深度保護敏感數據

鈴兒響叮當 2008-04-17

展開全文

　　企業(yè)往往面臨兩難境地。一方面，為使信息的價值實現最大化，它們必須向員工、商業(yè)伙伴和顧客公開信息。另一方面，這種公開使企業(yè)難以進行訪問控制，也難以限制信息被復制的次數。如此一來，專有信息為企業(yè)內部所有員工甚至外部實體所掌握，從而提高了其落入惡人之手的幾率。

　　為避免該問題的出現，企業(yè)需要采用深度防御策略來保護其敏感數據。它們應該從網絡邊界著手，然后延伸到操作系統和應用程序，并最終延伸到數據本身。

　　網絡安全

　　網絡是信息保護的第一層面。盡管企業(yè)已經采取了多種網絡防護措施，但由于配置不當和不合適的外部連接覆蓋，網絡層面仍存在很多漏洞。

　　通常，如果要實現基本的網絡保護，一臺外部防火墻就足夠；如果要實現更細致的保護，就需要更多的防火墻。例如，如果只有少數應用程序需要訪問一些數據庫，就需要將這些數據庫與其他所有應用程序隔離。進行網絡層面的保護可能需要企業(yè)做出比較大的投資。不過，從幾千美元到十萬美元以上的企業(yè)防火墻都有。

　　安裝防火墻只是第一步。只有配置得當，防火墻才能發(fā)揮作用，阻止任何未經許可的訪問。盡管采用這種網絡配置方法具有一定挑戰(zhàn)性，但它仍被認為是最佳方法，所以仍被大多數企業(yè)采用。

　　系統配置人員首先必須確定哪些網絡流量是合法的，然后設置相應的過濾參數。通常，系統管理員面臨的最大挑戰(zhàn)在于探明和識別哪類因特網流量是企業(yè)許可和需要的。

　　確定了企業(yè)許可和需要的流量之后，防火墻就需要對任何不受歡迎的流量進行告警和/或阻斷。此外，防火墻也需要提供內容過濾功能，以減少不需要的程序、惡意軟件及信息進入企業(yè)網絡（通常發(fā)生在瀏覽網頁時）。

　　為確保防火墻提供所需的保護，應在網絡邊界處進行持續(xù)的監(jiān)控和檢測，以發(fā)現潛在的網絡攻擊和測試網絡的易攻擊性。

　　除了阻止不需要的網絡流量，企業(yè)可能需要將其所在的網段進行隔離，以限制未經鑒權的用戶和訪客用戶（guest user）進行接入。

　　混合防護方案，如網絡接入控制（NAC），能夠提供另一層保護?；旌戏雷o方案能確保等待接入網絡的系統符合一定級別的安全標準。它會檢測病毒防護軟件的升級版本、當前可用補丁、瀏覽器設置限定，以及有效的個人防火墻。思科的網絡存取控制方案（Network Admission Control）、微軟的網絡接入保護方案（Network Access Protection），以及其他單一解決方案提供商的網絡接入控制方案都會首先檢測系統是否符合上述要求，然后決定是否準允其接入網絡。

　　根據網絡環(huán)境的不同，實施網絡接入控制方案的難易程度和成本可能存在很大差異。老式的網絡架構可能不得不進行升級，才能適應網絡接入控制方案監(jiān)測、隔離或阻斷系統接入的能力。大多數網絡接入控制方案的實現都依賴于網絡路由、服務和鑒權資源的使用。

　　實施基本網絡接入控制方案的最低成本為兩萬美元左右。不過，根據網絡規(guī)模的不同，實施成本可能高達數十萬美元甚至更多。大多數企業(yè)需要花費至少三個月的時間來實施該方案，以及進行必要的“調優(yōu)”（tuning）。

　　除了附加的硬件和軟件成本，實施網絡接入控制方案還會產生另一項成本。也就是說，企業(yè)需要花費時間和精力，以定義系統進行網絡接入時必須滿足的策略。實施網絡接入控制策略的目的在于保護企業(yè)數據，但它不應阻礙正常的操作。借助經過深入研究和驗證的策略，企業(yè)可以將網絡接入控制策略造成的沖擊降至最低，并最大程度地發(fā)揮防護功能。網絡接入控制策略是與防火墻結合使用的。雖然防火墻主要用于過濾流量，但它無法評估發(fā)送該流量的系統的配置狀況。

　　系統安全

　　最好采用經過強化的操作系統（如禁用不必要的系統功能或/和改變系統缺省配置）作為企業(yè)的標準配置。這類操作系統更易于支持和維護，且能夠縮小企業(yè)系統的受攻擊面。

　　盡管有了網絡邊界層的防護，企業(yè)仍然無法確定是否所有的網絡攻擊都不會穿越網絡邊界，除非它想阻止所有網絡流量。顯然，要想阻止所有網絡流量是不切實際的，所以還應為每套系統配備獨立的防火墻、入侵防護系統（IPS）代理及病毒防護軟件。

　　應用程序安全

　　應用程序是許多網絡攻擊的主要目標，所以它代表了信息保護的第三層面。可采用兩種方法提高應用程序的安全性：源掃描和易攻擊性掃描。

　　首先是源代碼掃描。源代碼掃描往往在應用程序開發(fā)階段進行，主要是對應用程序的易受攻擊區(qū)域（如存儲單元）進行掃描，以檢測是否存在漏洞。如果軟件不是由企業(yè)內部開發(fā)的，它可以要求軟件供應商證明該軟件已經過源代碼掃描。

　　其次是應用程序掃描。其目的在于檢測應用程序及其相關服務的配置狀況。應用程序掃描應該在產品測試及生產結束后進行。應用程序（如操作系統）的安全性直接影響到經過該程序的信息的安全性。應用程序和數據庫防護方案正日益成為防護應用程序攻擊的附加手段。
數據安全

　　數據安全是降低敏感數據向內、外部泄露風險的最有效層面之一。在該層面，防護的焦點在于數據本身，其目的在于確保數據安然無恙，而不論其傳播途徑如何。數據的移動性正日益加強，因此數據安全防護至關重要。

　　由于數據安全防護方案正處在產品生命周期的早期，這些方案仍然存在一些不足之處。然而，完善的步伐正在日益加快。隨著企業(yè)數據面臨的威脅日益增多，企業(yè)有必要認真地考慮這些方案。數據安全防護涉及的技術包括數據加密和數字版權管理（DRM）。

　　建議措施

　　企業(yè)主管和安全專家不能再對數據安全問題坐視不理了，現在是他們采取行動的時候了。

　　加密。企業(yè)可以對敏感數據進行加密，然后將其存儲于數據庫，在網絡或因特網上傳輸，或保存為其他文件類型。最好是將加密信息隨敏感數據一起傳輸。這往往需要借助其他的加密方法[如公共密鑰體系（PKI）和版權管理]才能實現。

　　如果保護企業(yè)敏感信息還不能成為數據加密的足夠動因，眾多標準都強制規(guī)定了加密的必要性。許多標準規(guī)定必須對傳輸和存儲的數據進行加密。這些要求對備份系統和數據同樣適用。

　　移動設備。移動設備是最新出現的數據泄露途徑。移動設備的連接能力和強大功能提升了企業(yè)的生產效率，但也使更多的敏感信息向更廣的范圍擴散。由于員工傾向于將移動電話和個人數字助理（PDA）視為個人財產，而不是企業(yè)資產的一部分，敏感信息面臨受攻擊的風險越來越高。企業(yè)必須采用防護策略和技術來降低這種威脅。

　　筆記本電腦應至少擁有經過加密的、即使系統完全啟動后也受保護的目錄或驅動器。一些供應商已經提供了全磁盤加密技術，以便對整個硬盤驅動器進行加密。例如，微軟已在其Windows Vista和Windows Server 2008系統中添加了提供驅動器和卷加密功能的BitLocker驅動器加密技術。

　　最新的移動操作系統（如移動電話和個人數字助理中的操作系統）提供了更高的安全性。例如，微軟的移動電話平臺能夠將一些群策略擴展到手機，并提供了一些基本的數據加密功能。

　　有些移動電話支持系統管理員遠程擦除數據。如果移動電話被掛失或被盜，這種功能非常有用。此外，大多數的運營商能夠對移動電話進行重置，并有可能擦除存儲在移動電話上的敏感信息。

　　版權管理。對敏感數據進行控制和保護的有效途徑之一，在于限制哪些用戶具有訪問數據的權限，他們可以對數據進行何種操作，可以在何處發(fā)送信息，以及可以在何種環(huán)境下使用這些信息。數字版權管理解決方案可以通過對用戶的接入權限進行電子化設置和控制，以實現上述目的。這些方案也可以確定數據是否被修改、拷貝、打印、電郵，或存儲于便攜式存儲設備。其軟件還能夠提供有關所有信息操作的審計日志。

　　版權管理的方法多種多樣。一些方法需要借助公共密鑰體系，而另一些則不然。公共密鑰體系為用戶提供雙因子認證（two-factor authentication），且能夠對公網上傳送的數據進行加密。

　　微軟Windows權限管理服務（RMS）要求采用數字證書作為其公共密鑰體系。權限管理服務是一種信息保護技術，它能夠與支持該服務的應用程序共同使用，以保護數字化信息被非法使用。它可以運用于在線和離線環(huán)境，也可以運用于防火墻內側和外側。

　　權限管理服務采用持續(xù)使用（persistent-usage）策略對信息進行保護。這意味著無論信息被發(fā)到何處，這些策略都將相伴左右。借助權限管理服務，企業(yè)可以防止敏感數據（如財務報告、產品規(guī)范、顧客數據、機密電子郵件）被有意或無意地泄露給非法用戶。

　　泄漏防護。信息泄漏防護（ILP）是相對較新的信息防護領域。它也被稱為數據泄露預防。它是版權管理的一種變體，且常被企業(yè)用來進行更大范圍數據防護。版權管理傾向于將一些文檔和文件類型進行打包，以便對其進行保護；而信息泄漏防護更注重對企業(yè)的網關進行保護和監(jiān)控。

　　信息泄漏防護解決方案關注的焦點在于，防止敏感信息經電子郵件、文件傳輸、立即消息、網頁發(fā)布、便攜式存儲設備或介質等途徑泄漏出去。該方法要求與郵件服務器、網頁服務器等網絡基礎設施進行集成。信息泄漏防護傳感器被設置在數據離開網絡的點，以便在敏感信息將要離開網絡時進行告警和/或阻斷。

　　大多數信息泄漏防護解決方案都提供了一些缺省模板，以便識別常見的敏感信息。企業(yè)可以對模板進行定制，以滿足其特定的需求。

　　信息泄漏防護等解決方案只不過是成功信息安全策略的一部分。其他部分包括前文所述的，對數據本身及其經過或駐留的應用程序、系統和網絡進行保護。采用這種深度防御策略，企業(yè)能有效防止其專有信息落入居心不良的人手中。

　　原文經許可摘自Security Management 雜志 2007年11月刊。ASIS International（地址：1625 Prince Street, Alexandria, VA 22314）2007年登記版權。阿桑譯。

　　Ken Biery, Jr.是華盛頓州肯特市優(yōu)利系統公司（Unisys Corporation）安全顧問服務部門的高級安全架構師，他與他人共同編寫了10本書，并發(fā)表了眾多有關信息、運營和物理安全的論文。Mike Hager是優(yōu)利系統公司安全顧問服務部門的高級安全架構師。