专家解析:防范企业数据丢失的六个最佳做法
血液为人体的生长和维护人体基本功能提供了所需的营养和氧气,一个人如果血液出现了问题,例如它们数量的减少或病变,就有可能会危及人的生命。对于一个有着与人体生命体特征相似的企业来说,企业当中的机密数据就构成了它的血液。如果与企业相关的机密数据丢失,就不可能及时给企业的生存和发展带来需要的营养,也就有可能危及企业的生命。并且,一些特殊的企业还必需遵从其所在位置的地方性数据保护法规的要求,也需要解决企业数据丢失的问题。因此,如何防范企业数据的丢失,就成为现在企业信息化应用过程中最需要解决的问题之一。
但是,现在的企业要想防范其机密数据不丢失,并不是一个轻而易举就能解决的任务。主要原因有3个:
1、 第一个原因就是随着企业和信息化应用规模的不断扩大,在企业的信息化应用过程中会产生大量的机密数据。而企业信息化应用规模的不断扩大,也就意味着网络结构越来越复杂,再加上现在各种可移动存储设备,例如笔记本电脑、PDA、智能手机和U盘等,以及WIFI无线的应用,就使得企业的信息化应用结构也越来越复杂。当这些企业机密数据在复杂的信息化系统结构中不断流转时,就会给我们控制机密数据的使用增加了难度,也就相应地增加了机密数据丢失的风险。
2、 第二个原因就是现在的企业所处的网络环境中存在越来越多的安全威胁,例如黑客入侵、特洛伊木马和网络嗅探等,这些安全威胁的攻击水平和攻击破坏力也在不断地提高。并且,现在的企业还面临一个更加严重的问题,就是企业原本部署的传统安全防范设备,只能用来防范来自企业外部的安全威胁,而现在企业数据丢失的主要原因却来自企业的内部。这是因为企业内部的员工已经处于企业网络内部,拥有一定的访问企业网络资源的权限,并且,他们知道企业中的机密数据主要分布在什么位置的什么设备之中。而且,他们对企业内部已经部署的安全防范措施有了一定的了解,更加容易知道其安全防范的死角在什么地方,也就更加容易找到突破口来得到企业中的机密数据。
这个问题在经济危机时期显得更加明显,主要是一些企业开始大规模地裁员,而这些离职的员工手上拥有大量的与企业相关的机密数据。一旦企业不能够及时妥善地处理好这些离职员工的帐户和权限,那么企业中的机密数据就有可能通过离职员工流出到竞争企业或互联网等公共场所。
3、 最后的一个原因就是企业现在正处于经济危机时期,为了能够生存下去正在想方设法地缩减各种成本。而现在许多企业原有的安全防范措施根本不能达到保护数据安全的要求,也就意味着需要企业增加相应的安全投入。增加投入也就是会增加企业的成本,这不仅与企业缩减成本的近期发展策略相互冲突,而且在追加数据保护措施时有可能会影响现在的业务。这样一来,也就将企业推到了一个两难的选择境地:到底是选择增加安全投入,还是保持现状?
虽然企业在防范数据丢失的过程中还存在上述所示的诸多问题,但是,很幸运的是,现在有一些企业已经成功地在其信息化结构中部署好了防范数据丢失的解决方案,并且取得了良好的效果。因此,我们完全可以吸取这些企业在保护数据安全方面取得的成功经验,来为我们防范企业机密数据丢失提供相应的实践指导。
这些防范企业机密数据丢失的成功经验主要包括6个最佳做法,它们是:了解企业中有哪些机密数据,并按重要程度进行分类、了解企业中的机密数据都驻留在什么位置及设备当中、识别造成数据丢失的风险来源和性质、制定一个适合自身需的数据控制策略、集中化管理控制和安全审计。下面我就分别详细说明这6个防范数据丢失的最佳做法到底该如何具体地去完成。
了解企业中有哪些机密数据,并按重要程度进行分类
从安全的观点来看,企业中所有的机密数据并不会具有同样的重要程度。因而,要防范企业中的机密数据丢失,首先要做的就是了解企业中哪些机密数据是最重要的,或者可以理解为企业中的哪些数据对企业业务来说是最重要的,并且受到安全威胁的可能性也是最大的。通过确定企业网络中最重要的机密数据,就可以在建立数据保护策略时,在其中按数据的重要程度规定不同的防范等级。那么,企业要如何做才能将企业网络中所有的机密数据按重要程度为类呢?
要回答这个问题,首先我们需要了解企业的业务结构,调查各个部门和企业的整个业务流程等等,并且,还要明白企业中各个部门的数据是否需要遵从企业所在位置的某个数据保护法规。例如,一些在美国上市的国内企业的财务数据就必需遵从萨班斯(Sarbanes-Oxley)法案,而销售部门可能就需要遵从另外一个法案,例如国外的PCI法案,而且还必需遵从我国制定的相关法案,例如即将执行的《企业内部基本控制规范》等。
一旦我们了解了企业各个部门需要遵从的数据保护法规要求,接下来就可以将各个部门的数据分成三个主要的类别:最高限制级(例如企业的财务报表、新产品研发资料等);敏感级,例如企业的销售计划等;以及普通敏感级,例如各供应商分布位置和产品运费等。
下一步,就是确定每一类数据的具体类别、内容和属主。这要求我们根据数据对企业业务的重要程度,以及对法规的遵从要求来划分。例如,我们可以将供应商的基本资料作为限制级别的数据,同时要明确这些基本资料中包含哪些具体的内容,例如原材料的供应价格等;然后,还要了解这些限制级别的数据是由企业中哪个部门中的哪个具体的员工负责生成和维护的,也就是确定其操作的属主。我们可以为这些数据建立一个具体的表格,用来详细说明数据的类别、内容和属主。
在这里,要明白的是,这个我们制定的表格也应该将它作为限制级别的机密数据进行妥善的保护。这是由于这个表格中包含有企业中所有机密数据的类型、内容和具体的操作属主等信息,一旦这些资料落入攻击者的手中,他们就可以从这个表格中了解企业的机密数据分布情况,了解这些数据由哪些员工保管,然后就可以具体针对某个员工的弱点来进行相应的社会工程攻击或其它入侵手段。
当我们将这企业中的机密数据调查清楚并划分保护等级后,我们还应当制定一个操作这些机密数据的具体规范。在这个规范当中应当明确规定企业中的哪些员工可以访问这些机密数据和员工的访问权限,以及应该如何、何时及从什么位置可以访问它们等等。例如,对于限制级别的数据,只有少数一部分核心员工可以访问,而且,这些员工的访问权限各不相同,有些是只读,有些具有写权限。还可以规定访问这些数据时的具体时间段,例如限制级别的机密数据只可以在上午10点整到11点整,以及下午15点整到17点整这两个时间段允许特殊权限的人员访问。并且,还可以明确员工只能通过某台具体的工作站才能访问这些数据,而且不能以直接接触的方式去访问它们等等。
了解企业中的机密数据都驻留在什么位置及设备当中
对于这个问题,一些读者可能会认为它很容易回答:“企业中的机密数据驻留在什么位置,这不是显而易见嘛,那当然是保存在数据库服务器或文件服务器之中了。”这样的回答也对,但回答的内容只是企业机密数据可能驻留位置中的一小部分而已。
企业数据库中保存的机密数据充其量也只是整个企业机密数据中的一小部分。尤其是在今天这个企业2.0和WEB2.0大行其道的时期,各种移动存储设备在企业信息化应用环境中大量使用,造成大量的机密数据就有可能驻留在笔记本电脑、智能手机、PDA和U盘等可移动存储设备,以及有可能保存在访问这些数据的应用程序、文件服务器和协同办公服务器之中,还有可能驻留在电子邮件服务器和WEB服务器等位置。当然,机密数据还可以以数据包的形式存在于企业内部网络传输介质、互联网传输通道和WIFI电波当中,更有可能保存在企业或员工的网络博客、WIKI,以及社交网站及Twitter等网站之中。
对于如些众多的可以驻留企业机密数据的位置和设备,我们该使用什么样的方法去发现保存在这些位置和设备上的机密数据呢?
要回答这个问题并不容易,但这又是必需详细完成的任务。因此,对于大多数企业来说,必需花一定的时间来作一次全面的机密数据发现之旅,以便企业能够将所有可能驻留机密数据的位置和设备全部标识出来,并绘制一张相应的机密数据驻留位置结构原理图。
但是,现在的一些企业,由于不想花费一定的时间来解决这个问题,他们通常用下列的3种方式来对待企业中的机密数据:
1、 保护企业中所有数据的安全。这种做法从现实来说是不太现实的,而且,就算真的要去实现,也是相当昂贵的。绝大多数企业更本没有这么多的预算和技术力量来完成这个不可能完成的任务。
2、 对企业中的所有数据听之任之不加保护。这种方式在我国许多的中小企业当中仍然普遍存在。他们不知道如何保护数据安全,也不去想如何去保护它们的安全,更不想花钱去做这样的事。但是,一旦与企业相关的机密数据丢失或泄漏后,对这些企业的打击往往是最致命的,可能会让他们从此一厥不振。
3、 对企业中的部分数据进行保护。这种方式在我国大多数据企业中存在,企业使用一种并不全面的数据保护方式,例如应用某种数据加密产品来保护企业中某个设备当中的某些数据的安全,然后就认为整个企业中的机密数据都已经安全了。这样的数据保护方式往往让企业产生一种侥幸心理,但是这往往完全忽略了其它威胁企业机密数据的安全威胁,使这种侥幸的数据保护方式在某个时候变得不堪一击。
为了防止企业还使用上述的方式来对待企业中的机密数据,我们必需超出以前错误的数据保护方式,在实施具体的数据保护解决方案之前,先使用一个完整的机密数据发现过程来回答下列的一连串问题:
1、 是否有机密数据保存在数据库当中?如果有,那么这些机密数据是存在于数据表、列还是字段当中?
2、 是否有机密数据处于共享状态?如果是,那么这些机密数据是存在于共享文件夹之中,还是以单独的文件方式提供共享?
3、 是否有高度机密的数据存储在笔记本电脑等可移动设备当中?如果有,那么这些保存有机密数据的笔记本等移动存储设备的使用者是谁?
4、 是否有高度机密的数据需要在局域网内部及互联网上传输?例如电子邮件,如果有,那么现在这些机密数据在传输过程中是否经过了加密或其它方式的保护?
5、 是滞有高度机密的数据可能会保存在WEB服务器或博客等互联网之中?如果有,这些机密数据存储的位置是企业提供还是由员工自己提供?是以什么方式存在?是否经过了保护?
接下来,我们还需要了解企业中的机密数据目前是如何被使用的,以及企业中的员工还存在哪些违反数据安全操作规程的行为。对于目前的企业来说,我们必需重点调查下列所示的违规行为:
1、调查企业中的员工是否在公共场合谈论与企业数据安全相关的话题,以及是否将企业的机密数据无意泄漏到互联网等公共场合。例如,企业中有些员工在电话中、即时聊天软件或在酒吧等场合,与在场的人大谈其企业的安全防范体系是如何好,使用了什么样的安全产品,安全防范体系如何强大,其本意可能是为了以此来提高自己的话语权和受到大家的关注。但是说者无意,听者却有心。这就有可能将企业中使用的安全防范设备的类型,以及安全防范结构等信息透露给了攻击者,也就让一些攻击者毫不费力地将企业的安全防范体系摸了个清清楚楚。
2、调查我们所在企业当中是否存在轻易将一些机密数据,不经过审核或审计就随意复制到笔记本电脑、U盘或PDA等可移动存储设备中的行为,并且,还要了解这类设备是否经常离开企业的保护范围进入公共场所?
3、调查企业中的客户信息是否从数据库或文件服务器,以不安全的方式发送到其它位置,或者可以随意被任何用户打开读取?
4、调查企业中的机密数据在备份的过程中,是否真的会畅通无阻地到达预定的位置的指定备份存储媒介当中,是否能保证整个备份过程中不会被干扰?
我们可以通过数据发现处理过程,来建立一张企业机密数据的分布位置图,并以此来作为制定数据保护策略的重要依据。机密数据发现过程是一个相当繁琐的过程,通过手工方式将让我们无法承受,也可能不能得到全面的结果,因而,我们在这个阶段可以通过使用一些免费或商业的软件来进行。对于现在大部分的数据丢失防范产品来说,都已经将数据发现功能作为一个重要的构成部分包含在产品当中,这个功能也是我们在选择相应产品时需要考虑的功能之一。
而且,我们必需明白的是,数据发现是一个长期的持续过程,它应当与数据的整个生命周期相对应,而不是一次性事件。因为数据在其整个生命周期当中并不总是一成不变的,它会随着其使用以不同的类型,不同的方式存在于不同的位置和设备当中。
识别造成数据丢失的风险来源和性质
相对于了解企业中机密数据的分布和使用情况来说,认识企业数据正面临的安全风险和其性质是同样重要的。我们只有了解了企业数据目前面临的安全风险,才能知道要防范的是什么,才能知道以什么方式去应对?同时,我们还应当了解企业在发生数据丢失的安全事件后,可能会给企业造成的损失和影响的大小,以及这些损失企业是否可以承受?
对于当前针对数据的安全威胁类型,在一些安全网站上会每天进行公布,我们完全可以去这些网站当中订购一份邮件列表,然后我们每天就会收到这些网站发送给我们的最新安全威胁、漏洞及补丁更新等信息了。提供这些邮件列表的网站有http://www.securityfocus.com/等。另外,一些调查机构每年都会针对数据安全风险的来源作具体的调查分析,我们也可以到这些调查机构的网站阅读这些调查报告,来了解当前主要的外部和内部威胁了。这样网站有http://www.sans.org/。
在这里要明白的是,最大的安全风险并不是来自企业的外部,而是来自企业内部。例如,员工的误操作,或者故意的攻击行为等等。这些来自内部的安全威胁所造成的损失要比来自外部的风险大得多,这些威胁的攻击成功率也高得多。因而,按前面所述的方式调查企业内部员工的违规行为也同样重要。
但是,并不是每个企业当中都会存在同样的安全威胁。这是由于每个企业的网络结构不同,网络应用的目的不同,因此网络中使用的设备和软件也不会相同,以及企业中员工的安全意识和忠诚度也不相同,也就决定了每个企业中的数据安全威胁的类型和多少也不会相同。因此,我们必需结合企业自身的实际情况,以相应的安全威胁调查报告为参考,得出自己所在企业可能会面临的风险类型、数量及性质。
当然,能够准确了解到企业可能会面临的数据安全风险,能够让我们做到有的放矢,也能为安全投入节省成本。但是,威胁是会不断地产生的,而且我们也不可能做到预测完全准确。因此,在考虑企业可能会面临的数据安全威胁时,应按宁可错杀一千,不可放过一个的方式进行。对于企业机密数据可能会面临的安全风险,我们也可以为此构建一个风险模型来实时分析风险的类型、数量和性质。
下面是目前最常见的数据安全风险:
1、 数据存储媒介丢失或被盗。
这些存储媒介包括磁盘、磁带、笔记本电脑、PDA、U盘等设备。造成丢失的原因可能是员工无意中丢失,也可能是被攻击者故意盗走。丢失的位置也可能是在员工出差的途中,或者存放这些设备的位置,例如员工家中、出差所住的宾馆,以及备份媒介保存的机房,企业内部保管室等位置。如果这些丢失的设备中包含机密的数据,攻击者就能将它们出售,以便获得非法利益。
2、 员工故意违反。
一些企业的员工,尤其是手中掌握大量机密信息的特权员工,例如数据库管理员,或网络管理员,甚至是企业的营销人员手中握有大量的客户资料。他们可能将手中的机密信息出信给企业的竞争对手,也可能将它直接出售给黑客,以此获得非法的利益。例如今年央视3.15晚会上所揭露的某些地方的移动公司员工将用户隐私信息出售的事件,就是一个非常明显的员工利用自身特权违反企业数据保护条例的行为。
3、 机密数据无意公布出去。
例如企业员工无意将一封包含机密信息的电子邮件,没有加密就发送给一个非授权用户,以及一些员工无意将一些企业的机密信息贴到自己的网络博客或WIKI当中,或者通过Twitter或即时聊天的方式发布到公共网络环境当中。
4、 黑客攻击。
内部黑客攻击者利用自己已经拥有的某种访问权限,通过一些非常规的手段以获得企业的机密数据。例如使用网络嗅探、中间人攻击等方式来得到在企业内部局域网中传输的机密数据。以及通过物理接触的方式直接拷贝机密数据到可移动存储设备中。在使用无线局域网的企业当中,内部攻击者还可以通过无线网卡加软件的形式构造一个非法无线AP,以欺骗一些内部员工将其无线设备连接到这个非法无线AP上。而一些外部黑客也可以通过社会工程方式利益企业内部员工,或使用网络钓鱼方式欺骗内部员工感染木马,然后从内部开始入侵企业数据库或文件服务器,或者使用网络嗅探来得到机密数据。在无线局域网中,外部攻击者通过使用无线嗅探软件的方式得到经过WEP加密的机密数据是很容易的。
5、 直接物理接触方式攻击。
这种攻击方式大部分也是内自企业内部。这是由于企业内部员工本身已经身处企业内部,他只需要使用一些小小的计谋,就可能会直接接触到保存有机密数据的设备位置,通过拷贝、打印、拍照、复印,发送电子邮件,甚至直接将存储媒介拆走的方式来得到机密数据。一些外部攻击者,也可以通过社会工程的方式,欺骗企业保安人员和内部员工相信他是某种身份,然后它就可以直接进入企业内部进行数据盗取操作。这样的情景我通过在一些间谍和智力犯罪的电影中看到,例如非常出名的十一罗汉系列,以及越狱等电影及电视剧中经常会出现这样的镜头。
建立一个适合自身需求的数据控制策略
当我们完成了上述三个步骤中的任务,接下来要做的就是根据上面得到的内容来制定一个数据安全风险控制策略,在这个策略当中应当包括数据安全控制的具体操作流程和使用的安全技术和产品。
一个具体的数据保护策略应当由两个主要部分构成:其一就是控制机制,也就是具体的控制类型;另一个就是控制点,也就是具体要控制的对象,例如,存储设备、数据库、文件服务器、应用程序、网络设备和终端设备等。
一个全面的深度数据安全保护体系应当由下列三个部分构成:
1、 访问控制
访问控制包括两个方面:认证,也就是通过一种验证机制来证明访问数据的用户就是用户申明的他自己;另一个方面就是授权,也就是当用户通过认证后,授予给他的权限,这个权限中规定了用户可以对数据进行什么样的操作。现在,许多安全产品和应用程序都使用了这种访问控制方式,例如WEB访问、双因素认证等。
2、 数据控制
数据控制就是控制数据本身不被违规。数据控制包括相应的技术和产品,例如应用数据加密和加密密钥管理,数据丢失防范(DLP)产品和企业信息权限管理(RMS)。
3、 审计
审计的目的是为了提供一种反馈机制,用来确定数据保护策略和实施的数据保护解决方案果真按我们设置的方式在运行。现在也将这种方式称为安全信息和事件管理(SIEM)。审计控制功能通过会包含在一些相应的数据保护产品当中,也可能以单独的产品形式存在,它们为我们的数据使用情况提供一种反馈和记录机制,以确保所有的数据操作行为都在预期的控制范围内进行。
现在,越来越多的企业开始在企业当中部署应用数据加密解决方案,或者数据丢失防范解决方案,让它们来防范数据丢失。这是由于数据加密和数据丢失防范产品都能够提供一种保护机密数据的方式,而不论机密数据是否在静止状态、在移动过程中,还是存储于终端设备之中都能够被很好地保护。
数据加密能够保护数据在传输过程中不被泄漏,也能防止存储设备丢失后不会泄漏其中的机密数据。而数据丢失防范产品不仅包含数据加密功能,还提供其它的数据控制方式来确保数据的安全,例如网络型的DLP产品通常部署在企业网关的出口位置,它们可以对离开企业的所有数据进行基于策略和基于内容和上下文的检测,以防止包含机密数据的电子邮件或即时聊天信息,以及其它信息未经授权和加密保护就离开企业。并且会记录这些数据由哪台主机发出,什么时候发现,发送到什么位置等信息。而一些基于主机的DLP产品,却会对运行它的主机系统上的一切数据进行安全防范,包括主机当中可以使用的各类接品。例如,主机型DLP产品可以监控在这台主机上可以使用的接口类型,例如USB接口,以及可以在这个USB接口上使用的可移动存储设备,未经授权的相应设备在插入这个接口是不起任何作用。而当授权设备使用时,还会记录是由哪个用户什么时候使用,复制了哪些机密数据等信息。这是为什么越来越多的企业使用DLP解决方案来保护其机密数据和遵从数据保护安全法规的主要原因所在。
集中化管理控制
与其它任何因素比较,管理控制机制将直接影响控制效率和企业总体拥有成本。可是,现在许多企业却错误地将整个管理控制机制分散成几个不同的控制机制,这样做带来的后果就是:使企业的安全防范策略失去原有的作用;使企业的管理成本不断升高;以及影响企业业务的连接性等等。
为了避免上述这些问题的产生,第一个需要集中化管理的方面就是企业应当将数据安全控制集中化管理,以确保安全防范策略能够由上至下全面贯彻执行。这样就更能通过集中化管理工具来全面自动化地监控安全策略的执行,并且防止违反安全策略的操作事件发生。另外,集中化管理控制更加有利于确保所有员工始终遵从企业制定的数据应用规则,防止机密数据在无意中被泄漏出去。
第二个需要集中化管理的方面就是加密密钥的管理。对加密密钥进行集中化管理可以防止由于人为错误而造成加密密钥的丢失带来的数据安全风险,以及防止与其它的加密策略相互冲突和不兼容。例如,如果企业在不同的部门或不同的设备上,虽然使用的是同一种加密产品,但是每个部门之间进行独立的加密管理,这样就给加密管理带来了更多的工作量和复杂度,也就会增加管理成本。而且,如果让员工自己去决定使用什么样的加密方式,就有可能产生许多不安全的因素,同时还会增加管理成本。
无论如何,不集中化管理加密密钥会给企业带来意想不到的安全风险,甚至会影响企业的正常业务。例如员工中的一方使用一种加密方式,却没有将解密密钥交付给解密方,这样当解密方收到这个加密文件后会要求得到解密密钥,这样就会影响正常的业务。而且,如果员工将解密密钥错误地发送给一个非授权员工,又会造成机密数据的泄漏。
总的来说,对数据的安全控制进行集中化管理,是一件即能解决数据安全控制的复杂性,又能降低管理成本,节省管理时间和人力开销的主要途径。
安全审计
安全审计可以用来不断改善现有的数据安全防范策略,调整数据安全防范方案和安全产品的设置,以保证数据在企业发展的各个时期都是安全的。对于任何企业来说,在安全防范过程中都需要提供一种检验方式来反馈安全防范解决方案是否真的符合安全防范的需求,以及了解安全产品目前所处的保护状态。
企业的商务活动不是一成不变的,企业的数据安全防范工作也不是一成不变的。我们必需使用一种机制或技术来检验、跟踪当前数据的安全状况,以及跟踪当前企业已经发生或正在发生的数据安全事件,以便企业能够迅速对各种数据安全事件做出正确的响应,对现有的安全策略做出相应的调整来应对各种安全威胁的变化。
安全信息和事件管理(Security Information and Event Management(SIEM))系统能够帮助我们分析和报告安全日志和进行实时事件分析。一个SIEM系统可帮助我们完成下列所示的工作:
1、 事故调查和取证;
2、 事件响应和补救;
3、 遵守法规和标准;
4、 为法律诉讼提供证据;
5、 审计和执行数据安全策略。
通过使用一个有效的SIEM系统,不仅可以降低管理成本、提高工作效率,帮助企业遵从相应法规,管理企业风险和安全事件取证。而且,SIEM系统还可以为我们提供一个持续不断地改进数据安全保护策略的方式,以便能保证在企业各个发展时期的数据安全。这也就是说企业的安全防范是一个具体的持续不断的过程,而不是一个一次性的安全防范解决方案的部署事件。