数据存储安全存在的灾难

数据存储安全存在的灾难

整理：

想想你能猜出存储数据安全面临的第一大威胁是什么呢？如果你说是黑客或者惹事生非的公司内部人员，那你就错了。尽管恶意威胁是个老大难问题，但出于好意的员工更有可能在无意中泄露贵公司的存储数据，比如通过文件共享网络或丢失的笔记本电脑泄露数据。

实际上，安全咨询机构波耐蒙研究所（Ponemon Institute）的一项近期调查发现，粗心大意的内部人员无疑是数据安全面临的最大威胁，占到了所有泄密事件的78%。P> 在这篇特写报道中，你将了解一些最新的数据保护技术，不但可以保护公司内部的存储数据，还可以保护通过笔记本电脑、磁带及其他移动介质随意进出贵公司的存储数据。

遗憾的是，数据泄密事件对企业界来说已经成了一种生活方式。据美国身份失窃资源中心（ITRC）声称，2008年登记在案的数据泄密事件比前一年增加了47%。身份失窃专家兼加利福尼亚州欧文Identity Doctor公司的创办人Craig Muller表示，而那些事件只是媒体公开报道的事件。他说：“我经常接到电子邮件，说是哪家公司发生了泄密事件。”

公众绝对感受到了疼痛。在2008年波耐蒙研究所开展的一项调查中，美国各地的1795名成人调查对象当中超过一半（55%）表示，自己在之前的24个月里接到过至少两起数据泄密事件通知;8%的人表示接到过至少四起这类通知。

但是公司对于如何保护自己仍然心里没底。在波耐蒙研究所上个月发布的调查中，接受调查的577名安全专业人士当中只有16%表示，自己对目前的安全做法防止客户或员工的数据丢失或被偷表示有信心或很有信心。

提升信心的一个办法就是分析实际的泄密事件，并从中汲取教训。下文剖析了五种常见的泄密事件，并且给出了如何避免类似灾难的忠告。

一、设备被偷

回顾：2006年5月，为美国退伍军人管理局工作的一个分包商在家里丢失了笔记本电脑和存储磁盘后，有关2650万名退伍军人的个人数据被泄密了。后来两样东西都找回来了，相关人员也被绳之以法。联邦调查局声称，数据没有被窃取;但这起事件促使退伍军人管理局进行全面整改。然而，2007年1月发生了另一起泄密事件：当时退伍军人管理局在亚拉巴马州的一家医疗机构丢失了一台笔记本电脑，结果导致53500名退伍军人和130余万名医生的个人数据泄密。

代价：到2006年6月，退伍军人管理局每天花20万美元来运营呼叫中心，答复有关泄

密事件的问题。它还花费100万美元打印及邮寄通知函。经过批准，退休军人管理局重新划拨了多达2500万美元的资金，以支付这些成本。一群人还提起了集体诉讼案，包括要求为受到影响的每个人赔偿1000美元。在2007年那起事件后，退伍军人管理局另外留出了2000万美元，以支付泄密事件有关的成本。该部门最近同意向目前及以前的军事人员支付2000万美元，以调解集体诉讼案。

提醒：设备丢失或被偷在所有泄密事件中占了最多的比例——ITRC表示，2008年约占20%。据律师事务所Seyfarth Shaw芝加哥办事处的合伙人Bart Lazar表示，涉及丢失或被偷笔记本电脑的事件占了他平时接手的数据泄密案件的大部分。

教训：Lazar建议禁止把个人识别信息放在笔记本电脑上。比方说，不要把客户或员工的姓名与其他识别信息（比如社会保障号或信用卡号）联系在一起;另外，你可以截短这些号码。还有，不妨考虑使用自己的独特识别信息，比如把某人姓名中的几个字母与社会保障号的后四位数结合起来。

第二，要求笔记本电脑上的个人信息进行加密，尽管这么做成本可能很高（每台笔记本电脑为50至100美元），还会影响性能。网件公司的存储安全宣传官、存储网络行业协会存储安全行业论坛副主席Blair Semple表示，除了加密外，还需要加强这方面的意识。他说：“我见过人们能够加密但没有加密的情况。对信息进行加密很容易人，难就难在管理及部署方面。”

第三，Lazar建议实施政策，要求使用非常强的密码，以保护被偷设备上的数据。

二、内部人员窃取

回顾：2007年11月，富达国民信息服务公司（Fidelity National Information Services）旗下子公司Certegy Check Services的一名高级数据库管理员利用权限访问，窃取了属于850余万个客户的记录。随后，他把这些资料以50万美元的价格卖给了一经纪人，该经纪人转手卖给了直接营销商。后来这名员工被判处四年以上徒刑，并处罚金320万美元。据公司工作人员声称，没有出现身份失窃，不过受到影响的客户们收到了当初购买这些资料的公司发来的推销广告。

在另一起重大案例中，杜邦公司一名工作了十年的资深科学家下载了价值高达4亿美元的商业机密，随后在2005年年底离开公司、转投杜邦在亚洲的一家竞争对手。据审判记录显示，他利用权限访问，下载了大约22000份文档摘要，并且浏览了大约16700个全文PDF文件。这些文档涉及杜邦的大多数主要产品线，包括一些新兴技术。这名科学家与那个竞争对手偷偷商谈时进行了下载活动，他在接受这份差事后下载了两个月。最后，他被判

处在联邦监狱服刑18个月，缴纳罚金3万美元，还被判支付赔偿金14500美元。

代价：在杜邦案中，商业机密的价值估计超过了4亿美元，不过政府估计这家公司实际损失了大约18.05万美元。没有证据表明机密信息被转移到了共同作案的那个竞争对手。

据Semple声称，客户信息被窃带来的损失几乎总是超过知识产权被窃。以Certegy案为例，2008年达成了调解：为个人信息或财务信息被窃取的所有集体诉讼原告提供高达2万美元的赔偿，弥补身份失窃造成的某些未赔偿损失。

提醒：ITRC表示，2008年登记在案的泄密事件中近16%归因于公司内部人员。这比前一年的比例翻了一番。导致这种增长的一个原因就是，如今招聘员工的是与犯罪活动有瓜葛的外部人员——据卡内基·梅隆大学CERT协调中心声称，这个趋势可解释1996年至2007年所犯的内部人员犯罪的一半事件。

CERT表示，内部人员犯罪有两个原因：一是为了获取钱财（如Certegy案），另一个是为了获得商业优势（如杜邦案）。CERT表示，在后者当中，犯罪活动通常在违法员工辞职后就开始了。但窃取活动通常在他们离开公司后进行的，留下了一条秘密通道，以便访问所需数据。

Semple表示，内部人员窃取是最难对付的，特别是员工使用授权访问时更是如此。

教训：CERT表示，一条有效的防范措施就是，监控数据库和网络访问权限以查找异常活动，并设置阈值，表明不同用户的哪些使用是可以接受的。这样一来，如果负责某项任务的员工所做的事超出了正常的职责范围，就比较容易发现。比方说，杜邦之所以能发现非法活动，就是因为那名科学家使用电子数据库服务器过于频繁。

如果怀疑发生了泄密事件，CERT表示重要的是行动要迅速，以便尽量减小信息被进一步传播的可能性，并且让执法部门有机会开始调查案件。

Lazar表示，公司还应当实施基于角色的访问控制工具，以便严格控制谁在访问宝贵资产。含有客户或员工信息的数据库允许的访问权应当非常有限。他说：“每天有多少人需要未经许可、查看社会保障号和地址？个人信息受到的保护级别应与商业机密一样严密。”

Muller建议使用数据丢失预防工具，限制个人数据被电子邮件发送、打印或拷贝到笔记本电脑或外部存储设备上。要是有人试图拷贝个人数据，有些这类工具会发出警报以通知管理员，并且为这类事件建立日志文件。他说：“许多情况下，公司没有落实合理的跟踪记录系统。”

Semple表示，加强内部控制和审计措施也很重要，比方说反复检查网络和数据库活动日志。单单维持详细的日志还不够;你还需要落实审计措施，查看有没有人改动日志或非法