数据具有高价值、高流动性
数据稽查和保护公司Tizor业务发展部副总裁Marv Goldschmitt认为:“这是数据价值发展过程中衍生的一个问题,目前的数据价值早已今非昔比,但很多人并不知道应该如何对待这些数据。另外,现在几乎所有的知识产权和关键数据都转换成纯数字形式进行存储,再加上企业内部的网络连接‘错综复杂’,这都进一步加剧了发现数据被盗及其它错误信息的难度。”
安全专家们忧心忡忡地表示,在实际工作过程中,他们发现想要对由内部人员造成的威胁和数据泄露施加压力,其难度要远远大于阻止病毒入侵。此外,虽然企业主们对数据安全的重视程度正在快速加深,但是能够真正采取有效措施防止机密数据和知识产权外泄的却很少。
“以我们的经验来看,大部分企业对数据的重视程序还远远不够。”数据库威胁和安全监测公司Guardium市场部副总载Phil Neray感叹道,“这些企业在全球拥有数百套系统,但却极少安装保护知识产权的程序。”
作为众多中小型DLP(data-leak prevention,数据泄露预防)公司的一员,Vontu公司产品与市场部副总裁Steve Roop表示:“这种风险依然非常高。”据Vontu对消费者网络风险评估积累的数据显示:在所有敏感和机密文件中,大概有2%是被未授权人员窃取的,并且将邮件以非安全形式发送给授权接收端或非授权接收端的电子邮件中,大约每400封中就有一封会暴露公司的敏感数据信息。
Forrester的分析师Paul Stamp认为,公司通常不会注意这些暴露的数据,因为它们将安全防御的重点全部放到了网络领域中,却忽视了防火墙外,甚至是通过企业合作伙伴和供应商间的安全关联可能发生的情况。数据的范围在不断收缩,合作伙伴、协作成员和远程用户之间的渗透性已经越来越强。
商业合作伙伴及第三方契约者泄漏数据已经成为提供订阅服务和相关数据库服务的主要供应商Communications Data Services(简称:CDS,通信数据服务)公司最头痛的问题。据其信息服务部总裁Paul McCarthy介绍,在该公司的数据库中,CDS为1.55亿活跃签约用户维护订购出版物的信息资料(其中包含信用卡帐号),这些机密数据大部分是通过代理或第三方承包商、电话及网络这些难以管辖的渠道流入CDS公司的。
调整规章制度
重要的机密数据可以高枕无忧的应用到多个环境中,已经成为众多公司梦寐以求的理想。在现实工作中,某些尚不成熟的法规如萨班斯-奥克斯利法案(Sarbanes-Oxley)和PCI(Payment Card Industry,支付卡行业)数据安全标准正在帮助那些原来持否定态度的企业建立起优先权。
特别需要指出的是,萨班斯-奥克斯利法案要求公司对授权用户访问机密数据进行监查,而PCI数据安全标准则要求跟踪接触过信用卡信息的用户身份,并且督促企业追查机密数据的位置及使用情况。
McCarthy介绍说:“在DCS公司,PCI和萨班斯-奥克斯利法案促使公司紧密跟踪定约客户数据的每个环节。我们除了执行自身的SAS(Statement on Auditing Standard,审计标准纲要) 70内部安全控制审计外,CDS还会定期安排第三方公司进行审计。”
Stamp认为审计已经促使越来越多像CDS这样的公司将安全指标与数据存储位置更加紧密地结合起来。这看起来虽然非常简单,但是想要真正实现并非易事,原因是—大部分企业在创业初期,对哪些是自己的机密数据并没有一个明晰的认识,而且往往会忽略了这些数据在网络上的存储位置。Goldschmitt颇有感慨地说:“好多公司都意识到了数据的重要性,但却发现自己对它们毫不了解。曾经有很多公司在向我们求助时表示:‘我们公司有20000台数据服务器,但现在我根本无法断定哪台上存储了重要数据。’” |
