数据安全性:'关于信息的一切,愚蠢的

在过去的几年中,商业环境发生了变化,导致安全组织如何运作以保护其负有责任的企业的根本改变。

1 2 Page 2
第2页,共2页

保护信息的技术控制尽管上述组织和以人为本的要素对于任何保护数据和信息免遭滥用和不当披露的计划的成功至关重要,但仅这些要素不足以提供最大程度的保护。

至此,我们已经讨论了组织中数据分类政策的需求,以及围绕用户意识,培训和事件响应具有适当结构,激励措施和能力的需求,以持续不断地就该政策对社区进行教育。

为了正确地监视和执行这些策略,需要合理实施适当的技术解决方案,以为围绕企业中数据和信息的保护而建立的策略和过程提供“牙齿”。

有几个技术要素构成了良好的信息和数据保护框架。这些元素包括:

  • 成熟的身份基础架构
  • 数字或企业权限管理
  • 防止数据泄漏
  • 加密

身份基础结构是大多数其他工具和解决方案类型赖以正常运行的基础。没有正确的身份,就不可能在整个企业中对信息资源进行一致的权利和特权分配。大多数组织在其身份基础结构中有许多活动内容。某些部分总是会丢失或无法充分发挥其潜力。没有可行的身份基础结构,许多专门用于监视和保护信息和数据的工具充其量只能获得有限的成功。在最坏的情况下,它们可能被视为失败。一旦建立了具有一组精细的用户属性的可靠身份基础结构,便可以部署其他解决方案来保护数据和信息。

DRM / DLP难题数字版权管理(DRM)解决方案利用身份基础结构的访问和授权标准在文档级别对内容进行加密,以防止知识产权和敏感信息的滥用,修改,丢失或被盗。

相反,数据泄漏防护(DLP)解决方案根据定义的标准(例如文档中的标签,关键字搜索等)监视网络和端点上的内容。扫描内容并满足搜索参数的条件时,将触发规则。在不太复杂的解决方案中,这些触发的规则会导致某种类型的警报,通常是发给管理员的电子邮件,该管理员根据已建立的响应程序进行决策和查询。在更复杂的解决方案中,内容实际上可以由解决方案基于规则集阻止或隔离。

乍一看,DRM和DLP似乎是相互竞争且互斥的解决方案,它们采用不同的方法来解决同一问题。对于这些类型的解决方案,市场上存在同样多的争议和混乱,这从许多方面减慢了解决方案集的成熟度以及它们在市场上的主流接受度。

这两种解决方案集都有其优缺点,一些供应商试图说服潜在客户他们的解决方案将解决他们在信息和数据泄漏方面的所有问题。事实是,这些解决方案中的大多数在作为单个解决方案部署时,只能提供部分保护,以防止数据或信息丢失或泄露。其他供应商警告说,他们的解决方案仅提供保护,防止意外或意外丢失或泄露数据或信息。这些解决方案没有明确的主张来防止故意丢失或泄露数据和信息。

重要的是,如果在组织内部署和发布这些解决方案之一作为信息和数据保护的“银弹”,则安全从业人员不要被错误的安全感所困扰。

这两种看似竞争的技术与几年前出现在安全行业最前沿的另一组技术有着惊人的相似之处。在这十年的早期,入侵检测系统(IDS)开始成熟并朝着整个安全界主流接受和采用的方向发展。不久之后,入侵防御系统(IPS)便被引入并作为IDS的逻辑演进而提出。引入IPS后不久,许多信息安全专家都宣称IDS已经死了,IPS永存!技术的发展在很大程度上已经发挥了作用,归根到底,这两种技术在企业中都占有一席之地。

近来,尽管规模较小,但有关DLP技术解决方案的声明也类似。一旦检查了DLP和DRM技术,很明显,任何企业中都有一个地方需要对其数据分类策略进行全面监视和实施,以保护其数据和信息免遭不当使用。

回到这些技术与IDS / IPS技术之间的类比,很明显,您在使用IPS技术的地方添加了要阻止的内容,并确定只有特定的不适当流量会受到影响。在没有确定性的区域中,很明显,您使用IDS技术来监视,警报,响应和在环境中进行更改以消除已识别出的不需要的流量。

类似地,对于企业中部署的DRM和DLP技术,可以使用相同的方法。 DRM解决方案可用于已正确分类并驻留在已知信息存储中的信息。一旦服从DRM解决方案的企业政策,该信息就将在其生命周期中受到保护,并可以根据组织保留政策或怀疑存在不当使用该信息的情况,在适当的时间予以淘汰。

对于尚未分类和/或未驻留在已知信息存储中的信息,可以采用DLP解决方案。当DLP解决方案检测到关键内容时,可以对其进行正确分类,移动到适当的信息存储中,并服从企业DRM策略和治理。

任何信息和数据保护程序的最后一个元素是在企业中所有高风险设备上采用加密。这通常意味着笔记本电脑和移动设备。重要的是要确定企业中存在的所有类型的信息,这些信息可能不受DRM解决方案的限制,或者本质上无法由DLP解决方案在其生命周期的某个时刻检测到。

这些都是需要传统加密解决方案的领域。此类信息的示例可能是从客户以批量传输方式接收的用于处理或分析的数据,这些数据由于客户的偏好而以未加密的格式进入环境。数据一旦出现在您组织的系统中,除非法律协议中的特定语言另有说明,否则您可能会对组织负责。当此数据通过组织传递时,通常不会对源数据进行分类,而仅对处理或分析的输出进行分类。再次明显地要求对可能最终导致该数据的所有位置进行加密。便携式计算机,文件服务器和移动设备上的全磁盘和卷加密的组合将为此类信息提供最大的保护。

通过将这些解决方案与良好的用户认知度和培训,适当的策略和流程结合使用,可以实现一种经过深思熟虑的解决方案,以降低信息和数据泄漏的风险,从而针对这些风险领域采取了一系列合理的控制措施。

总结总而言之,除了基础架构之外,还有几件事促使需要保护信息和数据:

  • 黑客和网络罪犯的思想和动机发生了变化。
  • 认识到它是信息,而不仅仅是需要保护的基础架构。
  • 使用各种可能的工具和实用程序来增强技术精湛的员工队伍,以提高其生产力以及与工作中,在家中或路上的其他人的联系。
  • 企业范围的故意破坏以及合作伙伴,客户和供应商之间增强的协作。
  • 管理组织中存在的信息和数据的法规压力日益增加。

为了达到合理水平的信息和数据保护,需要在组织内采取以下措施:

  • 理解企业中各种类型的信息和数据的重要性的工作人员;
  • 对个人和组织滥用此信息的后果;
  • 了解给定企业中存在的所有信息输出媒介;
  • 制定适当的控制措施,以解决已经确定的信息出口媒介;和
  • 实施适当的技术解决方案,以随着时间的推移监视和实施这些控制。

防止数据泄漏计划的基本要素包括:

  • 数据分类策略
  • 用户培训和意识计划
  • 总体上将安全性和员工政策确认中以及个人绩效目标中的关键信息的数据泄漏/保护包括在内
  • 成熟的身份基础架构
  • 数字版权管理(DRM)解决方案
  • 数据泄漏防护(DLP)解决方案
  • 根据风险对目标设备进行加密
  • 成熟的事件响应能力

许多组织至少已经适当使用了其中的某些元素,并且已经具有某种功能。根据组织的风险承受能力,应考虑将那些尚未存在的要素添加到任何长期安全策略中。

贾森·斯特拉德利(Jason Stradley)是英国电信的高级安全顾问,为《财富》 500强客户提供行政级别的战略安全和业务咨询。可以通过[email protected]或通过(630)525-1834与他联系。

这个故事“数据安全:一切都是关于信息的,愚蠢的”最初是由 公民社会组织.

版权© 2009 IDG通讯,Inc.

1 2 Page 2
第2页,共2页