从“零”开始锁定目标
当恐慌平息过后,查找重要数据的工作便开始了,这将会是一个浩大的工程。让人欣喜的是,与以往相比,现在的公司可以有更多的数据安全工具可供选择和使用。
在DLP(data-leak prevention,数据泄露预防)领域内的大部分公司,包含Vontu和Tizor,都可以通过稽核网络活动,在数据库和文件服务器上查找机密数据(如信用卡号、知识产权等)并监视访问这些信息的用户。有些公司如PointSec和Provilla能够在桌面电脑上执行类似的审计工作、监视拷贝到便携存储设备上的文件、e-mail及网络文件传输。
据专家介绍,一旦检测出关键数据,从“给关键知识产权加注标签,以便在其传输到公司控制范围之外时报警”到“屏蔽USB端口以阻止数据传输到便携设备上”,DLP公司会提供很多种备选措施来保证数据的安全性。但是,如果组织结构不进行大的变动,仅凭以上这些方法是不能彻底保证数据安全的。
来自Guardium公司的Neray说道:“每个公司都有必要进行企业文化体制的改革,必须将注意力放在内部员工的诚信及核实上。”
公司还需要定义“关键数据”安全制度,并且给员工灌输“合理行为”的概念。“如果你安装有SAP程序,你的公司也许会将每天访问22000次数据库视为你的正常工作进程。但是如果某人使用Excel程序和假授权证书访问SAP,这便违反了公司的制度。” Neray介绍道。他并强调指出,传统的防御、身份和访问管理产品在数据安全方面同样起着至关重要的作用。尤为关键的是,各个公司应该利用其身份管理平台及严格的政策将特定的IP地址与特定的用户起来,而非任由共享受信人员胡作非为。Neray进一步强调:“但是,目前存在两个问题,就是公司使用的应用程序如SAP和Oracle(甲骨文)商务套件都允许受信用户享有访问数据库的权利,并且这种情况在IT环境中也很普遍。某些开发人员正是使用它(如数据库管理员的名义)对桌面进行维护的。”
Stamp认为,与以往使用不切实际、自下而上、通常被人忽视的安全措施相比,各个公司应该建立起切合实际、自上而下、具有强制性的措施。一旦掌握了数据所在的位置及流向,便可以开始支持贯彻这种体系结构了。
制造阻碍
在所有测定标准中,某些是可以变得更具直观性的。每个公司都渴望保护笔记本电脑和其它移动设备上存储数据的安全,对于RSA和PGP这些顶级的数据加密厂商来说,这无疑是个巨大的商机。
甚至在PKWare公司(PKZip软件的开发商),仅凭“能够支持多种平台的加密功能”便对PKZip软件的销量起到了很大的促进作用。据市场部副总裁ToddMclees介绍,与三年前的20%相比,现在数据安全产品已经撑起了整个公司业务的半边天!
CDS公司使用分层方式来掌控外部安全,同时综合运用防火墙、VPN和SSL加密措施等诸多标准安全方式,并且加入了Tripwire的结构控制技术。就在不久前,McCarthy曾向我们介绍说,CDS公司已经采用了Palisade系统由内向外的过滤技术,用以对信息包资料进行监控,并可发现试图穿过公司网络或想要通过FTP、HTTP方式流出企业的信用卡帐号等信息。
CDS公司的安全布局远非仅仅限于监控公司重要数据在受信员工之间的流动情况,它还能够判定数百家与CDS有合作关系的媒体杂志的举动,这其中有很多公司对数据安全的重视程度还远远不够,并可能会将重要订阅用户的数据信息以电子表格或CD的形式发至公司。
尽管如此,类似Gary Min这样的内部欺诈事件仍然无法彻底杜绝。McCarthy认为当前的目标是制造足够多的障碍以使单个内部人员无法给公司制造重大的损失,公司要尽可能将风险降低至需要两人以上合谋、否则仅靠一人根本无法实施对公司不利行为的程度。 |
