近年來(lái)的頻繁曝出的數(shù)據(jù)泄露事件令人不得不思考，機(jī)構(gòu)是否把安全投入投到了正確的地方。

最近的一份數(shù)據(jù)泄露報(bào)告顯示，95%的數(shù)據(jù)泄露事件其動(dòng)機(jī)均為獲取物質(zhì)利益或商業(yè)間諜行為。于是一個(gè)疑問就此產(chǎn)生，我們?yōu)槭裁匆押芏嗟馁Y源和精力投入到保護(hù)網(wǎng)絡(luò)邊界，而不是防止數(shù)據(jù)泄露或篡改方面呢?信息安全是否需要一種新的方法來(lái)關(guān)注數(shù)據(jù)本身的安全問題?

企業(yè)花費(fèi)大量的資金用于保持企業(yè)的安全邊界，以防范網(wǎng)絡(luò)攻擊和內(nèi)部威脅。Gartner的報(bào)告顯示，全球在信息安全方面的投入2014年將達(dá)到711億美元，較2013年增長(zhǎng)7.9%。2015年將繼續(xù)增長(zhǎng)8.2%，達(dá)到769億美元。

這些花費(fèi)的大部分都用于加強(qiáng)傳統(tǒng)的安全防護(hù)邊界，但越來(lái)越多的安全事件表明，這種投入方向的效果很差。索尼影業(yè)就是一個(gè)例子，其數(shù)量繁多的安全工具和產(chǎn)品服務(wù)，也未能阻止黑客盜走其高度敏感的數(shù)據(jù)。

對(duì)于想要獲取物質(zhì)利益的黑客來(lái)說，攻擊的首要目標(biāo)是數(shù)據(jù)。因此，如果能保證數(shù)據(jù)不被盜取或不被篡改，就可以在防止網(wǎng)絡(luò)入侵方面少花一些資源和精力。遺憾的是，現(xiàn)實(shí)情況許多機(jī)構(gòu)都未將數(shù)據(jù)保護(hù)視為重點(diǎn)。

一份調(diào)查了5000名高級(jí)IT經(jīng)理的報(bào)告顯示，全球35%的機(jī)構(gòu)并沒有對(duì)其數(shù)據(jù)進(jìn)行加密。而近年來(lái)，所有發(fā)生的信息泄露事件，如果泄露信息的這些企業(yè)全部都對(duì)其數(shù)據(jù)進(jìn)行加密的話，至少有一半的泄露事件可以避免。

這就是為什么越來(lái)越多的管理標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，如COBIT 5、PCI DSS 3.0、FISMA等，強(qiáng)制要求數(shù)據(jù)完整性。那么，如果數(shù)據(jù)是網(wǎng)絡(luò)攻擊的最終目標(biāo)，采取何種數(shù)據(jù)完整性戰(zhàn)略，才能夠最有效的保護(hù)機(jī)構(gòu)的敏感數(shù)據(jù)資產(chǎn)呢?

數(shù)據(jù)完整性的目標(biāo)是在數(shù)據(jù)作者的認(rèn)可下，確保數(shù)據(jù)的正確性、完整性、完全性、健康性和合規(guī)性。在IT安全的安全環(huán)境下，其目標(biāo)是防止數(shù)據(jù)庫(kù)中的數(shù)據(jù)遭到意外、故意和未授權(quán)的移除、插入、修改或破壞。因此，最佳數(shù)據(jù)安全實(shí)踐的基礎(chǔ)應(yīng)該如下：

第一步，按業(yè)務(wù)需求分類保護(hù)數(shù)據(jù)。如分成“公開”、“內(nèi)部”、“秘密”和“絕密”等類別。數(shù)據(jù)分類常常被棄用是因?yàn)?，需要手工維護(hù)數(shù)據(jù)不斷變化的類別狀態(tài)。但如今新興的大數(shù)據(jù)風(fēng)險(xiǎn)管理系統(tǒng)都有著所謂的動(dòng)態(tài)分組功能，允許簡(jiǎn)單的拖放操作重新分類，并可將改變分發(fā)到所有相關(guān)節(jié)點(diǎn)。

數(shù)據(jù)分類之后就是數(shù)據(jù)加密。加密技術(shù)在最近幾年來(lái)有著良好的發(fā)展，消除了早期在性能和部署方面的障礙。機(jī)構(gòu)應(yīng)該確保把加密機(jī)制正確地實(shí)施到所有敏感數(shù)據(jù)，無(wú)論數(shù)據(jù)在哪里保存，也不管數(shù)據(jù)如何傳輸。

訪問控制是許多安全項(xiàng)目的最薄弱點(diǎn)，這是因?yàn)閷?shí)施者必須平衡數(shù)據(jù)可用性與未授權(quán)數(shù)據(jù)的使用(如盜用、泄露、篡改和破壞)。另一方面，黑客通常的目標(biāo)是特權(quán)用戶，因?yàn)檫@些人的賬戶是入侵整個(gè)網(wǎng)絡(luò)的橋頭堡。因此，要嚴(yán)格執(zhí)行界定良好的訪問控制政策并持續(xù)監(jiān)控訪問路徑，以確保訪問控制策略的正常執(zhí)行。此為保證數(shù)據(jù)完整性的基本要素。一套能夠評(píng)估風(fēng)險(xiǎn)態(tài)勢(shì)、可視化結(jié)果和合理安排基于業(yè)務(wù)關(guān)鍵性的補(bǔ)救措施的大數(shù)據(jù)風(fēng)險(xiǎn)管理系統(tǒng)，可以給企業(yè)的數(shù)據(jù)保護(hù)工作帶來(lái)很大的幫助。

最后，機(jī)構(gòu)應(yīng)該保護(hù)數(shù)據(jù)的傳輸安全性。這方面最危險(xiǎn)的案例就是黑客在股票市場(chǎng)的數(shù)據(jù)公開發(fā)布前，對(duì)其進(jìn)行操縱。

對(duì)于信息安全工作而言，想達(dá)到百分百的安全是不可能的。然而，增加了數(shù)據(jù)完整性措施的安全防護(hù)機(jī)制，將極大的降低數(shù)據(jù)大規(guī)模泄露的可能。

原文地址：http://www.aqniu.com/neo-points/6900.html