準(zhǔn)備好相應(yīng)的措施來(lái)應(yīng)對(duì)它。

多層面數(shù)據(jù)防泄露保護(hù)非結(jié)構(gòu)化數(shù)據(jù)

非結(jié)構(gòu)化數(shù)據(jù)通常需要以如下幾種方式進(jìn)行泄露管控:

監(jiān)控:被動(dòng)的監(jiān)控和報(bào)告網(wǎng)絡(luò)流量和其他通信通道的信息例如文件拷貝到附加的存儲(chǔ)。

發(fā)現(xiàn):掃描本地或者遠(yuǎn)程數(shù)據(jù)存儲(chǔ)和在數(shù)據(jù)存儲(chǔ)庫(kù)或者在終端上分類消息。

捕獲:存儲(chǔ)重新構(gòu)建的網(wǎng)絡(luò)會(huì)話為以后的分析和分類/政策細(xì)化。

防護(hù)/阻塞:基于信息從監(jiān)控和發(fā)現(xiàn)組件防護(hù)數(shù)據(jù)傳輸,要么通過(guò)阻斷一個(gè)網(wǎng)絡(luò)會(huì)話,或者通過(guò)一個(gè)本地代理去停止信息流。

針對(duì)以上需要,可以應(yīng)用數(shù)據(jù)防泄露進(jìn)行有效的防控。數(shù)據(jù)防泄露(也稱DLP)指的是一個(gè)相對(duì)較新的一組技術(shù)設(shè)計(jì)去監(jiān)控,發(fā)現(xiàn)和保護(hù)數(shù)據(jù)。你可能還聽(tīng)到這種技術(shù)成為數(shù)據(jù)泄露防護(hù)—有時(shí)它也稱為“保護(hù)”這個(gè)詞代替“防護(hù)”。在任何情況下,DLP像一個(gè)你“數(shù)據(jù)的防火墻”。有各種各樣DLP的解決方案在市場(chǎng)上,通常能夠使用如下三種類型來(lái)分別在不同的層面保護(hù)非結(jié)構(gòu)化數(shù)據(jù):

網(wǎng)絡(luò)DLP 通常一個(gè)網(wǎng)絡(luò)應(yīng)用程序在主要的網(wǎng)絡(luò)周圍(大多數(shù)情況是在企業(yè)的組織網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間)作為一個(gè)網(wǎng)關(guān)。網(wǎng)絡(luò)DLP監(jiān)控通過(guò)網(wǎng)關(guān)的流量試圖去探測(cè)敏感的數(shù)據(jù)或者做點(diǎn)相關(guān)的事情,通常會(huì)阻止它離開(kāi)網(wǎng)絡(luò)。

存儲(chǔ)DLP軟件要么運(yùn)行在一個(gè)應(yīng)用程序上或者直接在文件服務(wù)器上,執(zhí)行像網(wǎng)路DLP一樣的功能。存儲(chǔ)DLP掃描存儲(chǔ)系統(tǒng)去發(fā)現(xiàn)敏感數(shù)據(jù)。當(dāng)找到的時(shí)候,它可以刪掉它,把它隔離或者簡(jiǎn)單的通知管理員。

終端的DLP軟件運(yùn)行在終端系統(tǒng)上監(jiān)控操作系統(tǒng)活動(dòng)和應(yīng)用程序,觀察內(nèi)存和網(wǎng)絡(luò)流量去探測(cè)敏感信息不恰當(dāng)?shù)氖褂谩?/p>

并且,網(wǎng)絡(luò)、存儲(chǔ)和終端的DLP經(jīng)常一起使用作為一個(gè)綜合DLP解決方案去滿足非結(jié)構(gòu)數(shù)據(jù)的安全管控需求。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)