WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

评测导购 > 数据保护 > 正文

数据保护面临的四大挑战

Watchstor.com  佚名丨2009-11-10 18:12 标签:数据保护 存储资源管理 

今年的3.15晚会所暴露的用户信息泄露是大部分用户对此不满。和企业数据的泄露带来的损失直接影响着信息化的进程数据保护的重要性就在于能够使人们能够正常的工作。

在如此一个经济不景气时期思考这些问题具有特别的意义:恶劣的市场状况,企业消减开支、精简那些心怀不满的员工给渴望在全球数据系统领域得到尊重的黑社会发起有组织有预谋的攻击制造了完美的条件。

今天的我们正不得不面对如下的问题:记录的数据被破坏,强度和规模都有所增加的抢劫行动,以及专业黑客购买和销售的整套攻击技术和系统的漏洞信息。如果你读到消息称数千万美元被支付网络侵吞,要知道这其实并不罕见。

实际上,我们可以假设多重犯罪分子要想盗窃我们的身份有众多方式的选择。这些给我们带来的损失就是:数十亿美元的金额赔偿,品牌和名誉损害导致的不计其数的损失,呈螺旋上升趋势的审计费用,以及绞尽脑汁解决这些问题时人们的头痛。

数据破坏事件比仅仅遵守保密规定的花费要昂贵得多,因为规定永远都是在威胁已经发现后才被人们制定出来的,并可能演变成为能被利用的企业弱点。企业、付款处理机构、业务流程外包商,甚至非盈利组织都必须采取积极主动的对策才应对这些问题,或者,他们现在就必须去付诸行动。

挑战1:通过流程进行保护

Dataprivacycompliance(数据隐私规则)并不是一成不变的固定条款。尽管直到现在,全面的安全措施高昂的价格仍不能让人们接受,但是最佳的保护措施往往需要全面的保护。然而,最近规模扩大的企业中出现了一个新的数据保护的模式:一个“数据为中心”的办法,它从捕获时刻开始并贯穿整个生命周期,是真正端到端的保护,并对现有系统没有重大的破坏。这样的数据保护方法让系统可有效地抵御从外部到内部威胁,并且还大大降低了成本。

传统保护数据的方法通常强加了很大的负担,并且迫使人们改变应用程序和系统。例如,大多数企业或交易处理机构在现有系统上已经投入了大量的资金,并且大量的规定的数据可能需要留在原有的IT平台和网络上。举例来说,在应用程序环境中,系统存在着固有的复杂性和多样性,这意味着用传统的方法对数据进行加密需要IT基础设施的一次整体“大修”。更糟糕的是,静止数据加密(在实时的IT系统中少有静止数据)无法阻止(那些我们在今天越来越频繁地看到的)瞬间发生的攻击。

拿金融交易处理环境作为一个例子来说,在传统的加密方式中加密数据和对社会安全号(SSN)或信用卡号进行加密同样简单,会影响应用层社会安全号或信用卡领域的每个地方。由于从加密数据处理的变化,传统的方法将会对用户体验以及交易的反应时间产生影响。

tokenization或“datavaults”(原始数据的一个别名,指向真实数据,或者可产生真实数据的二级数据库)等其他的传统方法,只是简单地将问题转移到了另一个地方,同时还造成了更多的负担。例如,敏感数据的更多储存需求和业务连续性管理方面的巨大复杂性。再次,这并不现实,特别是在这样一个艰苦的市场环境下。

但是,好消息是出现了一些新的方法可以尽量减少这种影响。例如AES格式保留加密(AESFormat-PreservingEncryption)和Stateless密钥管理等技术可以让加密更新过程更简单和更具成本效益地融入到原有的应用环境中。

当然,数据加密也有其负面:一些规章制度给处理加密数据带来了法律以及其他方面的挑战。例如,目前支付卡行业数据安全标准(PCI)等规定和一些地方性法规(2010年内华达州和马萨诸塞州新颁布的法律)特别提出要对数据进行加密,而且还有一些规定需要数据的快速恢复程序,如电子发现(例如,美国证券交易委员会17A-4条)。

这就是为什么以数据为中心的保护方法必须考虑到数据的整个信息生命周期;如,一些业务流程可能会强加于已没有实际用途的数据上。如果不对这些数据进行销毁,只会对特定的交易的数据的日常用途造成妨碍。

在数据仓库技术中这变得至关重要。例如,StatelessKeyManagement就是以数据为中心的保护办法。当与强用户认证系统相结合的时候(如IdentityManagementInfrastructure),电子监管准入成为自然过程,而不是在被禁止使用,这让调查过程的复杂性猛然增多。以前的密钥在fly和数据恢复过程中还将有用武之地,并且在高审计访问和验证管理策略的控制之中。

挑战2:阻止犯罪分子

一些不用生命周期进行数据保护的方法造成了漏洞。例如只对静止数据(dataatrest)加密的方法,如本地数据库加密始终总是让攻击者通过多种多样的渠道(如SQL注入攻击)能够访问数据。包括利用数据库访问层的弱点和损害数据库切入点(如管理员帐户)。在遵守法规的企业中,这样的攻击事例不胜枚举,行业数据破坏报告(如DatalossDB.org)也全都是这样的案例。

这意味着需要对持续数据保护进行生命周期的重复检查,毕竟,管理支付交易的数据或计费系统中使用的客户信息等数据的应用程序会频繁地使用数据,很少有数据库储存交易的静止数据。事实上,数据经常是非静止的,除非是电池供电设备或者传统的非电力存储介质。当今世界是个以网络为基础的世界并会延续这种发展趋势,因此,保护策略必须更加全面,并且真正做到“端到端”的保护。

挑战3:你需要知道的敏感数据访问

应用环境中流动的数据需要被有效地分析,确定这些数据怎样被使用以及数据保护真正需要用在哪里。做好数据分析才有可能先建立风险文件夹并开始系统地使用高风险的数据流,例如数据库和管理社会安全号或支付卡数据的应用程序。结合了以数据为中心的解决方法的身份管理系统将支持基于角色的数据访问管理。这让世界变得两全齐美:一些现有系统中将会同时拥有角色和权限管理功能,如directoryinfrastructure或IDM平台和联合的验证系统。

有了这种办法,数据保护系统地抵御黑客的攻击,以及通过审计和控制流程下的生命周期管理进行破坏的犯罪分子。同时,这个技术解决了普通员工和管理员(他们需要管理数据但也许不需要经常看到实时数据,如社会安全号)职责分离的难题。支付卡行业数据安全标准PCI就是对这种职责分离管理有特定需要的一个很好的例子。

挑战4:下游的危险

最佳的做法强调的是企业内外部的持续数据保护,并且我们已经看到了数据在互联网明确的节点或从第三方系统遭到泄露的案例。在Hannaford超市的例子中,他们遵守了PCI,但是数据仍然遭到了盗窃,这是由于他们在网络上的不同节点是明确的。

如果移动设备被不法分子截获怎么办?第三方市场分析等与产品无直接关系的用途的数据或者在测试中和工程设计环境中的数据又如何进行保护?投入大量资金用于保护生产系统和数据中心的企业并不罕见,但是在应用软件开发商和其他外包商的系统中一些实时数据在偶尔情况下仍没有受到保护。

随着流行平台(如iPhone(的出现,人们越来越倾向于使用移动平台完成新的业务任务。然而数据隐私问题往往不允许这种新型的业务模式。好在以数据为中心的模式在这个领域中是比较理想的。例如,现在在移动平台上使用整合的技术对数据进行保护已成为可能,如格式保留加密(FPE)和高级的公开密钥技术如基于身份的加密技术(IBE)的结合。

一个案例是,我们需要使用携带新的客户数据iPhone作为设备来开设一个账户。在过去,这将带来一定的风险:我们需要为离线的加密数据储存一个密钥。现在,随着FPE和IBE联合解决方法和设备转换技术(如随时将iPhone转化为安全设备)的出现这些问题已迎刃而解。这个技术可同样被应用于POS系统,可从持卡人数据被截获的瞬间开启端到端的防护。

【编辑推荐】

  1. 数据保护技术原理详解
  2. 数据保护在数据中心的重要作用
  3. 数据中心保护措施概述
  4. 关闭数据执行保护的两种方案
  5. 浅谈服务器数据保护与虚拟化

相关资讯

今日微信独家

《华尔街日报》报道日前援引知情人士的消息称,由于被美国政府以国家安全问题为由进行调查,联想斥资23亿美元收购IBM低端服务器业务的交易陷入了停滞状态。
关注新浪官博 订阅微信订阅号

订阅焦点周刊

论坛与活动

2016中国数据加速峰会直播专题
2016中国数据加速峰会直播专题[详细]
点击查看

精彩视频

最新文章

1111111
1111111
asdasd
asdasd
同有科技应用型大数据存储在南京掀起智能风暴
同有科技应用型大数据存储在南京掀起智能风暴
斯蒂芬斯蒂芬
斯蒂芬斯蒂芬
京东双11技术备战 构建多中心交易系统
京东双11技术备战 构建多中心交易系统