Data Breaches-Turning The Tide

数据破坏转动浪潮

原文作者及国籍 William Jafferson Clinton，美国

原文出处：Software World

正文翻译：

人类的个人身份盗窃是很严重的。据身份偷窃资源中心说，一般的受害者大约需要 600 小时证明，他们的身份被偷及清理他们的信用报告。并且大多数受害者可能要过好几年才能恢复他们的财务状况。身份偷窃的很多受害者陷入抵押，汽车贷款，信贷限额的麻烦，甚至收到一份信用度大跌的信用报告。2003 年，身份偷窃资源中心调查了173 位身份偷窃受害者，结果，当他们因用他们的"名字"所犯的罪被逮捕时，4% 的受害者发现他们的身份在哪里被盗。

2004年当你考虑那些统计数据的时候会是更加令人担忧的， 联邦商业委员会将宣布有635，173身分偷窃相关的怨言报告。2002 年陆续编入抱怨的人数是 403，688，而这个数据比2002年还要高出很多。消费者对电子商务失去信任，组织小心的保护他们的个人信息，这种情况并不奇怪。加特纳说 20个成年人中的一个很可能成为某种形式的身份偷窃的受害者。不仅仅消费者受到损失。根据商会处理的一次调查，价格水收容铜和美国情报科学学会的商务损失了 530 亿美元，在2000年7月1日和 2001年6月30 日之间，由于知识产权被盗，损失了 590亿美元。

不顾在数据安全方面的强制的要求-巴塞尔 11 ，欧盟数据保护指令， GLBA HIPPA ，SB 1386 和 Sarbanes-Oxley：随着客户逐渐地加强安全和隐私理解能力， 合理的安全政策和信任将会逐渐地变成一个竞争的微分网络。Gartner 预测，在未来的二年之内，如果以英特网为基础的安全威胁未被缓和， 强健的百分之二十的年刊电子商务增长率将会被削减到 10%。当大量规则没有指定哪个安全技术公司需要设置到位， 他们全都要求， 充分地保护事务和顾客数据。

消除危险是不可能的， 明显得，组织更有必要在保护他们的知识产权和他们的客户的个人可识别的信息方面努力达到更高水平。组织在保护他们的事务技术系统方面下的工夫是不够的，这也是身份盗窃事件上升的主要理由之一。组织需要重新评估他们保护信息安全的方法，为保护数字式财产考虑新战术以及最重要地是他们的供给，合伙人，股东及顾客对他们的信赖。

组织需要回到基本

为了转变急剧上升的关于用户对企业保护他们的个人信息的方法缺乏信任的潮流，组织需要在整个他们的企业灌输安全意识。一个组织里面的安全文化需要从上到下流动：CEO，董事会和资深管理者应该清楚那些数据安全必须成为他们的每日操作的一部份， 而且资讯安全必须与商务目的相一致。高级管理缺乏强有力的安全保障统治， 内部人员滥用资讯资源， 系统破坏，以及粗心的处理客户数据的事件将会继续以令人担忧的比率增加。安全政策不可能是静态的；数据安全政策和程序必须是动态的，生存文件被当作技术、计算系统内各部分，和商务环境进化不断的被更新。在一个成功的数据安全计划中，有三个重要角色-人，程序和技术一定都是很强大的。资深管理者口头上对安全的重要性和客户数据安全的保护远远不够。数据裂口的连续泛滥清楚地表示，只在传统的防卫方面投资，像是反病毒计划，内容过滤，防火墙，身份-管理，和闯入发现和预防制度是不够的。考虑不周体现在安全的另外二个支柱上: 安全技术的人们 (安全训练和意识)，和程序(安全政策) 以及在安全方面的过量投资在相同情况中又有所不同。

依照 Ernst& Young’s 2004 年全球的数据安全调查，少于一半的应答者对他们的职员进行客户资讯的安全培训，不过应答者中的五分之一相信他们的企业把资讯安全当作优先级运行。2004 年计算机安全学院/联邦调查局计算机犯罪和安全调查，用可以说最复杂的资讯安全计划调查了将近 500个组织，结果显示，一般来说所有的应答者认为他们的组织在安全意识计划中投资不充分。 而且这些组织重点投资在许多传统的安全防卫方面：反病毒计划 (99%)，防火墙 (98%) ，基于服务器的存取控制名单 (71%) 和身份证系统 (68%)。统计学调查中，一个最令人吃惊的消息是没在传输加密数据方面投资的这些公司当中有42%的公司使用密码技术保护储存文件。这个技术的增加关系到公司保护他们自己的数据和他们客户的数据的工作地认真程度。

信息安全最佳的实践

数据安全经理对下面要被概略说明的最佳的实践应该很熟悉。 但是问题仍然存在：为什么公司不能更好的保护他们的知识产权和高度机密信息？由于获得足够强大的安全水平是极端富挑战性的而且需要一个每日的企业-从最高程度的管理出发的广泛承诺。 没有资讯安全万灵药，数据是到处存在的，而且因为组织将会继续增加同他们的生意-技术制度的客户，合伙人和供应者之间的内部联系，因此他们需要做更多努力。今天资讯安全的最大障碍是在组织之内缺乏企业高级管理在他们公司营造适当的安全的文化的氛围的承诺，员工缺乏安全意识培训以及安全练习。藉由这么做，令人困窘的和昂贵的数据裂口可能会大量减少。

为了要帮助减轻数据裂口，组织需要到：

1．分类、决定数据的价值，而且生意-技术系统安全的专业人士明白在任何数据可以有成本效益的保护之前，它首先必须分类。危险评估的第一件工作是识别，估定，分类然后决定数字式财产和系统的价值。许多主管认为风险评估最困难的方面是揭露大量置系统于险境的系统和配置的弱点。其实事实并非如此：丰富的工具可以有助于自动化工作。它决定着组织的宽度， 他们的数据的价值和知识产权（安全专家面对的一个最艰巨的任务）。研究和发展数据价值是多少？ 如果它失去接触会计或客户-关系的管理制度一天，它将会使组织损失多少？在未知信息的价值， 以及不能确定系统流程之前，做出关于应该投资多少来保护那些系统和信息的合理决定是不可能的。每年花费 $200，000 保护那些需要花费一个组织超过 $25，000的信息（如果它被暴露或丢失）就没有意义了。需要做出与信息价值相关的艰难决定。这意味着把管理， 法律， 人力资源， 物理安全以及组织里的其它小组集合在一起。

2． 遵守网络基本安全

好的网络安全涉及到只允许经过认可的通路和人及设备到计算系统。防火墙是网络安全基石和担当在一个网络和另一个网络之间通信的看门人(在一个信赖的企业网络和英特网或广大企业的商务合伙人，客户和其他成员的网络之间)。应该经常性地对企业网络进行危险评估。作为危险评估的部份，安全经理需要识别然后分类他们的网络和各部分的危险水平，然后给予适当水平的安全保护控制。高风险的系统包括那些妥协处理的或者破坏了的，能够导致重大的商务破坏，或弹回的系统。因为他们的功能由生意-技术的系统内各部分组成决定，所以下列装置和系统是典型的高危险：网络路由器，防火墙，数据库和应用服务。事实上每个类型的网络连接系统都应该被分类。一旦危险水平定向给网络设备，就该决定哪些类型的用户有权使用那些系统。典型的用户设置包括： 管理人/有特权的使用者，职员生意合伙者，客户和其他可能需要对内部系统的访问限制权限的外部用户。网络风险评估的目标是维护安全和对企业系统的使用权之间的微妙的平衡。网络应该定期接受风险分析。安全经理应该经常检查任何可以造成降低组织的安全姿势的网络的变化。这些变化包括对防火墙配置的变动和改变存取控制目录(ACLs)。当前的软件版本应该受到所有服务器网络设备的维护。

3．严密地维护强大的应用安全过程

安全监视小组，CERT 协调中心估计，百分之九十九的安全闯入起因于系统配置的开发错误。已知弱点管理方法的组织将比投资同样资源到闯入-发现系统的组织遭受攻击的机会减少90%。缓和事务技术系统风险最有效的方法之一是经常性的(每周，每月，每季根据资产价值， 威胁以及组织的风险缓和水平)扫描已知的易受感染的应用软件。一旦一个软件厂商出版软件更新，或 "补丁"， 企业应该立刻开始补丁测试及配置程序。黑客在软件厂商发行补丁的数小时或数天里面开始开发软件开发代码。攻击者开发蠕虫及自动化软件攻击一个大家一致认可的月最易受感染软件。

4．保持充足的雇员和物理安全防备措施

蠕虫，病毒，间谍软体和其他的以英特网为基础的攻击捕获标题，有权访问信用系统的雇员和其它知情人可能由于恶意或者疏忽造成巨大的损失。当商务制度被控制之前，应该把内部摄像机安置在通向数据中心的走廊上或通向数据重要服务器附近的其他的区域。需要建立并且增强有关访客如何进入退出的安全政策。应该小心注意资料处理中心的物理安全。通往资料处理中心的入口应该是防幅器。未实施强有力的认证（譬如生物测定学， 智能卡之类）的企业应该考虑使用认证。

为了缓和潜在的内部人员滥用的情况，新的雇主和承包商应该进行全面的犯罪背景检查。应该仔细地研究就业，教育及机动车驾驶历史。

5．有效地创建和管理用户帐户和密码

密码仍然是破解事务技术系统访问权限的主要方法。不幸地是许多以解密高手著名的应用在互联网上被广泛使用，它能在几秒钟内破解多数常用的密码。从账户密码创建到管理过程中，组织建立和维护有效的密码管理方针和规程是至关重要的。只要拥有足够的时间和资源， 大多数的密码能被一个有目的的攻击者破解。 除了当前使用地最容易被猜测到的密码和过去一直被用来获取资源访问权限 的" 字典 "攻击之外，还有被设计用来收集密码和账户的存取数据的日志，病毒和特洛伊木马。如果一个组织使用比较弱的密码以及在适当的位置长久使用相同的密码，这种验证方法的作用就会越弱。

强的密码由八个以上的字母组成。他们是不能在任何语言的字典或通常的俚语里面出现的词。密码不应该是朋友，家庭，伴侣动物，车辆，影片名(甚至不能向后拼了) ，与用户有微小关系的的社会福利数字，生日或其他任何与最终用户相关的碎片。强的密码创建应该是大小写混用并且应该包括信件的组合， 数字和特别的字母组合之类的。密码不应该在纸上记下或藏在书桌抽屉， 或键盘鼠标垫下面。

密码已经限制了使用-生活。系统级密码， 譬如那些过去经常用来访问网络设备和服务器/应用管理的系统至少应该每三个月改变一次密码。所有的特权密码或超级-用户密码应该在安全管理队列中的安全数据库中心进行维护处理及管理。基本的雇员密码过去经常访问商业应用，计算机，电子邮件等， 同样地每120天应该改变一次。尽管密码政策的知识得到广泛传播，组织仍然可能无法适当地产生，处理并且有效地注销他们的用户名和密码。

6．实现职员安全意识计划

每位职员都应该接受安全培训。职员需要了解他们组织的资讯安全方面的有关政策。当然不是每位职员都需要了解密码学， 保安系统建筑学。但当遇到保护私有和敏感客户信息的重要任务时更多组织需要CEO 级明暗设置。职员应该熟悉间谍软体及由于下载来自英特网和打开附件带来的未经认可的风险，而且他们应该随时防范那些被设计用来窃取来自信任的用户的用户名和密码的社会-工程技术。

7．加密实现存储数据的安全性

连续的备用带和未经批准访问法人数据库的连续新闻，更多值得注意的是"加密实现存储数据的安全性" 的有效密码技术：被储存在桌面，笔记本，个人数传助手，备用带和存贮阵列上的信息。密码技术的目标很简单：对任何一个无权阅读数据的人，使数据变成无法读取。密码技术系统使用数据钥匙来给数据加密 (回返可读性数据)。没有正确的钥匙，将乱码变成可理解的文本几乎是不可能的。安全裂口事件中，密码技术可能是防卫的最后一层。这就是组织需要对正常的商务行动设计既有效的且不引人注意的一个密码技术策略的原因。然而，企业需要决定该如何保护储存在服务器，应用设备和其他的存储设备上的所有数据。一旦组织完成了风险评估， 分类了他们的信息财产， 并且确定他们的高度机密信息，他们需要保证他们最有价值的私人数据被编成密码存放在一个高度安全的地方。密码技术需要连同强大的网络安全练习，身份证明和以政策为基础的数据工作存取控制。

8．数据转移中的安全性

当安全数据在应用，商务伙伴，供应商，客户和其他外部企业成员之间传播的时候，数据安全是关键的。当企业网络逐渐变成可访问的时候，数据在传输过程中被拦截或改变的风险也在加大。有许多方法可以在传输过程中加密数据，包括虚拟专用网， 和多用途安全设备， 把IDS， IPS， 防火墙，反病毒计划及其它的安全技术合并到一个设备中。另外的方法是由路由器和交换机厂商提供的基于服务器编成密码的解决方法。网络设备制造例如思科和杜松日益提高网络安全能力。然而，“自我防护的网络”从构思到成功之间需要很多年。

每种数据转移中的安全性的密码技术解决方案都有它自己的优点和缺点。举例来说，当基于服务器编成密码和安全方案把安全置于网络深处时， 许多解决方案容易变得更复杂及更难处理。他们也需要及时的巨大的投资和资源配置来处理网络和安全设置。目的的器械比较容易安装和处理，每个安全功能的功能性的质量：虚拟私用网络，身份证，IPS ，反病毒等可能并不能提供“ 最好—品种 —标准的”，但是仍然受到许多组织的偏爱。许多这样的厂商也没能通过功能性充分地整合各种不同的安全管理特点。当数据在他们的内部网络及他们的外部合伙人的网络中传输的时候，安全经理必须评估数据风险， 然后决定根据他们的资源为他们的环境设计出一种把传输数据编成密码的最适合的方案。