CTO解读企业数据安全管理与防护

kba420

　如今，越来越多的员工将他们的笔记本电脑、智能手机和其他设备带到公司，殊不知员工并不知道自己已经对公司的数据带来潜在的威胁。笔者在调查企业数据防护状况中发现。企业CTO困惑的是，始终没有一种能够解决所有问题的完美的解决方案，特别是当威胁来自公司内部员工时，那些所谓的解决方案更加无计可施。在对CTO/CIO的调查中发现，34%的受访者表示经历过又公司员工而造成的数据泄露事件。　　Forrester的安全和风险管理副总裁Jonathan Penn表示，数据丢失防护工具能够鉴定危险的数据处理行为，并且能够实施补救行动。目前防止数据丢失的有效工具都涉及三个层次的安全：保护网络免受流氓设备的入侵、保护系统免受不适当的访问以及保护数据本身。Penn表示，保证数据安全的现代化策略应该要涉及到每一个层面。
　　阻止未知的设备访问网络
　　宾夕法尼亚州立大学的IT管理者Jeff Kuhns需要保护州立大学系统内的24个校区网络安全状况，为了实现这一点，Kuhns部署了Mirage网络公司的软件。
　　Mirage系统会对网络中接入的设备进行定位，IT部门可以为每个设备设置访问政策，并为员工个人或者用户组设置访问政策。该软件通过阻止未知设备访问禁止使用的数据来保护公司数据。
　　Forrester的高级分析师John Kindervag说，这种“无代理”解决方案对那些不能控制最终用户选择的设备的公司是十分有效的。其他代理解决方案要求软件安装在设备上，而这种无代理解决方案则安装在网络中。然后，和其他所有安全工具一样。专家表示，“无代理(技术)是部署数据丢失防护的主要方式之一，造成这种现状的主要原因是只有少数厂家拥有强大的代理功能，能够与网络扫描和远程恢复整合。”
　　Kuhns表示，在宾夕法尼亚州立大学，Mirage软件仅是“多个系统和策略的深度防御部署”的一部分，他们的部署包括传统的安全设备和软件，例如防火前和防病毒技术等。
　　从设备到数据库
　　考虑到以网络为基础的保护的限制，很多公司开始转向能够确保合法用户不进行非法访问数据的工具。
　　ExpressHR公司CEO Ray表示，“我们工作的核心是保护敏感数据，如果发生安全泄露事故，后果将很严重。”
　　ExpressHR作为英国人才管理机构，公司拥有数以万计的用户(包括招聘人员和招聘经理)能够访问他们的数据库。Ray表示，“最大的潜在风险其实来自于滥用系统资源以及使用公司资源用于其他用途的内部人员。”

kba420

　Ray部署了Secerno的软件，该软件能够提供数据库的行为监控。从中可以了解到那些是对数据库的正常请求。

　　该软件允许系统管理员来定义能够反映特定数据库行为的规则，能够记录客户如何访问数据库的应用行为，例如一天内一个文件被访问了多少次或者是否文件被打印，这些典型的问题都成为访问政策的基础。如果数据以一种不寻常的方式被访问，那么系统就会通知IT经理，并且能够自动执行包含这些问题(例如隔离用户或者锁定数据)的政策。

　　Ray表示，以规则为基础的解决方案的最大的缺点就是，如果规则做了不适当的规定，就可能会阻止一个合法的通信。但是与泄漏威胁相比，阻止一个正常通信其实是微不足道的。

　　确保可用性

　　一旦你给予了某人访问的权利并且建立了访问政策，那么有很多细节问题需要考虑：谁可以编辑数据?谁又可以打印数据资料?这些都是正常工作流方面的问题，在部署安全和使用政策时，最重要的事情就是弄清楚用户能够对数据进行何种操作。

　　Liquid Machines公司的企业发展和市场营销高级副总裁Ed Gaudet表示，“你可以让你的公司非常安全，但是同时会占用一定的工作流。”

　　一些公司如高盛公司和道氏化学公司使用Liquid Machines公司的软件来保护知识产权，不仅通过界定可以使用信息的人而且还定义了该如何使用信息的方式。这种软件通常被用来加密所有的公司数据，并且让管理员来创建访问权和使用权，以免发生滥用数据的行为。当未经授权的用户访问他们没有权利访问的数据时，他们会受到一个消息告诉他们说该文件受到保护。

　　在数据级别控制信息可以允许为访问数据的用户设立不同的政策，甚至可以设立当数据离开网络的政策。这种级别的控制下，安全政策是基于一个人必须做的工作类型来确定的。Gaudet表示，这种做法能够很好的与协作工作流融合，因为基于角色的控制可以根据工作流的变化而变化。不管你使用何种工具，有效的数据丢失防护要求你对你的数据进行分类，这也是很多公司常常跳过的步骤，Kindervag指出，“只有当公司正确地将数据分类时，所有地数据丢失防护工作才能得到保障。”