不长记性的英国人:保证数据安全的两条生死底线

DoSTOR编辑观点:时隔不到半年,英国皇家税务及海关总署(HMRC)丢失包括约2500万人的个人资料和银行信息的两张重要数据光盘的事件仍未平息,英国汇丰银行也加入到了丢失光盘的行列中来,这一次,英国人再次通过邮政快递递送了两张数据光盘,这次的两张光盘存有37万名寿险投保客户资料,包括姓名、生日和投保等级。虽然汇丰银行发表声明说,"遗失光盘中不包含任何客户的地址和银行账户信息,因此即使它对犯罪者有用,也非常有限",但是英国人不到半年两次通过邮政快递递送包含重要数据的光盘,并同样毫无任何头绪的丢失两张光盘,不仅让英国民众觉得自己的数据处在极度的危险当中,而且也再次扣响了全球数据安全问题的大门。

实际上,在这半年中,英国还发生了两起严重的数据丢失事件:12月,英国最大保险集团诺威奇联合保险公司的一些客户资料被骗走,随后英国最大住房抵押贷款供应商之一–全英房屋抵押贷款协会去年被处以98万英镑罚款,原因是该公司的一名雇员的手提电脑在家里被盗,内有客户的保密资料。目前值得庆幸的是,这些数据都经过严格的加密程序,对于大部分的犯罪分子来说,基础的加密/解密知识并不能帮助他们揭开这些数据的真实,而对于很少的一部分高智商罪犯来说,破译这些数据恐怕也不是件容易事。

不过,频频发生的数据丢失事件却告诉我们一个最重要的信号:许多人恐怕并未对数据的安全性问题产生足够的重视。

对于保障数据安全性的工作步骤来说,在很多专家看来,保证数据安全有两个最重要的工作需要做,同时,这两项工作也是所有保证数据安全的底线。

第一,对数据进行加密,赛门铁克公司的Roger Cummings勾勒了一个包含九个步骤的对静态数据进行加密的工作清单,从最开始的理解为何要进行加密工作,如何紧密的与公司的法律顾问和公司管理人员进行交流以确定监管任务,并发展企业的战略计划。他认为,激活加密是最后一步,在此之前,企业对数据进行分类并清查资产,对不良数据进行分析,尽可能从源头上进行加密,他着重介绍了在一系列的数据保护需求下如何设计解决方案,并进行数据调整以落实解决办法。技术顾问Richard Austin也认为对于静态数据的数据加密工作,是一种万不得已的措施,尤其需要精心规划和有条理的执行。

第二,数据传送要从网络而不是通过邮政速递,实际上,据BBC爆料说,英国皇家税务及海关总署在去年丢失两张光盘之后,又丢失了另外的6张光盘。这些光盘仍然是从英国皇家税务及海关总署的位于英格兰北部办公室邮寄到伦敦的办公室时丢失的。算上这六张光盘,从英国邮政快递系统丢失的数据光盘至少已经有10张之多了。在这些事件中,英国皇家税务及海关总署和英国汇丰银行丢失的数据,全部"得益于"他们使用邮政快递来递送数据光盘,在我们慨叹英国人为何如此不长记性之外,也告诫我们,通过网络传输数据或许比通过邮政快递要安全的多。在2008春季SNW大会上,有业界专家表示,从互联网传输数据并不是很可怕的一件事情,尤其是在对数据进行加密、分布式存储以及利用VPN等安全技术之后,而且如果受到安全威胁,通过互联网传输的数据可以随时暂停,而且在这期间即使被窃取数据,也只会是部分数据,对数据整体的安全性也构不成威胁。

老生常谈,这是很多人对数据安全性问题的第一反应,但无论是汇丰银行还是英国的政府机构,看起来谈的还不够多,其实,保证数据安全最关键的还是意识,只有建立起绝对的安全意识才会去注重数据安全性的工作,英国人频繁丢失光盘的事情应该给我们一个提醒–当然不是不要用邮政快递来递送光盘,也不是同样的错误不能犯两次,而是我们必须明白,我们手中的数据有时候可能会成为一把双刃剑。