監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

IDC數(shù)據(jù)保護(hù)所需應(yīng)對五大挑戰(zhàn)

申請免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

最近幾個月發(fā)生的事件表明,僅僅跟上隱私和安全條例的發(fā)展并不意味著你就不會遭遇數(shù)據(jù)破壞。企業(yè)需要更加認(rèn)真和更富創(chuàng)造性地對數(shù)據(jù)的管理和保護(hù)問題進(jìn)行思考,并且以后這將比法規(guī)遵從更加重要,Voltage的Mark Bower寫到。

在如此一個經(jīng)濟(jì)不景氣時期思考這些問題具有特別的意義:惡劣的市場狀況,企業(yè)消減開支、精簡那些心懷不滿的員工給渴望在全球數(shù)據(jù)系統(tǒng)領(lǐng)域得到尊重的黑社會發(fā)起有組織有預(yù)謀的攻擊制造了完美的條件。

今天的我們正不得不面對如下的問題:記錄的數(shù)據(jù)被破壞,強(qiáng)度和規(guī)模都有所增加的搶劫行動,以及專業(yè)黑客購買和銷售的整套攻擊技術(shù)和系統(tǒng)的漏洞信息。如果你讀到消息稱數(shù)千萬美元被支付網(wǎng)絡(luò)侵吞,要知道這其實(shí)并不罕見。

實(shí)際上,我們可以假設(shè)多重犯罪分子要想盜竊我們的身份有眾多方式的選擇。這些給我們帶來的損失就是:數(shù)十億美元的金額賠償,品牌和名譽(yù)損害導(dǎo)致的不計(jì)其數(shù)的損失,呈螺旋上升趨勢的審計(jì)費(fèi)用,以及絞盡腦汁解決這些問題時人們的頭痛。

數(shù)據(jù)破壞事件比僅僅遵守保密規(guī)定的花費(fèi)要昂貴得多,因?yàn)橐?guī)定永遠(yuǎn)都是在威脅已經(jīng)發(fā)現(xiàn)后才被人們制定出來的,并可能演變成為能被利用的企業(yè)弱點(diǎn)。企業(yè)、付款處理機(jī)構(gòu)、業(yè)務(wù)流程外包商,甚至非盈利組織都必須采取積極主動的對策才應(yīng)對這些問題,或者,他們現(xiàn)在就必須去付諸行動。

挑戰(zhàn):通過流程進(jìn)行保護(hù)

Data privacy compliance(數(shù)據(jù)隱私規(guī)則)并不是一成不變的固定條款。盡管直到現(xiàn)在,全面的安全措施高昂的價格仍不能讓人們接受,但是最佳的保護(hù)措施往往需要全面的保護(hù)。然而,最近規(guī)模擴(kuò)大的企業(yè)中出現(xiàn)了一個新的數(shù)據(jù)保護(hù)的模式:一個“數(shù)據(jù)為中心”的辦法,它從捕獲時刻開始并貫穿整個生命周期,是真正端到端的保護(hù),并對現(xiàn)有系統(tǒng)沒有重大的破壞。這樣的數(shù)據(jù)保護(hù)方法讓系統(tǒng)可有效地抵御從外部到內(nèi)部威脅,并且還大大降低了成本。

傳統(tǒng)保護(hù)數(shù)據(jù)的方法通常強(qiáng)加了很大的負(fù)擔(dān),并且迫使人們改變應(yīng)用程序和系統(tǒng)。例如,大多數(shù)企業(yè)或交易處理機(jī)構(gòu)在現(xiàn)有系統(tǒng)上已經(jīng)投入了大量的資金,并且大量的規(guī)定的數(shù)據(jù)可能需要留在原有的IT平臺和網(wǎng)絡(luò)上。舉例來說,在應(yīng)用程序環(huán)境中,系統(tǒng)存在著固有的復(fù)雜性和多樣性,這意味著用傳統(tǒng)的方法對數(shù)據(jù)進(jìn)行加密需要IT基礎(chǔ)設(shè)施的一次整體“大修”。更糟糕的是,靜止數(shù)據(jù)加密(在實(shí)時的IT系統(tǒng)中少有靜止數(shù)據(jù))無法阻止(那些我們在今天越來越頻繁地看到的)瞬間發(fā)生的攻擊。

拿金融交易處理環(huán)境作為一個例子來說,在傳統(tǒng)的加密方式中加密數(shù)據(jù)和對社會安全號(SSN)或信用卡號進(jìn)行加密同樣簡單,會影響應(yīng)用層社會安全號或信用卡領(lǐng)域的每個地方。由于從加密數(shù)據(jù)處理的變化,傳統(tǒng)的方法將會對用戶體驗(yàn)以及交易的反應(yīng)時間產(chǎn)生影響。

tokenization或“data vaults”(原始數(shù)據(jù)的一個別名,指向真實(shí)數(shù)據(jù),或者可產(chǎn)生真實(shí)數(shù)據(jù)的二級數(shù)據(jù)庫)等其他的傳統(tǒng)方法,只是簡單地將問題轉(zhuǎn)移到了另一個地方,同時還造成了更多的負(fù)擔(dān)。例如,敏感數(shù)據(jù)的更多儲存需求和業(yè)務(wù)連續(xù)性管理方面的巨大復(fù)雜性。再次,這并不現(xiàn)實(shí),特別是在這樣一個艱苦的市場環(huán)境下。

但是,好消息是出現(xiàn)了一些新的方法可以盡量減少這種影響。例如AES格式保留加密(AES Format-Preserving Encryption)和Stateless密鑰管理等技術(shù)可以讓加密更新過程更簡單和更具成本效益地融入到原有的應(yīng)用環(huán)境中。

當(dāng)然,數(shù)據(jù)加密也有其負(fù)面:一些規(guī)章制度給處理加密數(shù)據(jù)帶來了法律以及其他方面的挑戰(zhàn)。例如,目前支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI)等規(guī)定和一些地方性法規(guī)(2010年內(nèi)華達(dá)州和馬薩諸塞州新頒布的法律)特別提出要對數(shù)據(jù)進(jìn)行加密,而且還有一些規(guī)定需要數(shù)據(jù)的快速恢復(fù)程序,如電子發(fā)現(xiàn)(例如,美國證券交易委員會17A-4條)。

這就是為什么以數(shù)據(jù)為中心的保護(hù)方法必須考慮到數(shù)據(jù)的整個信息生命周期;如,一些業(yè)務(wù)流程可能會強(qiáng)加于已沒有實(shí)際用途的數(shù)據(jù)上。如果不對這些數(shù)據(jù)進(jìn)行銷毀,只會對特定的交易的數(shù)據(jù)的日常用途造成妨礙。

在數(shù)據(jù)倉庫技術(shù)中這變得至關(guān)重要。例如,Stateless Key Management就是以數(shù)據(jù)為中心的保護(hù)辦法。當(dāng)與強(qiáng)用戶認(rèn)證系統(tǒng)相結(jié)合的時候(如Identity Management Infrastructure),電子監(jiān)管準(zhǔn)入成為自然過程,而不是在被禁止使用,這讓調(diào)查過程的復(fù)雜性猛然增多。以前的密鑰在fly和數(shù)據(jù)恢復(fù)過程中還將有用武之地,并且在高審計(jì)訪問和驗(yàn)證管理策略的控制之中。

一些不用生命周期進(jìn)行數(shù)據(jù)保護(hù)的方法造成了漏洞。例如只對靜止數(shù)據(jù)(data at rest)加密的方法,如本地?cái)?shù)據(jù)庫加密始終總是讓攻擊者通過多種多樣的渠道(如SQL注入攻擊)能夠訪問數(shù)據(jù)。包括利用數(shù)據(jù)庫訪問層的弱點(diǎn)和損害數(shù)據(jù)庫切入點(diǎn)(如管理員帳戶)。在遵守法規(guī)的企業(yè)中,這樣的攻擊事例不勝枚舉,行業(yè)數(shù)據(jù)破壞報(bào)告(如DatalossDB.org)也全都是這樣的案例。

這意味著需要對數(shù)據(jù)保護(hù)進(jìn)行生命周期的重復(fù)檢查,畢竟,管理支付交易的數(shù)據(jù)或計(jì)費(fèi)系統(tǒng)中使用的客戶信息等數(shù)據(jù)的應(yīng)用程序會頻繁地使用數(shù)據(jù),很少有數(shù)據(jù)庫儲存交易的靜止數(shù)據(jù)。事實(shí)上,數(shù)據(jù)經(jīng)常是非靜止的,除非是電池供電設(shè)備或者傳統(tǒng)的非電力存儲介質(zhì)。當(dāng)今世界是個以網(wǎng)絡(luò)為基礎(chǔ)的世界并會延續(xù)這種發(fā)展趨勢,因此,保護(hù)策略必須更加全面,并且真正做到“端到端”的保護(hù)。

應(yīng)用環(huán)境中流動的數(shù)據(jù)需要被有效地分析,確定這些數(shù)據(jù)怎樣被使用以及數(shù)據(jù)真正需要用在哪里。做好數(shù)據(jù)分析才有可能先建立風(fēng)險文件夾并開始系統(tǒng)地使用高風(fēng)險的數(shù)據(jù)流,例如數(shù)據(jù)庫和管理社會安全號或支付卡數(shù)據(jù)的應(yīng)用程序。結(jié)合了以數(shù)據(jù)為中心的解決方法的身份管理系統(tǒng)將支持基于角色的數(shù)據(jù)訪問管理。這讓世界變得兩全齊美:一些現(xiàn)有系統(tǒng)中將會同時擁有角色和權(quán)限管理功能,如directory infrastructure或IDM平臺和聯(lián)合的驗(yàn)證系統(tǒng)。

有了這種辦法,數(shù)據(jù)可系統(tǒng)地抵御黑客的攻擊,以及通過審計(jì)和控制流程下的生命周期管理進(jìn)行破壞的犯罪分子。同時,這個技術(shù)解決了普通員工和管理員(他們需要管理數(shù)據(jù)但也許不需要經(jīng)??吹綄?shí)時數(shù)據(jù),如社會安全號)職責(zé)分離的難題。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI就是對這種職責(zé)分離管理有特定需要的一個很好的例子。

最佳的做法強(qiáng)調(diào)的是企業(yè)內(nèi)外部的持續(xù)數(shù)據(jù)保護(hù),并且我們已經(jīng)看到了數(shù)據(jù)在互聯(lián)網(wǎng)明確的節(jié)點(diǎn)或從第三方系統(tǒng)遭到泄露的案例。在Hannaford超市的例子中,他們遵守了PCI,但是數(shù)據(jù)仍然遭到了盜竊,這是由于他們在網(wǎng)絡(luò)上的不同節(jié)點(diǎn)是明確的。

如果移動設(shè)備被不法分子截獲怎么辦?第三方市場分析等與產(chǎn)品無直接關(guān)系的用途的數(shù)據(jù)或者在測試中和工程設(shè)計(jì)環(huán)境中的數(shù)據(jù)又如何進(jìn)行保護(hù)?投入大量資金用于保護(hù)生產(chǎn)系統(tǒng)和數(shù)據(jù)中心的企業(yè)并不罕見,但是在應(yīng)用軟件開發(fā)商和其他外包商的系統(tǒng)中一些實(shí)時數(shù)據(jù)在偶爾情況下仍沒有受到保護(hù)。

隨著流行平臺(如iPhone)的出現(xiàn),人們越來越傾向于使用移動平臺完成新的業(yè)務(wù)任務(wù)。然而數(shù)據(jù)隱私問題往往不允許這種新型的業(yè)務(wù)模式。好在以數(shù)據(jù)為中心的模式在這個領(lǐng)域中是比較理想的。例如,現(xiàn)在在移動平臺上使用整合的技術(shù)對數(shù)據(jù)進(jìn)行保護(hù)已成為可能,如格式保留加密(FPE)和高級的公開密鑰技術(shù)如基于身份的加密技術(shù)(IBE)的結(jié)合。

一個案例是,我們需要使用攜帶新的客戶數(shù)據(jù)iPhone作為設(shè)備來開設(shè)一個賬戶。在過去,這將帶來一定的風(fēng)險:我們需要為離線的加密數(shù)據(jù)儲存一個密鑰?,F(xiàn)在,隨著FPE和IBE聯(lián)合解決方法和設(shè)備轉(zhuǎn)換技術(shù)(如隨時將iPhone轉(zhuǎn)化為安全設(shè)備)的出現(xiàn)這些問題已迎刃而解。這個技術(shù)可同樣被應(yīng)用于POS系統(tǒng),可從持卡人數(shù)據(jù)被截獲的瞬間開啟端到端的防護(hù)。

在我們繼續(xù)研究數(shù)據(jù)時效超出生命周期的應(yīng)用程序環(huán)境的時候,有一個領(lǐng)域更值得推敲:測試和QA(質(zhì)量保證)。顯然,企業(yè)需要對不斷變化的市場情況作出迅速的反應(yīng),并且保持高的質(zhì)量,但是如果他們在控制欠佳的環(huán)境中使用實(shí)時的產(chǎn)品數(shù)據(jù),他們就必須要提高在法規(guī)遵從和安全威脅方面的注意力了。今天,我們看到的是測試和QA對數(shù)據(jù)de-identification的需要,并且不會影響到數(shù)據(jù)質(zhì)量和完整性,以及在產(chǎn)品系統(tǒng)中對數(shù)據(jù)的保護(hù)。同樣,像格式保留加密等技術(shù)可以起到幫助作用。

罰款是一回事,但是品牌損害、客戶的不耐煩和投資商流失則是更大的問題,特別是在這樣一個經(jīng)濟(jì)不景氣的時期。披露法讓消費(fèi)者對數(shù)據(jù)破壞事件提高了警惕,消費(fèi)者或商業(yè)合作伙伴流失對企業(yè)管理層來說是最受關(guān)注的問題。因此,你如何在這樣一個環(huán)境下保護(hù)你的品牌呢?

目前在一些前瞻性的企業(yè)中有這樣一個做法,他們通常會主動地使用安全技術(shù)。幾年前,一些銀行和ISPs(因特網(wǎng)服務(wù)提供商)引導(dǎo)著潮流,為他們的客戶提供防病毒技術(shù)。今天,我們看到加密和保護(hù)技術(shù)出現(xiàn)在前沿的客戶計(jì)劃里(而且并非針對靜止數(shù)據(jù)而是端到端的保護(hù))。在某些情況下,我們確實(shí)看到行業(yè)需要這樣的解決方法。以數(shù)據(jù)為中心的模式提供了一個平臺式的的解決方法,在防止企業(yè)遭受數(shù)據(jù)攻擊方面,全面的保護(hù)可以成為增加用戶信心的共同使用的工具。

現(xiàn)在企業(yè)至少需要比以往更加認(rèn)真和創(chuàng)造性地思考管理和保護(hù)數(shù)據(jù)的問題。然而,這將比遵守法規(guī)條款更加棘手。

甚至是在復(fù)雜的原有應(yīng)用環(huán)境、引動系統(tǒng)或者商業(yè)應(yīng)用上,端到端的保護(hù)也不必那么難以實(shí)現(xiàn)。端到端保護(hù)可以從重要的業(yè)務(wù)開始,并隨著一個企業(yè)數(shù)據(jù)保護(hù)策略的變化而迅速擴(kuò)展。

不能解決瞬間發(fā)生的威脅將給企業(yè)造成很大的風(fēng)險。每個企業(yè)都需要在管理風(fēng)險方面采取主動的立場,并且將這些風(fēng)險信息在企業(yè)內(nèi)部大肆推廣,這些安全問題應(yīng)該絕對是企業(yè)優(yōu)先進(jìn)行管理的。這就是更高的安全保障,這就是更好的企業(yè),并且這就是更高的性能系數(shù)。(IT168)

 

發(fā)布:2007-04-21 11:54    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
沈陽OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普沈陽OA行業(yè)資訊其他應(yīng)用

沈陽OA軟件 沈陽OA新聞動態(tài) 沈陽OA信息化 沈陽OA快博 沈陽OA行業(yè)資訊 沈陽軟件開發(fā)公司 沈陽門禁系統(tǒng) 沈陽物業(yè)管理軟件 沈陽倉庫管理軟件 沈陽餐飲管理軟件 沈陽網(wǎng)站建設(shè)公司