- 相關(guān)推薦
規(guī)避五大數(shù)據(jù)安全風(fēng)險(xiǎn)論文
如果企業(yè)認(rèn)為自己的數(shù)據(jù)存儲(chǔ)已經(jīng)非常安全了,那就大錯(cuò)特錯(cuò)了。目前,企業(yè)數(shù)據(jù)泄露的問題非常突出,這里我們介紹五種常見的信息安全風(fēng)險(xiǎn),并給出規(guī)避風(fēng)險(xiǎn)的建議。
讓我們一起來思考一個(gè)問題: 企業(yè)數(shù)據(jù)所面臨的最大安全威脅是什么?如果你的回答是非法人員攻擊或者說是IT人員的違規(guī)行為的話,那并不完全正確。的確,非法人員的惡意攻擊總能引起人們的高度重視,IT人員的惡意違規(guī)行為更是不能容忍,但事實(shí)上,最有可能泄露企業(yè)數(shù)據(jù)的卻往往是那些沒有絲毫惡意的員工,換句話說,內(nèi)部員工使用網(wǎng)絡(luò)文件共享或者亂用筆記本電腦造成數(shù)據(jù)泄露的可能性最大。
據(jù)Ponemon Institute最新的調(diào)查報(bào)告顯示,內(nèi)部員工的粗心大意是到目前為止企業(yè)數(shù)據(jù)安全的最大威脅,由此造成的數(shù)據(jù)安全事故高達(dá)78%。在這份報(bào)告中還指出,在企業(yè)不斷嘗試和應(yīng)用最新企業(yè)內(nèi)部數(shù)據(jù)保護(hù)技術(shù)的同時(shí),卻沒有充分意識(shí)到企業(yè)內(nèi)部員工的筆記本電腦以及其他移動(dòng)存儲(chǔ)設(shè)備所存在的安全隱患。
存儲(chǔ)網(wǎng)絡(luò)工業(yè)協(xié)會(huì)(SNIA)曾發(fā)布過企業(yè)存儲(chǔ)安全性自我評(píng)估方法,用來測(cè)試企業(yè)對(duì)數(shù)據(jù)的保護(hù)程度。結(jié)果顯示,目前大多數(shù)企業(yè)受到數(shù)據(jù)泄露問題的困擾。ITRC(Identity Theft Resource Center)的資料也顯示,在美國(guó),2008年出現(xiàn)的數(shù)據(jù)泄露事件比上一年增長(zhǎng)了47%!皼r且這些還只是有記載的數(shù)字,我的電子郵箱里就經(jīng)常收到一些促銷信息,顯然我的個(gè)人信息通過某種渠道被泄露了! ITRC的創(chuàng)始人、身份認(rèn)證管理專家Craig Muller說。
事實(shí)上,現(xiàn)在人們應(yīng)該充分意識(shí)到問題的嚴(yán)重性了。Ponemon Institute在2008年進(jìn)行的另一項(xiàng)調(diào)查顯示,在1795名受訪者中有超過一半以上的人表示其在過去24個(gè)月中被告知數(shù)據(jù)泄露的次數(shù)大于兩次,而8%的人則表示收到過四次以上這樣的通知。但是,到目前為止,企業(yè)還不知道該如何保護(hù)自己。在Ponemon Institute的這份調(diào)查中顯示,在577名安全專家中僅有16%的人認(rèn)為當(dāng)前的安全措施足以保護(hù)企業(yè)的數(shù)據(jù)安全了。
目前,解決問題惟一的方法就是借鑒其他企業(yè)的前車之鑒,以避免自己出現(xiàn)類似的問題。下面介紹五種常見的數(shù)據(jù)泄露問題,每種情況我們都給出了規(guī)避安全風(fēng)險(xiǎn)的建議。
內(nèi)部竊取
2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高級(jí)數(shù)據(jù)庫管理員利用特許的數(shù)據(jù)存取權(quán)限偷走了超過850萬客戶的數(shù)據(jù)資料。隨后,他將數(shù)據(jù)賣給了一家中間商,價(jià)格是50萬美元,之后這家中間商又將數(shù)據(jù)賣給了其他商家。事情敗露后,這名員工被判入獄四年并負(fù)責(zé)賠償320萬美元的經(jīng)濟(jì)損失。Certegy Check Services官方宣稱事情很快就得到了解決,客戶的個(gè)人信息并沒有被泄露,不過,其客戶還是收到了其他廠商發(fā)來的促銷信息,而這些廠商恰恰購買了被竊數(shù)據(jù)。
還有一個(gè)案例,一位在DuPont工作的技術(shù)專家在離開公司之前拷貝了價(jià)值4億美元的商業(yè)機(jī)密,然后跳槽到了一家與DuPont競(jìng)爭(zhēng)的亞洲公司。根據(jù)法院的記錄,他利用特許存取權(quán)限下載了大約2.2萬份摘要以及1.67萬份PDF文件,這些文件記錄了DuPont的主要產(chǎn)品線,其中還包括一些開發(fā)中的新技術(shù)。他在下載數(shù)據(jù)之前與DuPont的競(jìng)爭(zhēng)對(duì)手討價(jià)還價(jià)了兩個(gè)月之久,并最終達(dá)成了“協(xié)議”。依據(jù)這些犯罪記錄,法院宣判其服刑18個(gè)月。
代價(jià):在DuPont的案例中,雖然最終美國(guó)政府為其損失補(bǔ)償了18萬美元,但其被泄露的商業(yè)機(jī)密估計(jì)價(jià)值超過4億美元。而且,沒有任何證據(jù)可以證明,DuPont泄露的數(shù)據(jù)已經(jīng)被競(jìng)爭(zhēng)對(duì)手,也就是上述那位技術(shù)專家的“同謀”得到,這就使得DuPont無法通過更有效的法律途徑解決問題。
據(jù)Semple的研究顯示,客戶信息失竊比知識(shí)產(chǎn)權(quán)失竊帶來的損失更大。在2008年,Certegy Check Services公司為客戶信息丟失所付出的代價(jià)是每人每次2萬美元。
分析:ITRC的報(bào)告中顯示,在2008年發(fā)生且被記錄下來的泄露事件中有16%是由內(nèi)部竊取所造成的,是2007年的兩倍。原因是,現(xiàn)在很多企業(yè)在“獵頭”的同時(shí),還伴隨著商業(yè)犯罪—根據(jù)卡內(nèi)基梅隆大學(xué)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)的研究,1996年到2007年企業(yè)內(nèi)部犯罪有一半是竊取商業(yè)機(jī)密。
CERT指出,內(nèi)部人員竊取商業(yè)機(jī)密有兩大誘因:一是能夠獲得金錢;二是能夠獲得商業(yè)優(yōu)勢(shì)。雖然后者多是從員工準(zhǔn)備跳槽開始的,但這類情況大都是在員工離開以后才被發(fā)現(xiàn),因?yàn)槠淞粝铝嗣孛茉L問數(shù)據(jù)的記錄?梢,內(nèi)部威脅是數(shù)據(jù)安全管理的難題之一,尤其是對(duì)那些有特許權(quán)限的員工的管理更是如此。
建議:首先,建議企業(yè)做好對(duì)數(shù)據(jù)庫非正常訪問的監(jiān)督,為不同用戶的當(dāng)前可用訪問權(quán)設(shè)定限制,這樣系統(tǒng)就可以很容易地檢測(cè)出負(fù)責(zé)特定工作的員工是否訪問了超出工作范圍的數(shù)據(jù)。比如,Dupont公司就是因?yàn)闄z測(cè)到該技術(shù)專家異常訪問了電子數(shù)據(jù)圖書館才發(fā)現(xiàn)了其非法行為的。此外,一旦檢測(cè)到了數(shù)據(jù)泄露,最重要的就是快速行動(dòng)以減小信息擴(kuò)散的可能性,并提交法律機(jī)關(guān)迅速展開取證調(diào)查。
其次,企業(yè)應(yīng)當(dāng)使用個(gè)人訪問控制工具,保證系統(tǒng)記錄下每一個(gè)曾經(jīng)訪問過重要信息的人。此外,保存客戶和員工信息的數(shù)據(jù)庫更應(yīng)當(dāng)對(duì)訪問加以嚴(yán)格限制。事實(shí)上,就日常工作而言,能有多少人在沒有許可的情況下有查閱身份證件號(hào)碼和社會(huì)保險(xiǎn)號(hào)碼的需要呢!因此,個(gè)人信息應(yīng)該與商業(yè)機(jī)密有著相同的保密級(jí)別。
再次,建議使用防數(shù)據(jù)丟失工具以防止個(gè)人數(shù)據(jù)在通過電子郵件、打印或者復(fù)制到筆記本電腦及其他外部存儲(chǔ)設(shè)備時(shí)發(fā)生泄露。這類工具會(huì)在有人嘗試拷貝個(gè)人身份數(shù)據(jù)時(shí)向管理員發(fā)出警告,并做記錄。但是目前,很多企業(yè)都沒有應(yīng)用類似的審查記錄工具。
此外,加強(qiáng)內(nèi)部控制和審計(jì)也非常重要。舉個(gè)例子,企業(yè)可以通過設(shè)立網(wǎng)絡(luò)審查或記錄數(shù)據(jù)庫活動(dòng)等方式來進(jìn)行監(jiān)督。保存詳細(xì)記錄可能并不夠,企業(yè)還需要通過審計(jì)方式來檢查是否有人更改或者非法訪問了記錄。當(dāng)然,單獨(dú)依靠技術(shù)手段是不行的,企業(yè)還需要確保你所信任的數(shù)據(jù)使用者是真正值得信任的。
設(shè)備失竊
2006年5月,由于美國(guó)退伍軍人事務(wù)部的一名工作人員丟失了自己的筆記本電腦,致使2650萬退伍軍人的個(gè)人資料丟失。萬幸的是,最后小偷被捕,并沒有釀成更嚴(yán)重的后果。雖然事后FBI(美國(guó)聯(lián)邦調(diào)查局)宣稱數(shù)據(jù)沒有被泄露,但這個(gè)事件的發(fā)生還是給退伍軍人事務(wù)部帶來了巨大的影響。無獨(dú)有偶,2007年1月,退伍軍人事務(wù)部在阿拉巴馬醫(yī)務(wù)中心同樣發(fā)生了筆記本電腦被盜事件,致使53.5萬退伍軍人和超過130萬內(nèi)科醫(yī)生的個(gè)人數(shù)據(jù)被泄露。
代價(jià):在事件發(fā)生后的一個(gè)多月的時(shí)間里,退伍軍人事務(wù)部為了支撐回答人們關(guān)于數(shù)據(jù)被竊問題的電話應(yīng)答中心,每天就要花費(fèi)20萬美元,此外,他們還要支付100萬美元用來打印和郵寄通知信。
退伍軍人事務(wù)部因此還遭到了聯(lián)名起訴,起訴中包括要求其對(duì)每個(gè)人造成的損失賠償1000美元。在2007年第二次數(shù)據(jù)泄露事件之后,退伍軍人事務(wù)部為現(xiàn)役和已經(jīng)退伍的軍人總共賠償了2000多萬美元,才結(jié)束了這場(chǎng)聯(lián)名訴訟。為此,美國(guó)政府還為其撥款2500萬美元用來補(bǔ)償損失。
分析:設(shè)備失竊成為了數(shù)據(jù)泄露的最主要原因—在2008年,大約占到了20%。據(jù)芝加哥法律事務(wù)所Seyfarth Shaw的合伙人Bart Lazar介紹,在他所處理的數(shù)據(jù)泄露案件中,由于筆記本電腦丟失而造成的數(shù)據(jù)泄露占絕大部分。
建議:首先要對(duì)存儲(chǔ)在筆記本電腦上的個(gè)人身份信息加以限定。比如說,不要將客戶和員工的名字與其身份證件號(hào)碼、社會(huì)保險(xiǎn)號(hào)碼、信用卡號(hào)碼等身份信息放在一起保存。可以將這些數(shù)字“截?cái)唷贝鎯?chǔ),或者考慮建立個(gè)人特殊信息,比如說將每個(gè)人的姓氏與社會(huì)保險(xiǎn)號(hào)碼的后四位連在一起保存。
其次,對(duì)筆記本電腦上存儲(chǔ)的個(gè)人信息進(jìn)行加密,盡管這會(huì)產(chǎn)生一些潛在成本(大約每臺(tái)筆記本電腦50到100美元),同時(shí)還會(huì)損失一些性能,但這是必須的。美國(guó)存儲(chǔ)網(wǎng)絡(luò)工業(yè)協(xié)會(huì)負(fù)責(zé)存儲(chǔ)安全的副主席Blair Semple曾表示,對(duì)數(shù)據(jù)進(jìn)行加密,需要企業(yè)和員工都形成這種強(qiáng)烈的意識(shí)才行,在很多情況下,對(duì)數(shù)據(jù)進(jìn)行加密并不困難,但人們卻沒有這么做,不難看出,管理層面上的問題才是最大的。
最后,建議在數(shù)據(jù)載體上設(shè)置保護(hù)性更強(qiáng)的口令密碼。
外部入侵
2007年1月,零售商TJX Companies 發(fā)現(xiàn)其客戶交易系統(tǒng)被非法人員入侵,令人不解的是,此入侵從2003年就已經(jīng)開始了,一直延續(xù)到2006年12月,非法人員從中獲取了9400萬客戶的賬戶信息,而數(shù)據(jù)被盜事件在4年后才因一次偽造信用卡事件被發(fā)現(xiàn)。2008年夏天,11人因與此事相關(guān)而被起訴,這是美國(guó)法律部門有史以來受理的最大規(guī)模的非法人員盜竊案件。
代價(jià):據(jù)估計(jì),TJX在此次數(shù)據(jù)泄露事件中的損失大約在2.56億美元,包括恢復(fù)計(jì)算機(jī)系統(tǒng)、法律訴訟費(fèi)、調(diào)查研究以及其他支持費(fèi)用,損失中還包括對(duì)VISA和MasterCard的賠償。此外,美國(guó)聯(lián)邦商務(wù)委員會(huì)還要求TJX必須每隔一年委托獨(dú)立的第三方機(jī)構(gòu)進(jìn)行安全檢查,并持續(xù)20年。
甚至有人預(yù)測(cè),TJX因此受到的損失會(huì)達(dá)到10億美元以上,因?yàn)檫要將法律和解費(fèi)用以及因此失去很多客戶的代價(jià)計(jì)算在內(nèi)。據(jù)Ponemon在2008年4月進(jìn)行的一項(xiàng)研究表明,通常發(fā)生數(shù)據(jù)泄露事故的企業(yè)將會(huì)失去31%的客戶基礎(chǔ)和收入來源。在Ponemon最近發(fā)布的年度數(shù)據(jù)泄露損失統(tǒng)計(jì)報(bào)告中顯示,每泄露一份客戶信息,公司就將損失202美元,而在1997年,這個(gè)數(shù)字是197美元,其中因數(shù)據(jù)泄露失去的商業(yè)機(jī)會(huì)所帶來的損失是損失增長(zhǎng)中最重要的部分。
分析:據(jù)Ponemon的研究,非法人員入侵造成的數(shù)據(jù)泄露在安全威脅中名列第五。據(jù)ITRC的調(diào)查,在2008年有記載的數(shù)據(jù)泄露事件中有14%是由非法人員攻擊所造成的。但這并不意味著企業(yè)對(duì)此就應(yīng)該束手無策,甚至放任不管。
在TJX的案例中,非法人員是利用War-Driving滲透到系統(tǒng)內(nèi)并入侵企業(yè)網(wǎng)絡(luò)的。而這主要是因?yàn)門JX使用的網(wǎng)絡(luò)編碼低于標(biāo)準(zhǔn)規(guī)格,且在網(wǎng)絡(luò)上的計(jì)算機(jī)并沒有安裝防火墻,傳輸數(shù)據(jù)也沒有進(jìn)行加密,這才使得非法人員可以在網(wǎng)絡(luò)上安裝軟件并訪問系統(tǒng)上的客戶信息,甚至還可以攔截在價(jià)格檢查設(shè)備、收銀機(jī)和商場(chǎng)計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)流。
建議:如果對(duì)數(shù)據(jù)庫的訪問非常容易的話,那么建議企業(yè)使用高級(jí)別的數(shù)據(jù)安全措施和數(shù)據(jù)編碼。
員工大意
Pfizer公司的一名員工一直是通過網(wǎng)絡(luò)和筆記本電腦進(jìn)行遠(yuǎn)程辦公的,沒想到,他的妻子在其工作用的筆記本電腦上安裝了未經(jīng)授權(quán)的文件共享軟件,致使外部人員通過這個(gè)軟件獲得了1.7萬名Pfizer公司現(xiàn)任員工和前任員工的個(gè)人信息,其中包括姓名、社保賬號(hào)、地址和獎(jiǎng)金信息等。統(tǒng)計(jì)顯示,大約有1.57萬人通過P2P軟件下載了這些數(shù)據(jù),另外有1250人轉(zhuǎn)發(fā)了這些數(shù)據(jù)。
代價(jià):為了將數(shù)據(jù)泄露事件的危害降至最低,并避免類似事件的發(fā)生,Pfizer與一家信用報(bào)告代理商簽署了一項(xiàng)“支持與保護(hù)”合同,合同包括對(duì)與泄露數(shù)據(jù)相關(guān)的信息進(jìn)行為期一年的信用監(jiān)控服務(wù),以及一份因數(shù)據(jù)泄露對(duì)個(gè)人損失進(jìn)行賠償?shù)谋kU(xiǎn)單。
分析:據(jù)Ponemon的最新研究表明,粗心的員工(雖然不是故意的)是數(shù)據(jù)安全的最大威脅。有數(shù)據(jù)顯示,88%的數(shù)據(jù)泄露與員工的大意有關(guān)。如果企業(yè)的員工能夠具有更高的安全意識(shí),數(shù)據(jù)泄露的數(shù)量將會(huì)大幅下降。在Pfizer的案例中,就是因?yàn)閱T工的妻子在其筆記本電腦上安裝了文件共享軟件,這才使得其他人能夠通過P2P軟件獲得筆記本電腦上的數(shù)據(jù),包括Pfizer公司的內(nèi)部數(shù)據(jù)信息。
大意的員工再加上文件共享軟件,這絕對(duì)是個(gè)危險(xiǎn)的組合。Dartmouth College在2007年的研究表明,雖然大部分企業(yè)不允許在企業(yè)網(wǎng)絡(luò)上安裝P2P軟件,但是很多員工卻在遠(yuǎn)程計(jì)算機(jī)和家用PC上安裝了這種軟件。研究發(fā)現(xiàn),有三十家美國(guó)銀行的員工在使用P2P軟件分享音樂和其他文件,并在不經(jīng)意間向潛在的網(wǎng)絡(luò)犯罪分子泄露了銀行賬戶數(shù)據(jù)。一旦業(yè)務(wù)數(shù)據(jù)發(fā)生泄露,將會(huì)通過P2P軟件擴(kuò)散到全世界的很多計(jì)算機(jī)上。
建議:企業(yè)的IT部門應(yīng)該全面禁止員工使用P2P軟件,或者制定規(guī)章限制P2P的使用,并安裝工具來強(qiáng)化這一規(guī)章。并且,應(yīng)該對(duì)員工的計(jì)算機(jī)系統(tǒng)進(jìn)行審核,阻止員工進(jìn)行軟件下載。比如,可以將員工的管理員資格取消,這樣他們就不能安裝任何程序了。同時(shí),最重要的就是教育和培訓(xùn),因?yàn)檫@樣能夠讓員工了解P2P的危險(xiǎn)性。
合作伙伴泄露
2008年11月,亞利桑那州經(jīng)濟(jì)安全部給大約4萬名兒童的家長(zhǎng)發(fā)出了通知——這些孩子的個(gè)人信息可能已經(jīng)因?yàn)榇砩虒讉(gè)磁盤丟失而被泄露。磁盤雖然有密碼保護(hù),但卻沒有進(jìn)行加密。
代價(jià):統(tǒng)計(jì)數(shù)據(jù)顯示,對(duì)企業(yè)來說,合作伙伴將數(shù)據(jù)泄露的損失往往比企業(yè)內(nèi)部泄露的損失更大。據(jù)Ponemon的調(diào)查統(tǒng)計(jì),合作伙伴泄露一份數(shù)據(jù)記錄企業(yè)要損失231美元,而企業(yè)內(nèi)部泄露一份數(shù)據(jù)記錄造成的損失約為171美元。
分析:Ponemon的年度損失報(bào)告表明,外包、轉(zhuǎn)包、咨詢和商業(yè)合作伙伴造成的數(shù)據(jù)泄露在不斷增長(zhǎng),去年大約占到所有數(shù)據(jù)泄露事件的44%,比2007年增長(zhǎng)了40%。ITRC的研究也指出,2008年10%的數(shù)據(jù)泄露與代理商有關(guān)。
建議:企業(yè)需要簽訂更高服務(wù)級(jí)別的詳細(xì)合同,確保代理商遵守協(xié)議,一旦其違反了合同就能夠?qū)ζ溥M(jìn)行處罰。此外,在使用備份磁帶或者磁盤時(shí),一定要進(jìn)行加密和密碼保護(hù)。
【規(guī)避五大數(shù)據(jù)安全風(fēng)險(xiǎn)論文】相關(guān)文章:
數(shù)據(jù)采集中如何規(guī)避風(fēng)險(xiǎn)的工作心得05-02
規(guī)避審計(jì)風(fēng)險(xiǎn)05-01
風(fēng)險(xiǎn)意識(shí)影響創(chuàng)業(yè)成敗 學(xué)生老板要規(guī)避五大風(fēng)險(xiǎn)04-30
高速公路管理怎么規(guī)避涉訴風(fēng)險(xiǎn)論文05-04
如何規(guī)避加盟連鎖風(fēng)險(xiǎn)08-06
怎么規(guī)避品牌延伸風(fēng)險(xiǎn)08-28
當(dāng)前企業(yè)網(wǎng)絡(luò)營(yíng)銷風(fēng)險(xiǎn)及其規(guī)避措施論文05-02
當(dāng)前企業(yè)網(wǎng)絡(luò)營(yíng)銷風(fēng)險(xiǎn)及其規(guī)避措施的論文05-02