规避五大数据安全风险

如果企业认为自己的数据存储已经非常安全了,那就大错特错了。目前,企业数据泄露的问题非常突出,这里我们介绍五种常见的数据安全风险,并给出规避风险的建议。

让我们一起来思考一个问题: 企业数据所面临的最大安全威胁是什么?如果你的回答是黑客攻击或者说是IT人员的违规行为的话,那并不完全正确。的确,黑客的恶意攻击总能引起人们的高度重视,IT人员的恶意违规行为更是不能容忍,但事实上,最有可能泄露企业数据的却往往是那些没有丝毫恶意的员工,换句话说,内部员工使用网络文件共享或者乱用笔记本电脑造成数据泄露的可能性最大。

据Ponemon Institute最新的调查报告显示,内部员工的粗心大意是到目前为止企业数据安全的最大威胁,由此造成的数据安全事故高达78%。在这份报告中还指出,在企业不断尝试和应用最新企业内部数据保护技术的同时,却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。

存储网络工业协会(SNIA)曾发布过企业存储安全性自我评估方法,用来测试企业对数据的保护程度。结果显示,目前大多数企业受到数据泄露问题的困扰。ITRC(Identity Theft Resource Center)的资料也显示,在美国,2008年出现的数据泄露事件比上一年增长了47%。“况且这些还只是有记载的数字,我的电子邮箱里就经常收到一些促销信息,显然我的个人信息通过某种渠道被泄露了。” ITRC的创始人、身份认证管理专家Craig Muller说。

事实上,现在人们应该充分意识到问题的严重性了。Ponemon Institute在2008年进行的另一项调查显示,在1795名受访者中有超过一半以上的人表示其在过去24个月中被告知数据泄露的次数大于两次,而8%的人则表示收到过四次以上这样的通知。但是,到目前为止,企业还不知道该如何保护自己。在Ponemon Institute的这份调查中显示,在577名安全专家中仅有16%的人认为当前的安全措施足以保护企业的数据安全了。

目前,解决问题惟一的方法就是借鉴其他企业的前车之鉴,以避免自己出现类似的问题。下面介绍五种常见的数据泄露问题,每种情况我们都给出了规避安全风险的建议。

内部窃取

2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高级管理员利用特许的数据存取权限偷走了超过850万客户的数据资料。随后,他将数据卖给了一家中间商,价格是50万美元,之后这家中间商又将数据卖给了其他商家。事情败露后,这名员工被判入狱四年并负责赔偿320万美元的经济损失。Certegy Check Services官方宣称事情很快就得到了解决,客户的个人信息并没有被泄露,不过,其客户还是收到了其他厂商发来的促销信息,而这些厂商恰恰购买了被窃数据。

还有一个案例,一位在DuPont工作的技术专家在离开公司之前拷贝了价值4亿美元的商业机密,然后跳槽到了一家与DuPont竞争的亚洲公司。根据法院的记录,他利用特许存取权限下载了大约2.2万份摘要以及1.67万份PDF文件,这些文件记录了DuPont的主要产品线,其中还包括一些开发中的新技术。他在下载数据之前与DuPont的竞争对手讨价还价了两个月之久,并最终达成了“协议”。依据这些犯罪记录,法院宣判其服刑18个月。

代价:在DuPont的案例中,虽然最终美国政府为其损失补偿了18万美元,但其被泄露的商业机密估计价值超过4亿美元。而且,没有任何证据可以证明,DuPont泄露的数据已经被竞争对手,也就是上述那位技术专家的“同谋”得到,这就使得DuPont无法通过更有效的法律途径解决问题。

据Semple的研究显示,客户信息失窃比知识产权失窃带来的损失更大。在2008年,Certegy Check Services公司为客户信息丢失所付出的代价是每人每次2万美元。

分析:ITRC的报告中显示,在2008年发生且被记录下来的泄露事件中有16%是由内部窃取所造成的,是2007年的两倍。原因是,现在很多企业在“猎头”的同时,还伴随着商业犯罪—根据卡内基梅隆大学计算机应急响应小组(CERT)的研究,1996年到2007年企业内部犯罪有一半是窃取商业机密。

CERT指出,内部人员窃取商业机密有两大诱因:一是能够获得金钱;二是能够获得商业优势。虽然后者多是从员工准备跳槽开始的,但这类情况大都是在员工离开以后才被发现,因为其留下了秘密访问数据的记录。可见,内部威胁是数据安全管理的难题之一,尤其是对那些有特许权限的员工的管理更是如此。

建议:首先,建议企业做好对数据库非正常访问的监督,为不同用户的当前可用访问权设定限制,这样系统就可以很容易地检测出负责特定工作的员工是否访问了超出工作范围的数据。比如,Dupont公司就是因为检测到该技术专家异常访问了电子数据图书馆才发现了其非法行为的。此外,一旦检测到了数据泄露,最重要的就是快速行动以减小信息扩散的可能性,并提交法律机关迅速展开取证调查。

其次,企业应当使用个人访问控制工具,保证系统记录下每一个曾经访问过重要信息的人。此外,保存客户和员工信息的数据库更应当对访问加以严格限制。事实上,就日常工作而言,能有多少人在没有许可的情况下有查阅身份证件号码和社会保险号码的需要呢!因此,个人信息应该与商业机密有着相同的保密级别。

再次,建议使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露。这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告,并做记录。但是目前,很多企业都没有应用类似的审查记录工具。

此外,加强内部控制和审计也非常重要。举个例子,企业可以通过设立网络审查或记录数据库活动等方式来进行监督。保存详细记录可能并不够,企业还需要通过审计方式来检查是否有人更改或者非法访问了记录。当然,单独依靠技术手段是不行的,企业还需要确保你所信任的数据使用者是真正值得信任的。

时间: 2024-09-29 23:04:45

规避五大数据安全风险的相关文章

从德国队谈网站运营如何规避短板风险

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 这次欧洲杯的精彩程度显然超过了前两届,小组赛两轮下来,竟然没有一个国家的队伍获得了出线权,所有的谜底,都需要在最后一轮揭晓,不过在前两轮下来,德国队无疑是最为抢眼的队伍,名副其实的死亡之组,德国队却连斩荷兰和葡萄牙,是出现形势最好的队伍,可是当我们分析德国队的时候,却没有发现有一个拥有绝对世界级的球星.可为什么要比荷兰,葡萄牙,甚至西班牙的战

博客链轮优化危机重重 处处留心方能规避降权风险

现在博客养站已经成了站长之间不公开的秘密,而且现在百度对博客的打击也是非常严重的,几年前,博客火爆的时候,博客的权重是非常高的,可是如今微博来了,给人的感觉新人胜旧人,博客的权重已经一落千丈,不过就算是如此,很多网站优化高手,也能够挖掘出博客最后一点的潜力,可是百度也真够绝的,就算是一点的潜力,如果站长们不注意规避百度的检测,还是很容易导致网站的降权,可见现在的站长们想要搞好网站的优化,是多么的困难,可是没办法,为了让自己的日子过得更好一点,也只能够迎难而上了,下面笔者就来介绍几个办法,希望能够

理财通(华夏基金)的风险如何?如何规避理财通风险?

理财通(华夏基金)的风险如何? 1.货币型基金的低风险性 微信理财通是一款货币型基金理财产品.基金的风险低于股票型基金.混合型基金.债券型基金.而且微信理财通的理财目标是在力求安全性的前提下,追求稳定的绝对回报.从历年货币基金从历年的来看,出现亏损的可能比较小的. 2.PICC赔付保障 微信对于理财通的资金有保护体系,它与中国人保财险(PICC)合作,推出全额赔付服务,并推"你敢付,我敢赔"的口号.如果因微信支付造成财产损失时,用户仅需提供相应的损失真实性证明和身份证明,即可获得全赔保

柯达技术悲剧还会重演:规避创业板技术风险

深交所投资者教育中心 创业板的主体是高科技企业,技术优势是多数高科技企业赖以生存发展的根基.因而,技术落后.技术研发或市场化的失败也就成了高科技企业心中的"梦魇". 柯达的悲剧 柯达几乎成了技术悲剧的代名词.这家曾经辉煌,一度近于垄断全球胶卷市场的公司,因为数码时代来临,市场严重萎缩,业绩大幅下滑(见图1),股价大跌.2004年4月,柯达从道琼斯30种工业股票平均价格指数成份股中被剔除,而当初它进入成份股的时间是1930年.柯达年报数据1999年2008年营业收入140亿美元94亿美元

云计算需要注意的五大云风险

虽然拉姆斯菲尔德的这段声明成遭受到嘲笑,这是一个政治家在不小心的情况下说出的真相.但是,我认为任何一个在计算机安全领域中的人都能很快理解他在说什么.我们经常需要不断的面临这三种类型的风险:已知的已知.已知的未知.未知的未知. 公共云计算应用的最大障碍之一是便是所有未知.已知领域的额外风险计算.我在过去的几年,我一直在从一个公共云提供商和用户的角度来考虑这些问题.如下列出的五点是任何一家企业在作为公共云服务的客户时都将面临的风险清单. 云风险一:共享访问 公共云计算的一种关键原则是多租户,这意味着

浅谈站长们必须要规避八大雷区风险

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 很多站长都希望自己的网站迅速的盈利,甚至想象着今天做了一个网站,明天就能够让这个网站取得盈利,可是实际上这是非常困难的,就算是内容的建设也得花很长的时间,还不用说需要花费大量的时间做推广和营销,所以说让网站迅速取得盈利是非常不现实的,可是还是有很多站长天天在各大论坛跪求什么成功捷径,可是跪求一百次,也不会有什么锦囊妙计.正是很多站长一心想着如

解决非结构化数据安全风险,从何处入手?

身份和访问管理(IAM)是很棘手的领域,是因为IAM技术和标准的复杂性.最大的挑战是弄清楚如何通过IAM战略处理企业内非结构化内容. 考虑到数据位置的多样性以及数据移动的n多种方式,解决缩写挑战以及了解不同产品提供的功能是极为重要的事情.目前很多供应商提供服务来应对这一挑战,随着新供应商以及老牌供应商扩大其IAM产品范畴,这个相对较新的领域正处在快速发展中. 企业需要全面审核其可能合作的供应商,以确保其非结构化内容能得到处理.另外更复杂的是,安全专业人员都面临着这样的问题:不确定数据在哪里,不确

那些或许可规避的云计算风险

Braat,现任CDW公司云计算和托管解决方案的副总裁,他认为安全.隐私和数据保护当然首当其冲.遗憾的是,CIO们犯的第一个错误,依靠供应商合同来解决他们的问题. "如果你试图根据合同,或者在事后进行干预,就真的太晚了,"Braat警告说."有关云计算,你们可能犯的最大的错误就是假设它会受到良好的保护,它是安全的,而且它是冗余的." 但在许多企业内,云技术已经部署完成,它已经是"既定事实."那还能做些什么?这里有两个关键点. 注意企业内那些会为你

网站SEO优化规避短板风险的三种方法

所谓短板现象指的是一个木桶所能够盛下最多的水量最主要的决定因素就是最短的那块木板,其实这种现象对很多事情都起着重要的作用,比如在足球比赛里面,如果有那个位置能力比较弱,那么这个队伍就很容易被被人打败,决定一个足球队是否能够胜利的最主要的因素就看看哪个位置有没有短板,足球赛场上如此,在网站优化方面何尝也不如此呢! 所以我们在网站优化方面,一定要善于发现那个地方优化的薄弱之处,然后重点解决,做到有的放矢,从而有效迅速的提升SEO优化的效果,下面我们就来具体介绍如何利用短板现象帮助我们优化网站的方法!