企业往往面临两难境地。一方面,为使信息的价值实现最大化,它们必须向员工、商业伙伴和顾客公开信息。另一方面,这种公开使企业难以进行访问控制,也难以限制信息被复制的次数。如此一来,专有信息为企业内部所有员工甚至外部实体所掌握,从而提高了其落入恶人之手的几率。
为避免该问题的出现,企业需要采用深度防御策略来保护其敏感数据。它们应该从网络边界着手,然后延伸到操作系统和应用程序,并最终延伸到数据本身。
网络安全
网络是信息保护的第一层面。尽管企业已经采取了多种网络防护措施,但由于配置不当和不合适的外部连接覆盖,网络层面仍存在很多漏洞。
通常,如果要实现基本的网络保护,一台外部防火墙就足够;如果要实现更细致的保护,就需要更多的防火墙。例如,如果只有少数应用程序需要访问一些数据库,就需要将这些数据库与其他所有应用程序隔离。进行网络层面的保护可能需要企业做出比较大的投资。不过,从几千美元到十万美元以上的企业防火墙都有。
安装防火墙只是第一步。只有配置得当,防火墙才能发挥作用,阻止任何未经许可的访问。尽管采用这种网络配置方法具有一定挑战性,但它仍被认为是最佳方法,所以仍被大多数企业采用。
系统配置人员首先必须确定哪些网络流量是合法的,然后设置相应的过滤参数。通常,系统管理员面临的最大挑战在于探明和识别哪类因特网流量是企业许可和需要的。
确定了企业许可和需要的流量之后,防火墙就需要对任何不受欢迎的流量进行告警和/或阻断。此外,防火墙也需要提供内容过滤功能,以减少不需要的程序、恶意软件及信息进入企业网络(通常发生在浏览网页时)。
为确保防火墙提供所需的保护,应在网络边界处进行持续的监控和检测,以发现潜在的网络攻击和测试网络的易攻击性。
除了阻止不需要的网络流量,企业可能需要将其所在的网段进行隔离,以限制未经鉴权的用户和访客用户(guest user)进行接入。
混合防护方案,如网络接入控制(NAC),能够提供另一层保护。混合防护方案能确保等待接入网络的系统符合一定级别的安全标准。它会检测病毒防护软件的升级版本、当前可用补丁、浏览器设置限定,以及有效的个人防火墙。思科的网络存取控制方案(Network Admission Control)、微软的网络接入保护方案(Network Access Protection),以及其他单一解决方案提供商的网络接入控制方案都会首先检测系统是否符合上述要求,然后决定是否准允其接入网络。
根据网络环境的不同,实施网络接入控制方案的难易程度和成本可能存在很大差异。老式的网络架构可能不得不进行升级,才能适应网络接入控制方案监测、隔离或阻断系统接入的能力。大多数网络接入控制方案的实现都依赖于网络路由、服务和鉴权资源的使用。
实施基本网络接入控制方案的最低成本为两万美元左右。不过,根据网络规模的不同,实施成本可能高达数十万美元甚至更多。大多数企业需要花费至少三个月的时间来实施该方案,以及进行必要的“调优”(tuning)。
除了附加的硬件和软件成本,实施网络接入控制方案还会产生另一项成本。也就是说,企业需要花费时间和精力,以定义系统进行网络接入时必须满足的策略。实施网络接入控制策略的目的在于保护企业数据,但它不应阻碍正常的操作。借助经过深入研究和验证的策略,企业可以将网络接入控制策略造成的冲击降至最低,并最大程度地发挥防护功能。网络接入控制策略是与防火墙结合使用的。虽然防火墙主要用于过滤流量,但它无法评估发送该流量的系统的配置状况。
系统安全
最好采用经过强化的操作系统(如禁用不必要的系统功能或/和改变系统缺省配置)作为企业的标准配置。这类操作系统更易于支持和维护,且能够缩小企业系统的受攻击面。
尽管有了网络边界层的防护,企业仍然无法确定是否所有的网络攻击都不会穿越网络边界,除非它想阻止所有网络流量。显然,要想阻止所有网络流量是不切实际的,所以还应为每套系统配备独立的防火墙、入侵防护系统(IPS)代理及病毒防护软件。
应用程序安全
应用程序是许多网络攻击的主要目标,所以它代表了信息保护的第三层面。可采用两种方法提高应用程序的安全性:源扫描和易攻击性扫描。
首先是源代码扫描。源代码扫描往往在应用程序开发阶段进行,主要是对应用程序的易受攻击区域(如存储单元)进行扫描,以检测是否存在漏洞。如果软件不是由企业内部开发的,它可以要求软件供应商证明该软件已经过源代码扫描。
其次是应用程序扫描。其目的在于检测应用程序及其相关服务的配置状况。应用程序扫描应该在产品测试及生产结束后进行。应用程序(如操作系统)的安全性直接影响到经过该程序的信息的安全性。应用程序和数据库防护方案正日益成为防护应用程序攻击的附加手段。
数据安全
数据安全是降低敏感数据向内、外部泄露风险的最有效层面之一。在该层面,防护的焦点在于数据本身,其目的在于确保数据安然无恙,而不论其传播途径如何。数据的移动性正日益加强,因此数据安全防护至关重要。
由于数据安全防护方案正处在产品生命周期的早期,这些方案仍然存在一些不足之处。然而,完善的步伐正在日益加快。随着企业数据面临的威胁日益增多,企业有必要认真地考虑这些方案。数据安全防护涉及的技术包括数据加密和数字版权管理(DRM)。
建议措施
企业主管和安全专家不能再对数据安全问题坐视不理了,现在是他们采取行动的时候了。
加密。企业可以对敏感数据进行加密,然后将其存储于数据库,在网络或因特网上传输,或保存为其他文件类型。最好是将加密信息随敏感数据一起传输。这往往需要借助其他的加密方法[如公共密钥体系(PKI)和版权管理]才能实现。
如果保护企业敏感信息还不能成为数据加密的足够动因,众多标准都强制规定了加密的必要性。许多标准规定必须对传输和存储的数据进行加密。这些要求对备份系统和数据同样适用。
移动设备。移动设备是最新出现的数据泄露途径。移动设备的连接能力和强大功能提升了企业的生产效率,但也使更多的敏感信息向更广的范围扩散。由于员工倾向于将移动电话和个人数字助理(PDA)视为个人财产,而不是企业资产的一部分,敏感信息面临受攻击的风险越来越高。企业必须采用防护策略和技术来降低这种威胁。
笔记本电脑应至少拥有经过加密的、即使系统完全启动后也受保护的目录或驱动器。一些供应商已经提供了全磁盘加密技术,以便对整个硬盘驱动器进行加密。例如,微软已在其Windows Vista和Windows Server 2008系统中添加了提供驱动器和卷加密功能的BitLocker驱动器加密技术。
最新的移动操作系统(如移动电话和个人数字助理中的操作系统)提供了更高的安全性。例如,微软的移动电话平台能够将一些群策略扩展到手机,并提供了一些基本的数据加密功能。
有些移动电话支持系统管理员远程擦除数据。如果移动电话被挂失或被盗,这种功能非常有用。此外,大多数的运营商能够对移动电话进行重置,并有可能擦除存储在移动电话上的敏感信息。
版权管理。对敏感数据进行控制和保护的有效途径之一,在于限制哪些用户具有访问数据的权限,他们可以对数据进行何种操作,可以在何处发送信息,以及可以在何种环境下使用这些信息。数字版权管理解决方案可以通过对用户的接入权限进行电子化设置和控制,以实现上述目的。这些方案也可以确定数据是否被修改、拷贝、打印、电邮,或存储于便携式存储设备。其软件还能够提供有关所有信息操作的审计日志。
版权管理的方法多种多样。一些方法需要借助公共密钥体系,而另一些则不然。公共密钥体系为用户提供双因子认证(two-factor authentication),且能够对公网上传送的数据进行加密。
微软Windows权限管理服务(RMS)要求采用数字证书作为其公共密钥体系。权限管理服务是一种信息保护技术,它能够与支持该服务的应用程序共同使用,以保护数字化信息被非法使用。它可以运用于在线和离线环境,也可以运用于防火墙内侧和外侧。
权限管理服务采用持续使用(persistent-usage)策略对信息进行保护。这意味着无论信息被发到何处,这些策略都将相伴左右。借助权限管理服务,企业可以防止敏感数据(如财务报告、产品规范、顾客数据、机密电子邮件)被有意或无意地泄露给非法用户。
泄漏防护。信息泄漏防护(ILP)是相对较新的信息防护领域。它也被称为数据泄露预防。它是版权管理的一种变体,且常被企业用来进行更大范围数据防护。版权管理倾向于将一些文档和文件类型进行打包,以便对其进行保护;而信息泄漏防护更注重对企业的网关进行保护和监控。
信息泄漏防护解决方案关注的焦点在于,防止敏感信息经电子邮件、文件传输、立即消息、网页发布、便携式存储设备或介质等途径泄漏出去。该方法要求与邮件服务器、网页服务器等网络基础设施进行集成。信息泄漏防护传感器被设置在数据离开网络的点,以便在敏感信息将要离开网络时进行告警和/或阻断。
大多数信息泄漏防护解决方案都提供了一些缺省模板,以便识别常见的敏感信息。企业可以对模板进行定制,以满足其特定的需求。
信息泄漏防护等解决方案只不过是成功信息安全策略的一部分。其他部分包括前文所述的,对数据本身及其经过或驻留的应用程序、系统和网络进行保护。采用这种深度防御策略,企业能有效防止其专有信息落入居心不良的人手中。