2012年中一系列數(shù)據(jù)泄露事故震驚業(yè)界，LinkedIn與Global Payments兩家企業(yè)巨頭的落馬令業(yè)務(wù)數(shù)據(jù)安全再將成為眾人關(guān)注的焦點(diǎn)。然而大多數(shù)企業(yè)在數(shù)據(jù)安全性方面仍然采用被動的“補(bǔ)救式”思維方式，而沒能實施更加有效的長期防護(hù)戰(zhàn)略。下面我們就一起來看看這種缺乏前瞻性的思路所引發(fā)的四大常見安全陷阱。

◆標(biāo)準(zhǔn)缺失。安全通常建立在多套“標(biāo)準(zhǔn)”之上，而不同IT機(jī)構(gòu)所給出的解決方案也截然不同。舉例來說，對于數(shù)據(jù)安全需求理解不深的IT人士往往很難拿出令人滿意的數(shù)據(jù)加密方案。某些企業(yè)會采用密鑰管理互操作協(xié)議（簡稱KMIP）等行業(yè)中的新興加密標(biāo)準(zhǔn)，但由于這套機(jī)制仍然不夠成熟，所以我們不能指望得到“一朝部署、高枕無憂”的理想效果。由于整體IT安全標(biāo)準(zhǔn)嚴(yán)重缺失，大家不得不面對高昂的管理成本、繁的管理工作以及更高的數(shù)據(jù)損壞風(fēng)險。

◆缺乏中央控制機(jī)制。個人安全及加密工具也在以類似的方式為我們帶來自己的管理控制臺，其作用范圍涵蓋了日常管理、監(jiān)控與審計乃至密鑰管理。每一套解決方案都需要進(jìn)行單獨(dú)配置，提供的功能水準(zhǔn)也參差不齊——令人頭痛的認(rèn)證機(jī)制與使用復(fù)雜性將日常操作拖入了泥潭。根據(jù)管理人員對每款工具的依賴程度與部署效果，實踐作用與潛在風(fēng)險也存在明顯差別。同樣值得關(guān)注的是，CIO們目前還沒有一套足以在各類獨(dú)立安全措施中搞定評估、監(jiān)測、處理及報告等日常工作的中央控制方案。由于每一套安全工具都采用自己的政策、配置與管理系統(tǒng)，由此帶來的升級成本與復(fù)雜性也成為技術(shù)人員的一大煩惱。

◆彼此獨(dú)立的管理系統(tǒng)。多重安全技術(shù)中的每一項功能都需要單獨(dú)配置、管理并監(jiān)控。同樣是由于缺乏集中式管理或政策手段，管理工作必須圍繞各種工具獨(dú)立進(jìn)行。由于管理事務(wù)的數(shù)量過于龐大，產(chǎn)生配置錯誤的風(fēng)險也隨之提高，這可能引發(fā)安全漏洞的盛行或者關(guān)鍵文件無法正?；謴?fù)。

◆IT職責(zé)錯位。Ad hoc安全工具在部署過程中常常作為IT團(tuán)隊的功能性輔助，用于訪問或控制對應(yīng)系統(tǒng)。最好的實踐方案當(dāng)然是加密密鑰，然而當(dāng)企業(yè)內(nèi)部采用多種加密解決方案時，加密密鑰將被大量IT員工所掌握。這顯然違反了信息安全實踐的一大重要原則，即職與責(zé)分離。接觸到加密密鑰的群體越大，內(nèi)部攻擊出現(xiàn)的風(fēng)險也將隨之上揚(yáng)。

三步戰(zhàn)略實現(xiàn)安全集中式目標(biāo)

企業(yè)可以采取以下三個步驟，借以解決前面提到的幾種安全隱患。

首先是鞏固核心IT管理體系。具體措施包括建立政策管理、配置管理以及報告/審計機(jī)制。所有這些管理活動都應(yīng)當(dāng)由同一套中央控制方案所引導(dǎo)，并在實際執(zhí)行的過程中始終堅持這一原則。返之亦然，所有管理信息都要回流到中央管理儲存庫中，以確保未來分析及報告工作的順利進(jìn)行。

其次，打造分布式政策執(zhí)行體系。集中式安全政策必須嚴(yán)格貫徹到整個企業(yè)中的各類系統(tǒng)當(dāng)中。為了實現(xiàn)這一目的，中央管理控制臺必須具備分派代理、配置單獨(dú)系統(tǒng)、安全管理并記錄所有操作活動的能力。

第三，部署分層管理。這將幫助企業(yè)合理區(qū)分整體與各部門間的管理政策差異，并設(shè)立專門負(fù)責(zé)安全事務(wù)的專員。將管理控制維護(hù)等工作劃分到安全專員的職責(zé)之下，這能夠有效減輕IT團(tuán)隊的工作壓力。舉例來說，金融服務(wù)公司可以賦予數(shù)據(jù)庫管理員相應(yīng)的權(quán)力進(jìn)行甲骨文數(shù)據(jù)庫維護(hù)，但必須保證其無權(quán)訪問嚴(yán)格保密的財務(wù)信息。這種方法既能夠?qū)崿F(xiàn)敏感數(shù)據(jù)的保密性，又可以帶來安全管理工作的完整性。分層限制機(jī)制，你值得擁有。

要成功部署一套集中式企業(yè)安全管理策略，我們需要投入大量財力與IT資源。雖然成本不菲，但它將切實幫助企業(yè)在控制并共享信息的同時有效降低安全風(fēng)險。更重要的是，如此一來數(shù)據(jù)安全性故障的出現(xiàn)機(jī)率也將大大減少，保護(hù)企業(yè)遠(yuǎn)離數(shù)據(jù)破壞及公共信息泄露等問題的困擾。

原文地址：http://www.networkworld.com/news/tech/2012/122412-data-security-265352.html