擺事實講道理 論數據安全防護的“表里”難關
信息時代,由于信息技術和互聯網的不斷深入,人們逐漸開始認識到自身數據與信息安全的重要性。而作為信息時代的企業,依靠數據、利用數據成了向前發展的必要手段。而國家,在這個時代可稱之為一個數據與信息的結合體,防護國家的信息與數據的安全成了一個國家的國防新標準。
雖然數據安全同信息技術與互聯網一樣正在深入更多的領域,但其真正問題也或許來自于此,由于不斷深入不同的領域,數據安全問題正變得越來越多樣,而在不同領域,數據安全防護的需求也各有不同,這也給與之相對應的信息安全技術與數據防護技術提出了更高的要求。面對如此的狀況,數據安全該如何應對?下面就讓這方面的專家山麗網安來告訴您吧。
就數據安全本身來說有“表”“里”兩大難關需要攻克
其實在數據安全領域,早有人把問題分為“內”“外”來加以區分,“外”是指來自外部的入侵,主要是黑客攻擊、網絡攻擊、病毒入侵等;而“內”主要來自系統的漏洞或者內鬼。這樣的分類固然符合現在的防護現狀,但卻忽略重要的一點,那就是排除“人”的因素。
眾所周知,“人”是最難以控制,不管是外部的黑客還是內鬼,因為你永遠不知道黑客擁有怎樣的攻克技術,內鬼的級別到底多高,潛伏到底多深。所以通過防護“人”與管理“人”來達到數據安全的防護,往往只能達到相對安全的標準。
不過,一旦排除了人的部分,或者說只剩下客觀的數據與信息的話,防護標準或者方法就變得相對簡單和清晰了。而在這種情況下,其實也分為兩層,姑且我們稱之為“表”和“里”吧。
表層問題——數據安全正遭遇更多種類的外部襲擊
即使排除了變化最多的黑客因素,客觀的外部數據安全問題依然變化多樣。
以前IP的網絡環境,計算環境還是滿簡單的。自從接入互聯網之后,各個方面的安全威脅將企業內外部的混雜在一起,傳統的安全老三樣已經不能很好的解決安全問題,這些安全威脅都跟經濟利益相關,跟國家利益相關。包括移動接入,BYOD、云服務等,IT基礎架構的變革帶來整個市場需求的變化。
同時,網絡威脅給全球帶來巨大威脅,全球損失了4450億美元,網絡威脅給經濟帶來的損害越來越嚴重,過去國內的網絡安全還為上升層面,隨著網絡信息安全領導小組的成立,今年開始,各個省市在落實地方的網絡信息化安全領導小組。國家整體注重網絡安全,對廠商、集成商、代理商來說都是非常好的機會。
里層問題——漏洞仍是最大的威脅
在內部雖然內鬼神秘莫測,但個人、企業甚至政府機構使用的各種軟件所具有的“漏洞”依然是必須首要解決的問題。
為了更好的說明這個問題,下面引述一段“軟件安全老兵”的對話。
即使是最好的軟件也有漏洞,但通過在開發周期早期階段的關鍵控制,企業可以像進行功能測試和質量保證一樣檢查安全漏洞。現在很多企業安全人員沒有時間顧及應用安全性,而健康保險公司Aetna首席信息安全官James Routh已經在引領開發第五個軟件安全程序。
總是有些人反對軟件安全程序。我肯定你也聽到過他們的反對意見,他們常說:我們不能慢下來,我們不能受到限制。你如何應對這些反對意見?
James Routh:人們真的很難會反對省錢、提高質量和降低風險的程序。我擺出了簡單的事實,說明每個屬性和承諾,這件事情我常常做,所以比較容易。現在開發人員并沒有異議,但項目經理仍然怨聲載道,他們還沒有明白這樣做的好處。我現在使用的很多移動應用工具并不知名,所以我通常是從不熟悉它們的移動開發人員那里獲得反饋。在這些情況下,我只是使用行業可用的數據來說明攻擊者可以非常容易地感染移動應用,以及通過二級渠道傳播它。現在發現的大多數漏洞都是移動軟件分發過程受到攻擊的結果。
底線是,當你使用經濟利益作為推動因素時,推動軟件安全程序會變成簡單的工作。成功部署程序更多是關于改變行為,而不是部署技術,因此,我們將安全作為軟件質量的屬性重新明確了開發領導者的角色(掌握過程和結果),而安全部門則負責設計控制和衡量有效性,這主要也是為了有助于開發領導者的工作。
讓我驚訝的事情是你在使用數據指標,而不只是口頭上說,“這是我們應該做的事情”,你可以解釋它如何能節省資金來避免損失和周期外維護。你能否告訴我你的數據指標有哪些?
James Routh:當安全控制部署到開發過程時,主要有兩個提高生產效率的基本驅動力:首先,企業安全API(Enterprise Security API)等框架和開源組件選擇及靜態分析工具,可以防止漏洞進入應用構建過程,這消除了修復漏洞和缺陷的成本。其次,與在生產過程中發現漏洞相比,在質量保證中檢測到漏洞,然后修復高優先級的缺陷,在時間方面更節省時,且成本更低。
我計算了修復生產后期漏洞所需時間(高度復雜漏洞修復=8小時;中等復雜程度=4小時;簡單修復=2小時),并比較開發過程中修復漏洞所需時間,然后乘以高風險漏洞的數量。我使用每小時標準恢復量作為成本,例如125美元,這是FTE開發人員(供應商和第三方顧問公司進行開發)的行業平均每小時成本。其結果是,除了將漏洞修復從生產后期轉移到質量保證或生產前期節省的成本外,這樣做還可以“提高生產效率”。而通過消除或減少修復漏洞的工作所節省的開發時間還可以重新投資于在更少時間內提供更多功能。
我不明白的是,為什么很少高管像你這樣“懂”。你認為我們可以怎樣做來提高對這個話題的理解?在過去15年,我們看到很多“滲透和修復”,以及各大軟件供應商不斷推出修復補丁,如果這不是危險的信號,那是什么?我們可以做些什么?
James Routh:70多家公司現在使用BSIMM數據衡量其軟件安全程序的成熟度,軟件安全的知識體系已經明顯改善。你問我為什么領導們很少明白這一點,這是很合理的問題,我的觀點是,很多人明白軟件安全的經濟推動因素,并且跨行業部署了更有效的控制。我們比十年前更懂得軟件安全做法,我在這里與你分享的信息其實已經公開化。
在推出補丁修復的很多軟件廠商中,他們也有成熟的軟件安全程序,包括微軟、Adobe Systems和EMC等。現實情況是,完美和軟件并沒有關系,我們總是會有機會來發現和提高軟件漏洞。
我們正在嘗試新的東西,我們將所有控制部署到web應用,并且基本上眾包了應用的滲透測試來查看應用的情況。這意味著軟件研究人員將會執行滲透測試,并與我們分享其結果。
我非常希望在這個過程中發現新的漏洞,盡管在此之前對相同軟件版本已經執行了幾十次測試。這也有可能幫助我了解我們開發過程中部署的很多控制正在如何執行以及哪里有改進的機會。隨著時間的推移,我們還會追蹤漏洞密度,這些數據清楚地顯示了開發人員的顯著改進,因為他們使用了更好的工具來發現開發中的漏洞。
只要我們構建軟件,在這個過程中就會發現漏洞以及提高其質量的機會。顯然,投資于質量改進可以獲得更好的經濟性,但軟件的完善將仍然還有很長的一段路要走。
山麗網安總結:從這段對話我們不難看出,漏洞安全必須從軟件“出身”的那一刻就必須時刻關注,并投入大量的精力和財力,這樣才會讓“致命漏洞”更少的出現。
根本做法 加密防護數據才是硬道理
從上述對數據安全防護“表里難關”的分析,我們不難看出,即使排除了變化最多、最難預測的人為因素,數據安全的防護依然面對許多不同的問題。面對這種情況,顯然我們的防護必須更深入,即觸及到我們需要防護的核心數據,然后在劃定安全底線之后,再應對各種不同的問題。而現今要做到這種效果就要使用多模加密技術。
在說多模加密之前,我們必須先了解下數據加密。數據加密直接作用于數據本身,使得數據在各種情況下都可以得到加密的防護。再者由于加密防護特殊性,使得數據即使泄露了,加密防護依然存在,只要算法不被破譯,數據和信息仍然可以稱作是安全的。由于這兩點保證,使得加密軟件成為了現代企業防護信息安全的最主要和最可靠的手段。
然后是多模加密。多模加密技術采用對稱算法和非對稱算法相結合的技術,在確保加密質量的同時,其多模的特性能讓用戶自主地選擇加密模式從而更靈活地應對各種防護需求和安全環境。同時作為這項技術使用的典型代表山麗防水墻的多模加密模塊還采用了基于系統內核的透明加密技術,從而進一步確保了加密防護的即時性和完整性(加密與格式無關)。
同時,山麗網安為了應對個人以及移動終端平臺的防護需求,推出了以多模加密技術為核心的密盤系列。這些帶有加密功能的U盤同樣可以針對不同的防護需求做出靈活的應對。
其實,不管是“表里問題”還是“內外問題”,數據安全問題日趨復雜是不爭的事實。除了積極的應對之外,從更深層的地方,采用靈活且具有針對性的加密技術及其軟件進行防護或許是最好的選擇!

提交
供應鏈中的信息安全 淺談ERP系統的防護要領
針對NSA對云計算安全影響 數據加密是硬道理
“影子IT”信息安全隱患大 云計算發展受阻
看不見的危機 細數云計算的數據安全隱患
信息化與網絡安全 這個時代無法逃避的話題