目前企業(yè)已經(jīng)進入全新的大數(shù)據(jù)時代。在高帶寬、移動的、網(wǎng)絡環(huán)境中工作和生活的我們，會產(chǎn)生大量的數(shù)據(jù)，這些都成為大數(shù)據(jù)的來源，而這些信息很少存在于同一個地方。在幾微秒中，信息就能夠發(fā)布給世界各地的很多人。企業(yè)的高管門(包括CEO、CIO、CSO等)都必須面對因為大數(shù)據(jù)帶來的風險和安全挑戰(zhàn)，并規(guī)劃好如何去應對他們。本文將討論如何看待非結構化數(shù)據(jù)相對于傳統(tǒng)的結構化數(shù)據(jù)帶來的安全風險和挑戰(zhàn)以及多層面防護方法。

識別非結構化數(shù)據(jù)與結構化數(shù)據(jù)安全保護的差異

信息通常被歸類為結構化形式的或非結構化形式的。不同的類型有不同的保護方法。舉個例子來說，非結構化的Excel電子數(shù)據(jù)表實際上包含結構化的數(shù)據(jù)。在經(jīng)典的術語中，結構化的數(shù)據(jù)是指數(shù)據(jù)符合某種嚴格的數(shù)據(jù)模型和限制的模型。比如，模型可以定義一個業(yè)務流程控制信息流經(jīng)過一些面向服務的架構(SOA)系統(tǒng)，或者也可定義數(shù)據(jù)如何在內存的一個數(shù)組中存儲。但是對于大多數(shù)IT和數(shù)據(jù)庫管理專家來說，結構化數(shù)據(jù)是駐留在數(shù)據(jù)庫中，并基于數(shù)據(jù)庫架構和相關數(shù)據(jù)庫規(guī)則被組織的信息。而作為一個安全專家來說，這就意味著兩個重要的事情：

數(shù)據(jù)庫駐留在數(shù)據(jù)中心，周圍是物理安全設施(包括磚墻、金屬柜子等)、網(wǎng)絡防火墻和其他安全措施，允許你能夠控制對數(shù)據(jù)的訪問。

數(shù)據(jù)本身的結構化方式通常允許對數(shù)據(jù)的簡單分類。舉個例子，你能在數(shù)據(jù)庫中識別一個特定的人的醫(yī)療記錄和應用相應的安全控制。

所以，因為你知道結構化數(shù)據(jù)是什么樣的以及它駐留在哪里，你有嚴格的控制機制來決定誰能訪問它。對于結構化數(shù)據(jù)定義和應用安全控制相對簡單，要么使用結構內置的特性或者專門為特定結構設計的第三方工具即可完成控制。

而在相比之下，非結構化數(shù)據(jù)的管理和安全更加困難。非結構化數(shù)據(jù)能在任何地方、以任何格式、在任何設備上存在，并且在大數(shù)據(jù)時代能夠跨越任何網(wǎng)絡。舉個例子說明非結構化數(shù)據(jù)的應用復雜性，一個病人的記錄從數(shù)據(jù)庫中被提取出來顯示在一個網(wǎng)頁上，從網(wǎng)頁拷貝到數(shù)據(jù)表格中，附在電子郵件中，然后發(fā)送到另外一個網(wǎng)絡的郵箱中。

并且，非結構化的數(shù)據(jù)沒有嚴格的格式。當然，我們的Word文檔，電子郵件等符合定義它們內部結構的標準;然而，它們其中包含的數(shù)據(jù)幾乎沒有限制。比如上面列舉的那個病人記錄的例子，假設一個用戶改變內容后把它從網(wǎng)頁上拷貝到數(shù)據(jù)表格中，可能刪除了某些字段和標題。因為這個信息從一種格式轉變成了另外一種格式，它原始的機構被有效的改變了。

保護存儲成結構化的數(shù)據(jù)和信息是相對簡單的。但是隨著一個信息從結構化的形式移轉變?yōu)榉墙Y構化的時候，這個情況就會變得非常的復雜?？紤]這樣一個例子，很多分析人士的報告表明在當前的企業(yè)組織中，80%或者超過80%的電子信息是非結構化的，還有非結構化數(shù)據(jù)增長的速度是結構化數(shù)據(jù)的10到20倍。也考慮一下媒體上的新聞文章不斷強調知識產(chǎn)權的竊取、信息的意外丟失、數(shù)據(jù)的惡意使用等，最核心的問題就是非結構化的數(shù)據(jù)。在2010年，全球總的非結構化的數(shù)據(jù)估計大概有100萬PB(1048576000000GB)，被認為將以每年25%的速度增加。我們顯然需要去理解我們如何保護非結構化數(shù)據(jù)的安全。

非結構化數(shù)據(jù)需安全保護的“三態(tài)”

非結構化的數(shù)據(jù)在任何給定的時間總是處在三種狀態(tài)中的一種：非使用、傳輸中、使用中。非使用也就是在存儲設備中;它可能在傳輸中意味著它從一個地方被拷貝到另一個地方。或者，它可能在使用中(被一些應用程序打開著)。比如一個PDF文件，它可能存儲在一個USB設備上，不在使用狀態(tài);同一個PDF文件可能從USB設備拷貝，并附在電子郵件中發(fā)送到因特網(wǎng)上。PDF從USB設備上被拷貝，通過很多州到電子郵件服務器，通過網(wǎng)絡從發(fā)件箱到收件箱。最后，收件人收到郵件并打開PDF文件，在那個時刻非結構化數(shù)據(jù)處于使用狀態(tài)(駐留在內存中)，在一個應用程序的控制下(例如Adobe Reader閱讀器)，并被呈現(xiàn)給可以交互的用戶。

結構化數(shù)據(jù)轉化為非結構化數(shù)據(jù)帶來風險

基于上面三種狀態(tài)的描述，可以更加詳細地討論目前對保護非結構化數(shù)據(jù)的挑戰(zhàn)。假設企業(yè)組織有一個HR的應用程序，它包括一個維護每個員工信息的數(shù)據(jù)庫，包括他們的年度工資、以前的紀律處分信息、個人數(shù)據(jù)(例如家庭地址和社會安全號碼)等。如同大多數(shù)現(xiàn)代的HR應用程序一樣，它是基于網(wǎng)頁的，所以當一個認證的用戶運行一個報表的時候，報表是從結構化的數(shù)據(jù)庫過渡到非結構化的數(shù)據(jù)，以HTML的格式傳遞給網(wǎng)頁瀏覽器。用戶應用程序能夠很容易從瀏覽器的拷貝和粘貼這個信息到電子郵箱信息和通過其他方式轉發(fā)。當這個信息一旦添加到郵件正文中，它失去了與原始的應用程序所有結構和關聯(lián)。用戶可能也會選擇只拷貝和粘貼一部分信息，更改一部分信息，或者在原始的信息中添加一些新的內容。收到用戶發(fā)的電子郵件的人可能會拷貝和粘貼數(shù)據(jù)到電子表格。這些電子表格信息可能被用來創(chuàng)建一個圖示的信息，使用的原始的一些文本信息在圖形上作為標簽。如同這個情況所示，結構化信息很快就被三種狀態(tài)的改變而轉化成了非結構化數(shù)據(jù)，這些結構化數(shù)據(jù)從以前的數(shù)據(jù)庫中改變并重構、存儲在較小的數(shù)據(jù)格式中，它們包括電子郵件，文檔，圖片，視頻等等。

企業(yè)可能已經(jīng)很好的定義了安全模型去控制訪問HR的應用程序和包含HR信息的數(shù)據(jù)庫。然而，信息需要傳遞給對有意義的人們或者應用程序。如果它通過網(wǎng)絡傳輸了，企業(yè)和用戶能確定訪問網(wǎng)絡是安全的，然而，當信息到達用戶時，它能夠被轉換成數(shù)千種不同的格式，發(fā)送給各種各樣的應用程序和網(wǎng)絡。每個信息存在的地方能夠有保護的，它可能應用訪問控制對共享文件和控制對數(shù)據(jù)駐留(內容)的地方和網(wǎng)絡的訪問;然而，你的非結構化信息可能在任何地方被終結，因此很難對它保護。事實上，甚至很難對它定位、識別和分類信息。一旦HR的數(shù)據(jù)終結在電子郵件中，意外的轉發(fā)給錯誤的人，它就沒有存儲在數(shù)據(jù)庫原始數(shù)據(jù)的良好結構了。它在從數(shù)據(jù)庫到一個未授權的用戶的收件箱的傳輸過程中，也被復制了好幾次。

事實上，在大數(shù)據(jù)時代，非結構化的數(shù)據(jù)不斷的發(fā)生變化，數(shù)據(jù)終結在你沒有預期的地方，特別是因特網(wǎng)提供了一個令人難以置信的由擅長傳輸非結構化數(shù)據(jù)的計算機組成的大型網(wǎng)絡。大量的金錢和精力投入到去建設社交網(wǎng)絡(SNS)，文件共享和協(xié)助服務，點對點的應用。點對點提供了無數(shù)種將非結構化數(shù)據(jù)在幾秒鐘內發(fā)布給數(shù)十億的用戶。所以我們經(jīng)常聽到關于數(shù)據(jù)丟失的例子就不足為奇，現(xiàn)在我們創(chuàng)造了這么多令人驚訝的方法允許信息簡單的離開我們保護的邊界，我們的網(wǎng)絡控制用來阻止攻擊者范圍受我們保護的數(shù)據(jù)不再足以讓它安全了。

因此，企業(yè)高層管理者要充分意識到大數(shù)據(jù)時代非結構化數(shù)據(jù)帶來的安全風險和沖擊，并提前準備好相應的措施來應對它。

多層面數(shù)據(jù)防泄露保護非結構化數(shù)據(jù)

非結構化數(shù)據(jù)通常需要以如下幾種方式進行泄露管控：

監(jiān)控：被動的監(jiān)控和報告網(wǎng)絡流量和其他通信通道的信息例如文件拷貝到附加的存儲。

發(fā)現(xiàn)：掃描本地或者遠程數(shù)據(jù)存儲和在數(shù)據(jù)存儲庫或者在終端上分類消息。

捕獲：存儲重新構建的網(wǎng)絡會話為以后的分析和分類/政策細化。

防護/阻塞：基于信息從監(jiān)控和發(fā)現(xiàn)組件防護數(shù)據(jù)傳輸，要么通過阻斷一個網(wǎng)絡會話，或者通過一個本地代理去停止信息流。

針對以上需要，可以應用數(shù)據(jù)防泄露進行有效的防控。數(shù)據(jù)防泄露(也稱DLP)指的是一個相對較新的一組技術設計去監(jiān)控，發(fā)現(xiàn)和保護數(shù)據(jù)。你可能還聽到這種技術成為數(shù)據(jù)泄露防護—有時它也稱為“保護”這個詞代替“防護”。在任何情況下，DLP像一個你“數(shù)據(jù)的防火墻”。有各種各樣DLP的解決方案在市場上，通常能夠使用如下三種類型來分別在不同的層面保護非結構化數(shù)據(jù)：

網(wǎng)絡DLP 通常一個網(wǎng)絡應用程序在主要的網(wǎng)絡周圍(大多數(shù)情況是在企業(yè)的組織網(wǎng)絡和互聯(lián)網(wǎng)之間)作為一個網(wǎng)關。網(wǎng)絡DLP監(jiān)控通過網(wǎng)關的流量試圖去探測敏感的數(shù)據(jù)或者做點相關的事情，通常會阻止它離開網(wǎng)絡。

存儲DLP軟件要么運行在一個應用程序上或者直接在文件服務器上，執(zhí)行像網(wǎng)路DLP一樣的功能。存儲DLP掃描存儲系統(tǒng)去發(fā)現(xiàn)敏感數(shù)據(jù)。當找到的時候，它可以刪掉它，把它隔離或者簡單的通知管理員。

終端的DLP軟件運行在終端系統(tǒng)上監(jiān)控操作系統(tǒng)活動和應用程序，觀察內存和網(wǎng)絡流量去探測敏感信息不恰當?shù)氖褂谩?/p>

并且，網(wǎng)絡、存儲和終端的DLP經(jīng)常一起使用作為一個綜合DLP解決方案去滿足非結構數(shù)據(jù)的安全管控需求。