近年來的頻繁曝出的數據泄露事件令人不得不思考,機構是否把安全投入投到了正確的地方。
最近的一份數據泄露報告顯示,95%的數據泄露事件其動機均為獲取物質利益或商業(yè)間諜行為。于是一個疑問就此產生,我們?yōu)槭裁匆押芏嗟馁Y源和精力投入到保護網絡邊界,而不是防止數據泄露或篡改方面呢?信息安全是否需要一種新的方法來關注數據本身的安全問題?
企業(yè)花費大量的資金用于保持企業(yè)的安全邊界,以防范網絡攻擊和內部威脅。Gartner的報告顯示,全球在信息安全方面的投入2014年將達到711億美元,較2013年增長7.9%。2015年將繼續(xù)增長8.2%,達到769億美元。
這些花費的大部分都用于加強傳統的安全防護邊界,但越來越多的安全事件表明,這種投入方向的效果很差。索尼影業(yè)就是一個例子,其數量繁多的安全工具和產品服務,也未能阻止黑客盜走其高度敏感的數據。
對于想要獲取物質利益的黑客來說,攻擊的首要目標是數據。因此,如果能保證數據不被盜取或不被篡改,就可以在防止網絡入侵方面少花一些資源和精力。遺憾的是,現實情況許多機構都未將數據保護視為重點。
一份調查了5000名高級IT經理的報告顯示,全球35%的機構并沒有對其數據進行加密。而近年來,所有發(fā)生的信息泄露事件,如果泄露信息的這些企業(yè)全部都對其數據進行加密的話,至少有一半的泄露事件可以避免。
這就是為什么越來越多的管理標準和行業(yè)標準,如COBIT 5、PCI DSS 3.0、FISMA等,強制要求數據完整性。那么,如果數據是網絡攻擊的最終目標,采取何種數據完整性戰(zhàn)略,才能夠最有效的保護機構的敏感數據資產呢?
數據完整性的目標是在數據作者的認可下,確保數據的正確性、完整性、完全性、健康性和合規(guī)性。在IT安全的安全環(huán)境下,其目標是防止數據庫中的數據遭到意外、故意和未授權的移除、插入、修改或破壞。因此,最佳數據安全實踐的基礎應該如下:
第一步,按業(yè)務需求分類保護數據。如分成“公開”、“內部”、“秘密”和“絕密”等類別。數據分類常常被棄用是因為,需要手工維護數據不斷變化的類別狀態(tài)。但如今新興的大數據風險管理系統都有著所謂的動態(tài)分組功能,允許簡單的拖放操作重新分類,并可將改變分發(fā)到所有相關節(jié)點。
數據分類之后就是數據加密。加密技術在最近幾年來有著良好的發(fā)展,消除了早期在性能和部署方面的障礙。機構應該確保把加密機制正確地實施到所有敏感數據,無論數據在哪里保存,也不管數據如何傳輸。
訪問控制是許多安全項目的最薄弱點,這是因為實施者必須平衡數據可用性與未授權數據的使用(如盜用、泄露、篡改和破壞)。另一方面,黑客通常的目標是特權用戶,因為這些人的賬戶是入侵整個網絡的橋頭堡。因此,要嚴格執(zhí)行界定良好的訪問控制政策并持續(xù)監(jiān)控訪問路徑,以確保訪問控制策略的正常執(zhí)行。此為保證數據完整性的基本要素。一套能夠評估風險態(tài)勢、可視化結果和合理安排基于業(yè)務關鍵性的補救措施的大數據風險管理系統,可以給企業(yè)的數據保護工作帶來很大的幫助。
最后,機構應該保護數據的傳輸安全性。這方面最危險的案例就是黑客在股票市場的數據公開發(fā)布前,對其進行操縱。
對于信息安全工作而言,想達到百分百的安全是不可能的。然而,增加了數據完整性措施的安全防護機制,將極大的降低數據大規(guī)模泄露的可能。
原文地址:http://www.aqniu.com/neo-points/6900.html