規(guī)避五大數(shù)據(jù)安全風(fēng)險(xiǎn)論文

　　如果企業(yè)認(rèn)為自己的數(shù)據(jù)存儲已經(jīng)非常安全了，那就大錯特錯了。目前，企業(yè)數(shù)據(jù)泄露的問題非常突出，這里我們介紹五種常見的信息安全風(fēng)險(xiǎn)，并給出規(guī)避風(fēng)險(xiǎn)的建議。

　　讓我們一起來思考一個(gè)問題: 企業(yè)數(shù)據(jù)所面臨的最大安全威脅是什么?如果你的回答是非法人員攻擊或者說是IT人員的違規(guī)行為的話，那并不完全正確。的確，非法人員的惡意攻擊總能引起人們的高度重視，IT人員的惡意違規(guī)行為更是不能容忍，但事實(shí)上，最有可能泄露企業(yè)數(shù)據(jù)的卻往往是那些沒有絲毫惡意的員工，換句話說，內(nèi)部員工使用網(wǎng)絡(luò)文件共享或者亂用筆記本電腦造成數(shù)據(jù)泄露的可能性最大。

　　據(jù)Ponemon Institute最新的調(diào)查報(bào)告顯示，內(nèi)部員工的粗心大意是到目前為止企業(yè)數(shù)據(jù)安全的最大威脅，由此造成的數(shù)據(jù)安全事故高達(dá)78%。在這份報(bào)告中還指出，在企業(yè)不斷嘗試和應(yīng)用最新企業(yè)內(nèi)部數(shù)據(jù)保護(hù)技術(shù)的同時(shí)，卻沒有充分意識到企業(yè)內(nèi)部員工的筆記本電腦以及其他移動存儲設(shè)備所存在的安全隱患。

　　存儲網(wǎng)絡(luò)工業(yè)協(xié)會(SNIA)曾發(fā)布過企業(yè)存儲安全性自我評估方法，用來測試企業(yè)對數(shù)據(jù)的保護(hù)程度。結(jié)果顯示，目前大多數(shù)企業(yè)受到數(shù)據(jù)泄露問題的困擾。ITRC(Identity Theft Resource Center)的資料也顯示，在美國，2008年出現(xiàn)的數(shù)據(jù)泄露事件比上一年增長了47%。“況且這些還只是有記載的數(shù)字，我的電子郵箱里就經(jīng)常收到一些促銷信息，顯然我的個(gè)人信息通過某種渠道被泄露了�！� ITRC的創(chuàng)始人、身份認(rèn)證管理專家Craig Muller說。

　　事實(shí)上，現(xiàn)在人們應(yīng)該充分意識到問題的嚴(yán)重性了。Ponemon Institute在2008年進(jìn)行的另一項(xiàng)調(diào)查顯示，在1795名受訪者中有超過一半以上的人表示其在過去24個(gè)月中被告知數(shù)據(jù)泄露的次數(shù)大于兩次，而8%的人則表示收到過四次以上這樣的通知。但是，到目前為止，企業(yè)還不知道該如何保護(hù)自己。在Ponemon Institute的這份調(diào)查中顯示，在577名安全專家中僅有16%的人認(rèn)為當(dāng)前的安全措施足以保護(hù)企業(yè)的.數(shù)據(jù)安全了。

　　目前，解決問題惟一的方法就是借鑒其他企業(yè)的前車之鑒，以避免自己出現(xiàn)類似的問題。下面介紹五種常見的數(shù)據(jù)泄露問題，每種情況我們都給出了規(guī)避安全風(fēng)險(xiǎn)的建議。

　　內(nèi)部竊取

　　2007年11月，Certegy Check Services(Fidelity National Information Services的一家子公司)的高級數(shù)據(jù)庫管理員利用特許的數(shù)據(jù)存取權(quán)限偷走了超過850萬客戶的數(shù)據(jù)資料。隨后，他將數(shù)據(jù)賣給了一家中間商，價(jià)格是50萬美元，之后這家中間商又將數(shù)據(jù)賣給了其他商家。事情敗露后，這名員工被判入獄四年并負(fù)責(zé)賠償320萬美元的經(jīng)濟(jì)損失。Certegy Check Services官方宣稱事情很快就得到了解決，客戶的個(gè)人信息并沒有被泄露，不過，其客戶還是收到了其他廠商發(fā)來的促銷信息，而這些廠商恰恰購買了被竊數(shù)據(jù)。

　　還有一個(gè)案例，一位在DuPont工作的技術(shù)專家在離開公司之前拷貝了價(jià)值4億美元的商業(yè)機(jī)密，然后跳槽到了一家與DuPont競爭的亞洲公司。根據(jù)法院的記錄，他利用特許存取權(quán)限下載了大約2.2萬份摘要以及1.67萬份PDF文件，這些文件記錄了DuPont的主要產(chǎn)品線，其中還包括一些開發(fā)中的新技術(shù)。他在下載數(shù)據(jù)之前與DuPont的競爭對手討價(jià)還價(jià)了兩個(gè)月之久，并最終達(dá)成了“協(xié)議”。依據(jù)這些犯罪記錄，法院宣判其服刑18個(gè)月。

　　代價(jià)：在DuPont的案例中，雖然最終美國政府為其損失補(bǔ)償了18萬美元，但其被泄露的商業(yè)機(jī)密估計(jì)價(jià)值超過4億美元。而且，沒有任何證據(jù)可以證明，DuPont泄露的數(shù)據(jù)已經(jīng)被競爭對手，也就是上述那位技術(shù)專家的“同謀”得到，這就使得DuPont無法通過更有效的法律途徑解決問題。

　　據(jù)Semple的研究顯示，客戶信息失竊比知識產(chǎn)權(quán)失竊帶來的損失更大。在2008年，Certegy Check Services公司為客戶信息丟失所付出的代價(jià)是每人每次2萬美元。

　　分析：ITRC的報(bào)告中顯示，在2008年發(fā)生且被記錄下來的泄露事件中有16%是由內(nèi)部竊取所造成的，是2007年的兩倍。原因是，現(xiàn)在很多企業(yè)在“獵頭”的同時(shí)，還伴隨著商業(yè)犯罪—根據(jù)卡內(nèi)基梅隆大學(xué)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)的研究，1996年到2007年企業(yè)內(nèi)部犯罪有一半是竊取商業(yè)機(jī)密。

　　CERT指出，內(nèi)部人員竊取商業(yè)機(jī)密有兩大誘因：一是能夠獲得金錢;二是能夠獲得商業(yè)優(yōu)勢。雖然后者多是從員工準(zhǔn)備跳槽開始的，但這類情況大都是在員工離開以后才被發(fā)現(xiàn)，因?yàn)槠淞粝铝嗣孛茉L問數(shù)據(jù)的記錄�？梢�，內(nèi)部威脅是數(shù)據(jù)安全管理的難題之一，尤其是對那些有特許權(quán)限的員工的管理更是如此。

　　建議：首先，建議企業(yè)做好對數(shù)據(jù)庫非正常訪問的監(jiān)督，為不同用戶的當(dāng)前可用訪問權(quán)設(shè)定限制，這樣系統(tǒng)就可以很容易地檢測出負(fù)責(zé)特定工作的員工是否訪問了超出工作范圍的數(shù)據(jù)。比如，Dupont公司就是因?yàn)闄z測到該技術(shù)專家異常訪問了電子數(shù)據(jù)圖書館才發(fā)現(xiàn)了其非法行為的。此外，一旦檢測到了數(shù)據(jù)泄露，最重要的就是快速行動以減小信息擴(kuò)散的可能性，并提交法律機(jī)關(guān)迅速展開取證調(diào)查。

　　其次，企業(yè)應(yīng)當(dāng)使用個(gè)人訪問控制工具，保證系統(tǒng)記錄下每一個(gè)曾經(jīng)訪問過重要信息的人。此外，保存客戶和員工信息的數(shù)據(jù)庫更應(yīng)當(dāng)對訪問加以嚴(yán)格限制。事實(shí)上，就日常工作而言，能有多少人在沒有許可的情況下有查閱身份證件號碼和社會保險(xiǎn)號碼的需要呢!因此，個(gè)人信息應(yīng)該與商業(yè)機(jī)密有著相同的保密級別。

　　再次，建議使用防數(shù)據(jù)丟失工具以防止個(gè)人數(shù)據(jù)在通過電子郵件、打印或者復(fù)制到筆記本電腦及其他外部存儲設(shè)備時(shí)發(fā)生泄露。這類工具會在有人嘗試拷貝個(gè)人身份數(shù)據(jù)時(shí)向管理員發(fā)出警告，并做記錄。但是目前，很多企業(yè)都沒有應(yīng)用類似的審查記錄工具。

　　此外，加強(qiáng)內(nèi)部控制和審計(jì)也非常重要。舉個(gè)例子，企業(yè)可以通過設(shè)立網(wǎng)絡(luò)審查或記錄數(shù)據(jù)庫活動等方式來進(jìn)行監(jiān)督。保存詳細(xì)記錄可能并不夠，企業(yè)還需要通過審計(jì)方式來檢查是否有人更改或者非法訪問了記錄。當(dāng)然，單獨(dú)依靠技術(shù)手段是不行的，企業(yè)還需要確保你所信任的數(shù)據(jù)使用者是真正值得信任的。

　　設(shè)備失竊

　　2006年5月，由于美國退伍軍人事務(wù)部的一名工作人員丟失了自己的筆記本電腦，致使2650萬退伍軍人的個(gè)人資料丟失。萬幸的是，最后小偷被捕，并沒有釀成更嚴(yán)重的后果。雖然事后FBI(美國聯(lián)邦調(diào)查局)宣稱數(shù)據(jù)沒有被泄露，但這個(gè)事件的發(fā)生還是給退伍軍人事務(wù)部帶來了巨大的影響。無獨(dú)有偶，2007年1月，退伍軍人事務(wù)部在阿拉巴馬醫(yī)務(wù)中心同樣發(fā)生了筆記本電腦被盜事件，致使53.5萬退伍軍人和超過130萬內(nèi)科醫(yī)生的個(gè)人數(shù)據(jù)被泄露。

　　代價(jià)：在事件發(fā)生后的一個(gè)多月的時(shí)間里，退伍軍人事務(wù)部為了支撐回答人們關(guān)于數(shù)據(jù)被竊問題的電話應(yīng)答中心，每天就要花費(fèi)20萬美元，此外，他們還要支付100萬美元用來打印和郵寄通知信。

　　退伍軍人事務(wù)部因此還遭到了聯(lián)名起訴，起訴中包括要求其對每個(gè)人造成的損失賠償1000美元。在2007年第二次數(shù)據(jù)泄露事件之后，退伍軍人事務(wù)部為現(xiàn)役和已經(jīng)退伍的軍人總共賠償了2000多萬美元，才結(jié)束了這場聯(lián)名訴訟。為此，美國政府還為其撥款2500萬美元用來補(bǔ)償損失。

　　分析：設(shè)備失竊成為了數(shù)據(jù)泄露的最主要原因—在2008年，大約占到了20%。據(jù)芝加哥法律事務(wù)所Seyfarth Shaw的合伙人Bart Lazar介紹，在他所處理的數(shù)據(jù)泄露案件中，由于筆記本電腦丟失而造成的數(shù)據(jù)泄露占絕大部分。

　　建議：首先要對存儲在筆記本電腦上的個(gè)人身份信息加以限定。比如說，不要將客戶和員工的名字與其身份證件號碼、社會保險(xiǎn)號碼、信用卡號碼等身份信息放在一起保存�？梢詫⑦@些數(shù)字“截?cái)唷贝鎯�，或者考慮建立個(gè)人特殊信息，比如說將每個(gè)人的姓氏與社會保險(xiǎn)號碼的后四位連在一起保存。

　　其次，對筆記本電腦上存儲的個(gè)人信息進(jìn)行加密，盡管這會產(chǎn)生一些潛在成本(大約每臺筆記本電腦50到100美元)，同時(shí)還會損失一些性能，但這是必須的。美國存儲網(wǎng)絡(luò)工業(yè)協(xié)會負(fù)責(zé)存儲安全的副主席Blair Semple曾表示，對數(shù)據(jù)進(jìn)行加密，需要企業(yè)和員工都形成這種強(qiáng)烈的意識才行，在很多情況下，對數(shù)據(jù)進(jìn)行加密并不困難，但人們卻沒有這么做，不難看出，管理層面上的問題才是最大的。

　　最后，建議在數(shù)據(jù)載體上設(shè)置保護(hù)性更強(qiáng)的口令密碼。

　　外部入侵

　　2007年1月，零售商TJX Companies 發(fā)現(xiàn)其客戶交易系統(tǒng)被非法人員入侵，令人不解的是，此入侵從2003年就已經(jīng)開始了，一直延續(xù)到2006年12月，非法人員從中獲取了9400萬客戶的賬戶信息，而數(shù)據(jù)被盜事件在4年后才因一次偽造信用卡事件被發(fā)現(xiàn)。2008年夏天，11人因與此事相關(guān)而被起訴，這是美國法律部門有史以來受理的最大規(guī)模的非法人員盜竊案件。

　　代價(jià)：據(jù)估計(jì)，TJX在此次數(shù)據(jù)泄露事件中的損失大約在2.56億美元，包括恢復(fù)計(jì)算機(jī)系統(tǒng)、法律訴訟費(fèi)、調(diào)查研究以及其他支持費(fèi)用，損失中還包括對VISA和MasterCard的賠償。此外，美國聯(lián)邦商務(wù)委員會還要求TJX必須每隔一年委托獨(dú)立的第三方機(jī)構(gòu)進(jìn)行安全檢查，并持續(xù)20年。

　　甚至有人預(yù)測，TJX因此受到的損失會達(dá)到10億美元以上，因?yàn)檫�要將法律和解費(fèi)用以及因此失去很多客戶的代價(jià)計(jì)算在內(nèi)。據(jù)Ponemon在2008年4月進(jìn)行的一項(xiàng)研究表明，通常發(fā)生數(shù)據(jù)泄露事故的企業(yè)將會失去31%的客戶基礎(chǔ)和收入來源。在Ponemon最近發(fā)布的年度數(shù)據(jù)泄露損失統(tǒng)計(jì)報(bào)告中顯示，每泄露一份客戶信息，公司就將損失202美元，而在1997年，這個(gè)數(shù)字是197美元，其中因數(shù)據(jù)泄露失去的商業(yè)機(jī)會所帶來的損失是損失增長中最重要的部分。

　　分析：據(jù)Ponemon的研究，非法人員入侵造成的數(shù)據(jù)泄露在安全威脅中名列第五。據(jù)ITRC的調(diào)查，在2008年有記載的數(shù)據(jù)泄露事件中有14%是由非法人員攻擊所造成的。但這并不意味著企業(yè)對此就應(yīng)該束手無策，甚至放任不管。

　　在TJX的案例中，非法人員是利用War-Driving滲透到系統(tǒng)內(nèi)并入侵企業(yè)網(wǎng)絡(luò)的。而這主要是因?yàn)門JX使用的網(wǎng)絡(luò)編碼低于標(biāo)準(zhǔn)規(guī)格，且在網(wǎng)絡(luò)上的計(jì)算機(jī)并沒有安裝防火墻，傳輸數(shù)據(jù)也沒有進(jìn)行加密，這才使得非法人員可以在網(wǎng)絡(luò)上安裝軟件并訪問系統(tǒng)上的客戶信息，甚至還可以攔截在價(jià)格檢查設(shè)備、收銀機(jī)和商場計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)流。

　　建議：如果對數(shù)據(jù)庫的訪問非常容易的話，那么建議企業(yè)使用高級別的數(shù)據(jù)安全措施和數(shù)據(jù)編碼。

　　員工大意

　　Pfizer公司的一名員工一直是通過網(wǎng)絡(luò)和筆記本電腦進(jìn)行遠(yuǎn)程辦公的，沒想到，他的妻子在其工作用的筆記本電腦上安裝了未經(jīng)授權(quán)的文件共享軟件，致使外部人員通過這個(gè)軟件獲得了1.7萬名Pfizer公司現(xiàn)任員工和前任員工的個(gè)人信息，其中包括姓名、社保賬號、地址和獎金信息等。統(tǒng)計(jì)顯示，大約有1.57萬人通過P2P軟件下載了這些數(shù)據(jù)，另外有1250人轉(zhuǎn)發(fā)了這些數(shù)據(jù)。

　　代價(jià)：為了將數(shù)據(jù)泄露事件的危害降至最低，并避免類似事件的發(fā)生，Pfizer與一家信用報(bào)告代理商簽署了一項(xiàng)“支持與保護(hù)”合同，合同包括對與泄露數(shù)據(jù)相關(guān)的信息進(jìn)行為期一年的信用監(jiān)控服務(wù)，以及一份因數(shù)據(jù)泄露對個(gè)人損失進(jìn)行賠償?shù)谋ｋU(xiǎn)單。

　　分析：據(jù)Ponemon的最新研究表明，粗心的員工(雖然不是故意的)是數(shù)據(jù)安全的最大威脅。有數(shù)據(jù)顯示，88%的數(shù)據(jù)泄露與員工的大意有關(guān)。如果企業(yè)的員工能夠具有更高的安全意識，數(shù)據(jù)泄露的數(shù)量將會大幅下降。在Pfizer的案例中，就是因?yàn)閱T工的妻子在其筆記本電腦上安裝了文件共享軟件，這才使得其他人能夠通過P2P軟件獲得筆記本電腦上的數(shù)據(jù)，包括Pfizer公司的內(nèi)部數(shù)據(jù)信息。

　　大意的員工再加上文件共享軟件，這絕對是個(gè)危險(xiǎn)的組合。Dartmouth College在2007年的研究表明，雖然大部分企業(yè)不允許在企業(yè)網(wǎng)絡(luò)上安裝P2P軟件，但是很多員工卻在遠(yuǎn)程計(jì)算機(jī)和家用PC上安裝了這種軟件。研究發(fā)現(xiàn)，有三十家美國銀行的員工在使用P2P軟件分享音樂和其他文件，并在不經(jīng)意間向潛在的網(wǎng)絡(luò)犯罪分子泄露了銀行賬戶數(shù)據(jù)。一旦業(yè)務(wù)數(shù)據(jù)發(fā)生泄露，將會通過P2P軟件擴(kuò)散到全世界的很多計(jì)算機(jī)上。

　　建議：企業(yè)的IT部門應(yīng)該全面禁止員工使用P2P軟件，或者制定規(guī)章限制P2P的使用，并安裝工具來強(qiáng)化這一規(guī)章。并且，應(yīng)該對員工的計(jì)算機(jī)系統(tǒng)進(jìn)行審核，阻止員工進(jìn)行軟件下載。比如，可以將員工的管理員資格取消，這樣他們就不能安裝任何程序了。同時(shí)，最重要的就是教育和培訓(xùn)，因?yàn)檫@樣能夠讓員工了解P2P的危險(xiǎn)性。

　　合作伙伴泄露

　　2008年11月，亞利桑那州經(jīng)濟(jì)安全部給大約4萬名兒童的家長發(fā)出了通知——這些孩子的個(gè)人信息可能已經(jīng)因?yàn)榇�理商將幾個(gè)磁盤丟失而被泄露。磁盤雖然有密碼保護(hù)，但卻沒有進(jìn)行加密。

　　代價(jià)：統(tǒng)計(jì)數(shù)據(jù)顯示，對企業(yè)來說，合作伙伴將數(shù)據(jù)泄露的損失往往比企業(yè)內(nèi)部泄露的損失更大。據(jù)Ponemon的調(diào)查統(tǒng)計(jì)，合作伙伴泄露一份數(shù)據(jù)記錄企業(yè)要損失231美元，而企業(yè)內(nèi)部泄露一份數(shù)據(jù)記錄造成的損失約為171美元。

　　分析：Ponemon的年度損失報(bào)告表明，外包、轉(zhuǎn)包、咨詢和商業(yè)合作伙伴造成的數(shù)據(jù)泄露在不斷增長，去年大約占到所有數(shù)據(jù)泄露事件的44%，比2007年增長了40%。ITRC的研究也指出，2008年10%的數(shù)據(jù)泄露與代理商有關(guān)。

　　建議：企業(yè)需要簽訂更高服務(wù)級別的詳細(xì)合同，確保代理商遵守協(xié)議，一旦其違反了合同就能夠?qū)ζ溥M(jìn)行處罰。此外，在使用備份磁帶或者磁盤時(shí)，一定要進(jìn)行加密和密碼保護(hù)。

【規(guī)避五大數(shù)據(jù)安全風(fēng)險(xiǎn)論文】相關(guān)文章：

數(shù)據(jù)采集中如何規(guī)避風(fēng)險(xiǎn)的工作心得01-12

規(guī)避審計(jì)風(fēng)險(xiǎn)01-20

水運(yùn)工程監(jiān)理安全責(zé)任風(fēng)險(xiǎn)規(guī)避對策論文11-05

淺析企業(yè)連鎖經(jīng)營的優(yōu)勢及風(fēng)險(xiǎn)規(guī)避論文11-27

風(fēng)險(xiǎn)意識影響創(chuàng)業(yè)成敗 學(xué)生老板要規(guī)避五大風(fēng)險(xiǎn)02-02

巧用提存，規(guī)避交易風(fēng)險(xiǎn)09-10

怎么規(guī)避品牌延伸風(fēng)險(xiǎn)02-26

如何規(guī)避加盟連鎖風(fēng)險(xiǎn)05-01

如何規(guī)避求職陷阱的風(fēng)險(xiǎn)01-01