在近幾年，幾乎所有企業(yè)，無論行業(yè)、規(guī)?；蛘哳愋?，都將大部分?jǐn)?shù)據(jù)保護(hù)力量放在“內(nèi)部威脅”上，也就是，那些已經(jīng)具有訪問權(quán)限的員工或者臨時(shí)雇員，他們可以誤用或者濫用這些企業(yè)給予的特權(quán)。這確實(shí)是事實(shí)，內(nèi)部威脅需要加以解決和得到重視，但是似乎很多企業(yè)太過于關(guān)注內(nèi)部威脅，而根本無視于企業(yè)外部的風(fēng)險(xiǎn)。

這里需要考慮的問題時(shí)：“自主地發(fā)送到外部的關(guān)鍵數(shù)據(jù)資產(chǎn)?”

例如，銀行需要與審計(jì)員、監(jiān)管機(jī)構(gòu)、供應(yīng)商以及合作伙伴共享信息，與這些外部阻止相關(guān)的數(shù)據(jù)傳輸絕對(duì)是影響持續(xù)經(jīng)營的關(guān)鍵因素。然而，這種信息共享同時(shí)也是相當(dāng)危險(xiǎn)的活動(dòng)，數(shù)據(jù)丟失的幾率非常高，如果沒有適當(dāng)控制的話，將對(duì)銀行的聲譽(yù)產(chǎn)生很大的負(fù)面影響。

信息共享的必要性和數(shù)據(jù)傳輸?shù)妮d體和形式的增加，需要考慮的要點(diǎn)包括以下：

必須考慮威脅

什么或者誰讓數(shù)據(jù)處于危險(xiǎn)之中?

當(dāng)數(shù)據(jù)從企業(yè)環(huán)境流到外部環(huán)境時(shí)，數(shù)據(jù)將受到各種類型的威脅，包括傳輸過程中可能遇到的中間人攻擊，以及存儲(chǔ)在第三方網(wǎng)絡(luò)中時(shí)的社會(huì)工程學(xué)攻擊等。

應(yīng)該考慮的可能遇到的風(fēng)險(xiǎn)

上述的威脅將對(duì)企業(yè)的關(guān)鍵數(shù)據(jù)資產(chǎn)造成嚴(yán)重威脅，這些風(fēng)險(xiǎn)無疑將造成數(shù)據(jù)丟失或者保密性破壞。如果公司沒有適當(dāng)?shù)臄?shù)據(jù)傳輸控制，例如TLS、SSL或者sFTP，中間人威脅將乘機(jī)竊取關(guān)鍵數(shù)據(jù)。

這種損失將對(duì)企業(yè)造成嚴(yán)重影響，包括收入損失、負(fù)面影響、恢復(fù)成本、客戶通知費(fèi)用和失去客戶信任

必須部署適當(dāng)?shù)陌踩刂苼斫鉀Q這些威脅和降低風(fēng)險(xiǎn)

需要考慮部署的控制不僅僅是與電子數(shù)據(jù)保護(hù)有關(guān)的控制，例如軟件/硬件加密

這超越了技術(shù)的范疇，上升到社交、管理、運(yùn)營和過程控制，以避免社會(huì)工程序攻擊，并確保部署了其他保護(hù)因素，例如密碼政策、用戶訪問/權(quán)利控制和數(shù)據(jù)保護(hù)意識(shí)活動(dòng)等。

一旦企業(yè)信息離開內(nèi)部環(huán)境，你部署的大部分控制都失效了。數(shù)據(jù)現(xiàn)在位于第三方基礎(chǔ)設(shè)施，依賴于第三方的數(shù)據(jù)安全控制和程序。這不只是關(guān)于數(shù)據(jù)傳輸?shù)降谌竭^程中的加密，而是關(guān)于數(shù)據(jù)在其整個(gè)生命周期進(jìn)行保護(hù)的問題。

以下相關(guān)問題可以幫助確保對(duì)外部數(shù)據(jù)流的適當(dāng)控制：

與接收數(shù)據(jù)的第三方具有適當(dāng)?shù)谋Ｃ軈f(xié)議或者不披露協(xié)議?

數(shù)據(jù)如何被傳輸?shù)竭@些外部合作伙伴?對(duì)于電子傳輸是否有適當(dāng)?shù)募用?例如SSL、PGP、TLS)以及媒介傳輸具有充足的物理控制(例如加密磁帶、安全車)?

當(dāng)數(shù)據(jù)存儲(chǔ)在第三方或者在第三方處理時(shí)，會(huì)有多少人會(huì)訪問你的數(shù)據(jù)?是哪些人?

你是否知道第三方對(duì)只限制環(huán)境內(nèi)有限的必要的人來訪問你的數(shù)據(jù)的程序?

對(duì)于企業(yè)外部的人(例如第三方的合作伙伴或者供應(yīng)商，也就是，你的合作伙伴的合作伙伴)的訪問權(quán)限控制時(shí)怎樣?第三方是否會(huì)審查外部承包商、供應(yīng)商的安全控制以確保傳輸給他們的數(shù)據(jù)將會(huì)得到很好的控制?

第三方的服務(wù)器和防火墻如何?

外部第三方的通信機(jī)房和數(shù)據(jù)中心是否部署了適當(dāng)?shù)奈锢砜刂?，包括適當(dāng)?shù)幕照略L問和環(huán)境因素等?

接收數(shù)據(jù)的第三方是否部署了技術(shù)和過程控制以應(yīng)對(duì)和調(diào)查數(shù)據(jù)丟失事件?

部署了哪些技術(shù)和過程控制來防止數(shù)據(jù)從第三方的便攜式媒體、移動(dòng)設(shè)備和電子郵件通信的數(shù)據(jù)泄漏?

第三方是否進(jìn)行了內(nèi)部/外部審計(jì)(例如SAS-70、ISO27001認(rèn)證)?

存儲(chǔ)在第三方的數(shù)據(jù)當(dāng)不再需要時(shí)，將如何被銷毀或者歸還?

第三方是否有意識(shí)培訓(xùn)和教育計(jì)劃以確保其員工遵守協(xié)議保護(hù)其客戶的敏感信息?

很顯然你對(duì)業(yè)務(wù)合作伙伴的質(zhì)疑必須從技術(shù)、運(yùn)營和過程控制方面來考慮，讓我們來從一個(gè)現(xiàn)實(shí)世界實(shí)例來說明為什么：

一名銀行業(yè)務(wù)經(jīng)理有一天決定通過文本郵件的形式將公司的稅務(wù)數(shù)據(jù)發(fā)送給他們的注冊(cè)會(huì)計(jì)師，而不是通過sFTP或者PGP加密電子郵件傳輸。結(jié)果是該電子郵件被注冊(cè)會(huì)計(jì)師的ISP電子郵件服務(wù)器攔截，注冊(cè)會(huì)計(jì)師方面的電子郵件ISP服務(wù)器的惡意管理員看到這封電子郵件具有重要數(shù)據(jù)，并使用這些數(shù)據(jù)得到120萬美元。

Open Security Foundation的2011年(到目前為止)DataLossDB數(shù)據(jù)丟失統(tǒng)計(jì)數(shù)據(jù)顯示：“平均來看，涉及第三方的數(shù)據(jù)丟失事件比那些不涉及第三方的事件造成的數(shù)據(jù)丟失損失更大。這可能是因?yàn)榈谌教幚淼臄?shù)據(jù)類型的結(jié)果，在企業(yè)間傳輸數(shù)據(jù)的過程，或者其他假設(shè)，這種趨勢(shì)很令人擔(dān)憂。”

最后，對(duì)于數(shù)據(jù)而言，最具風(fēng)險(xiǎn)的環(huán)境就是沒有受擁有這些數(shù)據(jù)的企業(yè)所控制。具有訪問權(quán)限和意圖的內(nèi)部人員可能造成嚴(yán)重破壞，但是數(shù)據(jù)在企業(yè)內(nèi)部，企業(yè)應(yīng)該能夠部署適當(dāng)?shù)募夹g(shù)、程序和操作/人員控制來保護(hù)自己的數(shù)據(jù)。當(dāng)數(shù)據(jù)離開我們信任的環(huán)境時(shí)，只有盡可能的借助審計(jì)、審訊和測試來緩解風(fēng)險(xiǎn)。

【編輯推薦】

1. Websense助力美國大型金融機(jī)構(gòu)數(shù)據(jù)安全保障
2. CA Technologies攜手銀聯(lián)數(shù)據(jù)抵御互聯(lián)網(wǎng)交易欺詐
3. 有錢沒錢 CIO都得保證企業(yè)數(shù)據(jù)安全
4. 防止數(shù)據(jù)和隱私泄露的十個(gè)最佳做法
5. 數(shù)據(jù)庫安全專家指出數(shù)據(jù)庫取證仍然落后