近年來的頻繁曝出的資料洩露事件令人不得不思考,機構是否把安全投入投到了正确的地方。
最近的一份資料洩露報告顯示,95%的資料洩露事件其動機均為擷取物質利益或商業間諜行為。于是一個疑問就此産生,我們為什麼要把很多的資源和精力投入到保護網絡邊界,而不是防止資料洩露或篡改方面呢?資訊安全是否需要一種新的方法來關注資料本身的安全問題?
企業花費大量的資金用于保持企業的安全邊界,以防範網絡攻擊和内部威脅。gartner的報告顯示,全球在資訊安全方面的投入2014年将達到711億美元,較2013年增長7.9%。2015年将繼續增長8.2%,達到769億美元。
這些花費的大部分都用于加強傳統的安全防護邊界,但越來越多的安全事件表明,這種投入方向的效果很差。索尼影業就是一個例子,其數量繁多的安全工具和産品服務,也未能阻止黑客盜走其高度敏感的資料。
對于想要擷取物質利益的黑客來說,攻擊的首要目标是資料。是以,如果能保證資料不被盜取或不被篡改,就可以在防止網絡入侵方面少花一些資源和精力。遺憾的是,現實情況許多機構都未将資料保護視為重點。
一份調查了5000名進階it經理的報告顯示,全球35%的機構并沒有對其資料進行加密。而近年來,所有發生的資訊洩露事件,如果洩露資訊的這些企業全部都對其資料進行加密的話,至少有一半的洩露事件可以避免。
這就是為什麼越來越多的管理标準和行業标準,如cobit 5、pci dss 3.0、fisma等,強制要求資料完整性。那麼,如果資料是網絡攻擊的最終目标,采取何種資料完整性戰略,才能夠最有效的保護機構的敏感資料資産呢?
資料完整性的目标是在資料作者的認可下,確定資料的正确性、完整性、完全性、健康性和合規性。在it安全的安全環境下,其目标是防止資料庫中的資料遭到意外、故意和未授權的移除、插入、修改或破壞。是以,最佳資料安全實踐的基礎應該如下:
第一步,按業務需求分類保護資料。如分成“公開”、“内部”、“秘密”和“絕密”等類别。資料分類常常被棄用是因為,需要手工維護資料不斷變化的類别狀态。但如今新興的大資料風險管理系統都有着所謂的動态分組功能,允許簡單的拖放操作重新分類,并可将改變分發到所有相關節點。
資料分類之後就是資料加密。加密技術在最近幾年來有着良好的發展,消除了早期在性能和部署方面的障礙。機構應該確定把加密機制正确地實施到所有敏感資料,無論資料在哪裡儲存,也不管資料如何傳輸。
通路控制是許多安全項目的最薄弱點,這是因為實施者必須平衡資料可用性與未授權資料的使用(如盜用、洩露、篡改和破壞)。另一方面,黑客通常的目标是特權使用者,因為這些人的賬戶是入侵整個網絡的橋頭堡。是以,要嚴格執行界定良好的通路控制政策并持續監控通路路徑,以確定通路控制政策的正常執行。此為保證資料完整性的基本要素。一套能夠評估風險态勢、可視化結果和合理安排基于業務關鍵性的補救措施的大資料風險管理系統,可以給企業的資料保護工作帶來很大的幫助。
最後,機構應該保護資料的傳輸安全性。這方面最危險的案例就是黑客在股票市場的資料公開釋出前,對其進行操縱。
對于資訊安全工作而言,想達到百分百的安全是不可能的。然而,增加了資料完整性措施的安全防護機制,将極大的降低資料大規模洩露的可能。
作者:王小瑞
來源:51cto