采用新技术的时候要关注数据安全

国内不少单车骑友或摩托车爱好者在路上是不怎么喜欢带头盔的,同时也缺乏相应的法规约束。那么在时速超过35千米/小时的情况下,不戴头盔的单车事故致残率超过75%.很多骑友并不是不清楚这点,只是认为这种事情很难遇上。这和我们今天的数据安全形式非常类似,早在10年之前就有人指出数据泄密会给企业造成致命的影响,大家虽然知道后果很严重,但总会以为这种倒霉的事情不会落到自己身上,同时也缺乏相应的政策要求,所以通过系统化的策略部署实现完整数据分级保护的用户是屈指可数的。

而且有意思的是,和不少骑友迷信高品质单车不容易出事故一样,很多信息管理员认为采购了大量先进的IT基础架构,部署了各类管理系统就自然而然具备了相应的安全性,实际上这是不太准确的。来自于软硬件系统层面所造成的信息外泄十分有限,数据安全和 IT信息化程度的关系并不大。美国军方的IT化程度毋庸置疑,然而维基解密就曾公布过美伊战争和美国驻阿富汗的数万份文件,直接威胁到美军情报部门,并给美国造成重大的外交损失。同样在国内,中国最大的开发者社区CSDN在去年年末遭到黑客攻击,被窃取约600万用户的账户信息。

数据信息安全在许多时候是一项系统工程,其中涉及到策略制定、审批制度、人员管理、区域控制等多方面的内容,并不完全取决于IT技术的应用水平。最简易的加密机房就是将所有涉密设备封闭在一个孤立的环境中,当然这会增加不少使用和管理上的难度,而且风险容易出现在从封闭环境中取出数据后对信息的把握和跟踪上。同时,市场上在安全领域也有诸多产品,应用于数据加密、DLP(数据泄露防护)、内网安全、行为审计等,但问题在于目前这一市场尚无权威的标准规范可循。

因此,许多有着等级或分级保护要求的用户会根据不同时期不同的策略要求,而部署相关安全防护措施,但是由诸多技术拼凑的产品很多时候无法形成完整的安全防护体系,使得虽然增加了应用和管理上的成本,却又无法真正形成有效的信息防泄漏体系。

当然,你也可以选择什么都不做。鸵鸟策略确实是不少企业应对风险的做法,但至少让管理层对此有一定的认识,并对可能出现的损失进行正确评估。因为威胁入侵以及数据泄露的灾难可能是非常可怕的。今年3月在伊朗发作的震网病毒直接摧毁了伊朗布什尔核电站1/5的离心机,并造成了核泄漏,如果伊朗当初在考虑选择Windows作为操作系统之前可以评估到这点,或许其决策和事情的发展情况就会有所不同;同样在数据泄露方面,去年当当在线购物网站疑似泄露了大量用户信息,对该企业的业务和声誉造成了不小的麻烦,而以现有技术对账号进行安全管理确又是十分简便的。

而且,更大的风险来自于各项新技术的应用。诸如云计算和物联网技术一方面以指数级别增加了海量的数据信息,另一方面又迫使IT部门需要将更多原本可以封闭起来加以保护的信息放在更为开放的平台上提升效能。

有调查表明在妨碍云技术普及的各项因素中,数据安全以及对信息泄露的担忧分别是用户最为关注的第一、第二条项目。即便是在私有云中,由于很难明确数据实际存放的物理位置,财务和人资部门的机密信息可能会泄露至其他部门。而如果考虑混合云或利用公有云资源的企业可能对其机密文件的存取存在更大的顾虑,这些文件可能在归档时已经经过压缩加密,但仍有泄密的可能,并且数据在取回时是否存在风险也需在防范考虑范围之内。

截止目前为止,云基础架构供应商,特别是存储技术供应商在安全领域似乎还没有非常成熟的产品推出,并且在这一领域有诸多政策方面的限制。而国内安全厂商对于云的理解稂莠不齐,各自遵循的标准亦不相同。因此用户在考虑应用这些新技术的同时,对数据安全还应当有充分地斟酌。