規(guī)避五大數(shù)據(jù)安全風險論文

　　如果企業(yè)認為自己的數(shù)據(jù)存儲已經(jīng)非常安全了，那就大錯特錯了。目前，企業(yè)數(shù)據(jù)泄露的問題非常突出，這里我們介紹五種常見的信息安全風險，并給出規(guī)避風險的建議。

　　讓我們一起來思考一個問題: 企業(yè)數(shù)據(jù)所面臨的最大安全威脅是什么?如果你的回答是非法人員攻擊或者說是IT人員的違規(guī)行為的話，那并不完全正確。的確，非法人員的惡意攻擊總能引起人們的高度重視，IT人員的惡意違規(guī)行為更是不能容忍，但事實上，最有可能泄露企業(yè)數(shù)據(jù)的卻往往是那些沒有絲毫惡意的員工，換句話說，內(nèi)部員工使用網(wǎng)絡(luò)文件共享或者亂用筆記本電腦造成數(shù)據(jù)泄露的可能性最大。

　　據(jù)Ponemon Institute最新的調(diào)查報告顯示，內(nèi)部員工的粗心大意是到目前為止企業(yè)數(shù)據(jù)安全的最大威脅，由此造成的數(shù)據(jù)安全事故高達78%。在這份報告中還指出，在企業(yè)不斷嘗試和應(yīng)用最新企業(yè)內(nèi)部數(shù)據(jù)保護技術(shù)的同時，卻沒有充分意識到企業(yè)內(nèi)部員工的筆記本電腦以及其他移動存儲設(shè)備所存在的安全隱患。

　　存儲網(wǎng)絡(luò)工業(yè)協(xié)會(SNIA)曾發(fā)布過企業(yè)存儲安全性自我評估方法，用來測試企業(yè)對數(shù)據(jù)的保護程度。結(jié)果顯示，目前大多數(shù)企業(yè)受到數(shù)據(jù)泄露問題的困擾。ITRC(Identity Theft Resource Center)的資料也顯示，在美國，2008年出現(xiàn)的數(shù)據(jù)泄露事件比上一年增長了47%。“況且這些還只是有記載的數(shù)字，我的電子郵箱里就經(jīng)常收到一些促銷信息，顯然我的個人信息通過某種渠道被泄露了�！� ITRC的創(chuàng)始人、身份認證管理專家Craig Muller說。

　　事實上，現(xiàn)在人們應(yīng)該充分意識到問題的嚴重性了。Ponemon Institute在2008年進行的另一項調(diào)查顯示，在1795名受訪者中有超過一半以上的人表示其在過去24個月中被告知數(shù)據(jù)泄露的次數(shù)大于兩次，而8%的人則表示收到過四次以上這樣的通知。但是，到目前為止，企業(yè)還不知道該如何保護自己。在Ponemon Institute的這份調(diào)查中顯示，在577名安全專家中僅有16%的人認為當前的安全措施足以保護企業(yè)的.數(shù)據(jù)安全了。

　　目前，解決問題惟一的方法就是借鑒其他企業(yè)的前車之鑒，以避免自己出現(xiàn)類似的問題。下面介紹五種常見的數(shù)據(jù)泄露問題，每種情況我們都給出了規(guī)避安全風險的建議。

　　內(nèi)部竊取

　　2007年11月，Certegy Check Services(Fidelity National Information Services的一家子公司)的高級數(shù)據(jù)庫管理員利用特許的數(shù)據(jù)存取權(quán)限偷走了超過850萬客戶的數(shù)據(jù)資料。隨后，他將數(shù)據(jù)賣給了一家中間商，價格是50萬美元，之后這家中間商又將數(shù)據(jù)賣給了其他商家。事情敗露后，這名員工被判入獄四年并負責賠償320萬美元的經(jīng)濟損失。Certegy Check Services官方宣稱事情很快就得到了解決，客戶的個人信息并沒有被泄露，不過，其客戶還是收到了其他廠商發(fā)來的促銷信息，而這些廠商恰恰購買了被竊數(shù)據(jù)。

　　還有一個案例，一位在DuPont工作的技術(shù)專家在離開公司之前拷貝了價值4億美元的商業(yè)機密，然后跳槽到了一家與DuPont競爭的亞洲公司。根據(jù)法院的記錄，他利用特許存取權(quán)限下載了大約2.2萬份摘要以及1.67萬份PDF文件，這些文件記錄了DuPont的主要產(chǎn)品線，其中還包括一些開發(fā)中的新技術(shù)。他在下載數(shù)據(jù)之前與DuPont的競爭對手討價還價了兩個月之久，并最終達成了“協(xié)議”。依據(jù)這些犯罪記錄，法院宣判其服刑18個月。

　　代價：在DuPont的案例中，雖然最終美國政府為其損失補償了18萬美元，但其被泄露的商業(yè)機密估計價值超過4億美元。而且，沒有任何證據(jù)可以證明，DuPont泄露的數(shù)據(jù)已經(jīng)被競爭對手，也就是上述那位技術(shù)專家的“同謀”得到，這就使得DuPont無法通過更有效的法律途徑解決問題。

　　據(jù)Semple的研究顯示，客戶信息失竊比知識產(chǎn)權(quán)失竊帶來的損失更大。在2008年，Certegy Check Services公司為客戶信息丟失所付出的代價是每人每次2萬美元。

　　分析：ITRC的報告中顯示，在2008年發(fā)生且被記錄下來的泄露事件中有16%是由內(nèi)部竊取所造成的，是2007年的兩倍。原因是，現(xiàn)在很多企業(yè)在“獵頭”的同時，還伴隨著商業(yè)犯罪—根據(jù)卡內(nèi)基梅隆大學計算機應(yīng)急響應(yīng)小組(CERT)的研究，1996年到2007年企業(yè)內(nèi)部犯罪有一半是竊取商業(yè)機密。

　　CERT指出，內(nèi)部人員竊取商業(yè)機密有兩大誘因：一是能夠獲得金錢;二是能夠獲得商業(yè)優(yōu)勢。雖然后者多是從員工準備跳槽開始的，但這類情況大都是在員工離開以后才被發(fā)現(xiàn)，因為其留下了秘密訪問數(shù)據(jù)的記錄�？梢�，內(nèi)部威脅是數(shù)據(jù)安全管理的難題之一，尤其是對那些有特許權(quán)限的員工的管理更是如此。

　　建議：首先，建議企業(yè)做好對數(shù)據(jù)庫非正常訪問的監(jiān)督，為不同用戶的當前可用訪問權(quán)設(shè)定限制，這樣系統(tǒng)就可以很容易地檢測出負責特定工作的員工是否訪問了超出工作范圍的數(shù)據(jù)。比如，Dupont公司就是因為檢測到該技術(shù)專家異常訪問了電子數(shù)據(jù)圖書館才發(fā)現(xiàn)了其非法行為的。此外，一旦檢測到了數(shù)據(jù)泄露，最重要的就是快速行動以減小信息擴散的可能性，并提交法律機關(guān)迅速展開取證調(diào)查。

　　其次，企業(yè)應(yīng)當使用個人訪問控制工具，保證系統(tǒng)記錄下每一個曾經(jīng)訪問過重要信息的人。此外，保存客戶和員工信息的數(shù)據(jù)庫更應(yīng)當對訪問加以嚴格限制。事實上，就日常工作而言，能有多少人在沒有許可的情況下有查閱身份證件號碼和社會保險號碼的需要呢!因此，個人信息應(yīng)該與商業(yè)機密有著相同的保密級別。

　　再次，建議使用防數(shù)據(jù)丟失工具以防止個人數(shù)據(jù)在通過電子郵件、打印或者復(fù)制到筆記本電腦及其他外部存儲設(shè)備時發(fā)生泄露。這類工具會在有人嘗試拷貝個人身份數(shù)據(jù)時向管理員發(fā)出警告，并做記錄。但是目前，很多企業(yè)都沒有應(yīng)用類似的審查記錄工具。

　　此外，加強內(nèi)部控制和審計也非常重要。舉個例子，企業(yè)可以通過設(shè)立網(wǎng)絡(luò)審查或記錄數(shù)據(jù)庫活動等方式來進行監(jiān)督。保存詳細記錄可能并不夠，企業(yè)還需要通過審計方式來檢查是否有人更改或者非法訪問了記錄。當然，單獨依靠技術(shù)手段是不行的，企業(yè)還需要確保你所信任的數(shù)據(jù)使用者是真正值得信任的。

　　設(shè)備失竊

　　2006年5月，由于美國退伍軍人事務(wù)部的一名工作人員丟失了自己的筆記本電腦，致使2650萬退伍軍人的個人資料丟失。萬幸的是，最后小偷被捕，并沒有釀成更嚴重的后果。雖然事后FBI(美國聯(lián)邦調(diào)查局)宣稱數(shù)據(jù)沒有被泄露，但這個事件的發(fā)生還是給退伍軍人事務(wù)部帶來了巨大的影響。無獨有偶，2007年1月，退伍軍人事務(wù)部在阿拉巴馬醫(yī)務(wù)中心同樣發(fā)生了筆記本電腦被盜事件，致使53.5萬退伍軍人和超過130萬內(nèi)科醫(yī)生的個人數(shù)據(jù)被泄露。

　　代價：在事件發(fā)生后的一個多月的時間里，退伍軍人事務(wù)部為了支撐回答人們關(guān)于數(shù)據(jù)被竊問題的電話應(yīng)答中心，每天就要花費20萬美元，此外，他們還要支付100萬美元用來打印和郵寄通知信。

　　退伍軍人事務(wù)部因此還遭到了聯(lián)名起訴，起訴中包括要求其對每個人造成的損失賠償1000美元。在2007年第二次數(shù)據(jù)泄露事件之后，退伍軍人事務(wù)部為現(xiàn)役和已經(jīng)退伍的軍人總共賠償了2000多萬美元，才結(jié)束了這場聯(lián)名訴訟。為此，美國政府還為其撥款2500萬美元用來補償損失。

　　分析：設(shè)備失竊成為了數(shù)據(jù)泄露的最主要原因—在2008年，大約占到了20%。據(jù)芝加哥法律事務(wù)所Seyfarth Shaw的合伙人Bart Lazar介紹，在他所處理的數(shù)據(jù)泄露案件中，由于筆記本電腦丟失而造成的數(shù)據(jù)泄露占絕大部分。

　　建議：首先要對存儲在筆記本電腦上的個人身份信息加以限定。比如說，不要將客戶和員工的名字與其身份證件號碼、社會保險號碼、信用卡號碼等身份信息放在一起保存。可以將這些數(shù)字“截斷”存儲，或者考慮建立個人特殊信息，比如說將每個人的姓氏與社會保險號碼的后四位連在一起保存。

　　其次，對筆記本電腦上存儲的個人信息進行加密，盡管這會產(chǎn)生一些潛在成本(大約每臺筆記本電腦50到100美元)，同時還會損失一些性能，但這是必須的。美國存儲網(wǎng)絡(luò)工業(yè)協(xié)會負責存儲安全的副主席Blair Semple曾表示，對數(shù)據(jù)進行加密，需要企業(yè)和員工都形成這種強烈的意識才行，在很多情況下，對數(shù)據(jù)進行加密并不困難，但人們卻沒有這么做，不難看出，管理層面上的問題才是最大的。

　　最后，建議在數(shù)據(jù)載體上設(shè)置保護性更強的口令密碼。

　　外部入侵

　　2007年1月，零售商TJX Companies 發(fā)現(xiàn)其客戶交易系統(tǒng)被非法人員入侵，令人不解的是，此入侵從2003年就已經(jīng)開始了，一直延續(xù)到2006年12月，非法人員從中獲取了9400萬客戶的賬戶信息，而數(shù)據(jù)被盜事件在4年后才因一次偽造信用卡事件被發(fā)現(xiàn)。2008年夏天，11人因與此事相關(guān)而被起訴，這是美國法律部門有史以來受理的最大規(guī)模的非法人員盜竊案件。

　　代價：據(jù)估計，TJX在此次數(shù)據(jù)泄露事件中的損失大約在2.56億美元，包括恢復(fù)計算機系統(tǒng)、法律訴訟費、調(diào)查研究以及其他支持費用，損失中還包括對VISA和MasterCard的賠償。此外，美國聯(lián)邦商務(wù)委員會還要求TJX必須每隔一年委托獨立的第三方機構(gòu)進行安全檢查，并持續(xù)20年。

　　甚至有人預(yù)測，TJX因此受到的損失會達到10億美元以上，因為還要將法律和解費用以及因此失去很多客戶的代價計算在內(nèi)。據(jù)Ponemon在2008年4月進行的一項研究表明，通常發(fā)生數(shù)據(jù)泄露事故的企業(yè)將會失去31%的客戶基礎(chǔ)和收入來源。在Ponemon最近發(fā)布的年度數(shù)據(jù)泄露損失統(tǒng)計報告中顯示，每泄露一份客戶信息，公司就將損失202美元，而在1997年，這個數(shù)字是197美元，其中因數(shù)據(jù)泄露失去的商業(yè)機會所帶來的損失是損失增長中最重要的部分。

　　分析：據(jù)Ponemon的研究，非法人員入侵造成的數(shù)據(jù)泄露在安全威脅中名列第五。據(jù)ITRC的調(diào)查，在2008年有記載的數(shù)據(jù)泄露事件中有14%是由非法人員攻擊所造成的。但這并不意味著企業(yè)對此就應(yīng)該束手無策，甚至放任不管。

　　在TJX的案例中，非法人員是利用War-Driving滲透到系統(tǒng)內(nèi)并入侵企業(yè)網(wǎng)絡(luò)的。而這主要是因為TJX使用的網(wǎng)絡(luò)編碼低于標準規(guī)格，且在網(wǎng)絡(luò)上的計算機并沒有安裝防火墻，傳輸數(shù)據(jù)也沒有進行加密，這才使得非法人員可以在網(wǎng)絡(luò)上安裝軟件并訪問系統(tǒng)上的客戶信息，甚至還可以攔截在價格檢查設(shè)備、收銀機和商場計算機之間傳輸?shù)臄?shù)據(jù)流。

　　建議：如果對數(shù)據(jù)庫的訪問非常容易的話，那么建議企業(yè)使用高級別的數(shù)據(jù)安全措施和數(shù)據(jù)編碼。

　　員工大意

　　Pfizer公司的一名員工一直是通過網(wǎng)絡(luò)和筆記本電腦進行遠程辦公的，沒想到，他的妻子在其工作用的筆記本電腦上安裝了未經(jīng)授權(quán)的文件共享軟件，致使外部人員通過這個軟件獲得了1.7萬名Pfizer公司現(xiàn)任員工和前任員工的個人信息，其中包括姓名、社保賬號、地址和獎金信息等。統(tǒng)計顯示，大約有1.57萬人通過P2P軟件下載了這些數(shù)據(jù)，另外有1250人轉(zhuǎn)發(fā)了這些數(shù)據(jù)。

　　代價：為了將數(shù)據(jù)泄露事件的危害降至最低，并避免類似事件的發(fā)生，Pfizer與一家信用報告代理商簽署了一項“支持與保護”合同，合同包括對與泄露數(shù)據(jù)相關(guān)的信息進行為期一年的信用監(jiān)控服務(wù)，以及一份因數(shù)據(jù)泄露對個人損失進行賠償?shù)谋ｋU單。

　　分析：據(jù)Ponemon的最新研究表明，粗心的員工(雖然不是故意的)是數(shù)據(jù)安全的最大威脅。有數(shù)據(jù)顯示，88%的數(shù)據(jù)泄露與員工的大意有關(guān)。如果企業(yè)的員工能夠具有更高的安全意識，數(shù)據(jù)泄露的數(shù)量將會大幅下降。在Pfizer的案例中，就是因為員工的妻子在其筆記本電腦上安裝了文件共享軟件，這才使得其他人能夠通過P2P軟件獲得筆記本電腦上的數(shù)據(jù)，包括Pfizer公司的內(nèi)部數(shù)據(jù)信息。

　　大意的員工再加上文件共享軟件，這絕對是個危險的組合。Dartmouth College在2007年的研究表明，雖然大部分企業(yè)不允許在企業(yè)網(wǎng)絡(luò)上安裝P2P軟件，但是很多員工卻在遠程計算機和家用PC上安裝了這種軟件。研究發(fā)現(xiàn)，有三十家美國銀行的員工在使用P2P軟件分享音樂和其他文件，并在不經(jīng)意間向潛在的網(wǎng)絡(luò)犯罪分子泄露了銀行賬戶數(shù)據(jù)。一旦業(yè)務(wù)數(shù)據(jù)發(fā)生泄露，將會通過P2P軟件擴散到全世界的很多計算機上。

　　建議：企業(yè)的IT部門應(yīng)該全面禁止員工使用P2P軟件，或者制定規(guī)章限制P2P的使用，并安裝工具來強化這一規(guī)章。并且，應(yīng)該對員工的計算機系統(tǒng)進行審核，阻止員工進行軟件下載。比如，可以將員工的管理員資格取消，這樣他們就不能安裝任何程序了。同時，最重要的就是教育和培訓，因為這樣能夠讓員工了解P2P的危險性。

　　合作伙伴泄露

　　2008年11月，亞利桑那州經(jīng)濟安全部給大約4萬名兒童的家長發(fā)出了通知——這些孩子的個人信息可能已經(jīng)因為代理商將幾個磁盤丟失而被泄露。磁盤雖然有密碼保護，但卻沒有進行加密。

　　代價：統(tǒng)計數(shù)據(jù)顯示，對企業(yè)來說，合作伙伴將數(shù)據(jù)泄露的損失往往比企業(yè)內(nèi)部泄露的損失更大。據(jù)Ponemon的調(diào)查統(tǒng)計，合作伙伴泄露一份數(shù)據(jù)記錄企業(yè)要損失231美元，而企業(yè)內(nèi)部泄露一份數(shù)據(jù)記錄造成的損失約為171美元。

　　分析：Ponemon的年度損失報告表明，外包、轉(zhuǎn)包、咨詢和商業(yè)合作伙伴造成的數(shù)據(jù)泄露在不斷增長，去年大約占到所有數(shù)據(jù)泄露事件的44%，比2007年增長了40%。ITRC的研究也指出，2008年10%的數(shù)據(jù)泄露與代理商有關(guān)。

　　建議：企業(yè)需要簽訂更高服務(wù)級別的詳細合同，確保代理商遵守協(xié)議，一旦其違反了合同就能夠?qū)ζ溥M行處罰。此外，在使用備份磁帶或者磁盤時，一定要進行加密和密碼保護。

【規(guī)避五大數(shù)據(jù)安全風險論文】相關(guān)文章：

數(shù)據(jù)采集中如何規(guī)避風險的工作心得01-12

規(guī)避審計風險01-20

水運工程監(jiān)理安全責任風險規(guī)避對策論文11-05

淺析企業(yè)連鎖經(jīng)營的優(yōu)勢及風險規(guī)避論文11-27

風險意識影響創(chuàng)業(yè)成敗 學生老板要規(guī)避五大風險02-02

巧用提存，規(guī)避交易風險09-10

怎么規(guī)避品牌延伸風險02-26

如何規(guī)避加盟連鎖風險05-01

如何規(guī)避求職陷阱的風險01-01