企業(yè)組織機構的受攻擊面正在持續(xù)不斷的擴大�。而隨著數(shù)據(jù)信息越來越被分散到跨云服務、移動設備��、遠程設備��、合作伙伴及其他第三方環(huán)境�����,使得網(wǎng)絡邊界也正在消失��。進入網(wǎng)絡的多入口點已經(jīng)出現(xiàn)���,使得原本就已經(jīng)相當復雜的數(shù)據(jù)盜竊者在全球范圍內(nèi)團結起來��,創(chuàng)造出了專業(yè)的列表數(shù)據(jù)盜竊業(yè)務�。那么,企業(yè)組織機構要如何應對這一狀況呢?根據(jù)IDG研究服務在2016年3月所進行的一項調(diào)查顯示����,企業(yè)的IT領導者們都已經(jīng)意識到了這一新的數(shù)據(jù)安全風險以及以數(shù)據(jù)為中心的加密技術在減緩這些相關風險方面所發(fā)揮的作用����。然而,與此同時�,許多企業(yè)組織機構似乎已經(jīng)被迅速轉變的安全環(huán)境搞得不堪重負。他們承認����,他們在充分采用數(shù)據(jù)級保護作為通往實現(xiàn)對各種狀態(tài)的數(shù)據(jù)(包括靜態(tài)、傳輸過程中�����、使用中的數(shù)據(jù))的安全保護的一個路徑方面并沒有取得足夠的進展�����。
這項最新的調(diào)查發(fā)現(xiàn)�,大多數(shù)企業(yè)組織機構的安全部署都遵循了容器級別的加密方法�����,而不是更安全的數(shù)據(jù)級別的加密方法���。但其實企業(yè)組織對于在最高水平確保數(shù)據(jù)的安全性的重要性是非常了解的。采取積極主動的數(shù)據(jù)安全保護戰(zhàn)略���,將降低企業(yè)風險����,也有助于保護企業(yè)的品牌和聲譽�。
保護靜態(tài)數(shù)據(jù)是最重要的
據(jù)IDG的受訪者表示,企業(yè)組織機構將其大部分的精力和預算用在于基于容器的數(shù)據(jù)安全性和靜止數(shù)據(jù)保護方面���,例如存儲在數(shù)據(jù)庫中的的數(shù)據(jù)(見下圖1)��。
有近四分之三(72%)的受訪者表示���,其所在的企業(yè)組織將靜態(tài)數(shù)據(jù)的安全性排在最為 關鍵 的位置。相比之下�,只有約一半(50%)的受訪者表示,他們所在的企業(yè)組織將跨網(wǎng)絡傳輸過程中的數(shù)據(jù)的安全性視為最關鍵的,而較高比例( 57%)的受訪者表示���,保護正在使用的數(shù)據(jù)(應用程序數(shù)據(jù))的安全性是其所在企業(yè)的重中之重�����。
問題在于���,敏感數(shù)據(jù)是未受保護的,且正在被應用程序���、分析師、業(yè)務流程用戶和數(shù)據(jù)科學家所使用��,故而是非常脆弱的�,極易受到網(wǎng)絡攻擊。業(yè)內(nèi)專家顯示���,在一個應用程序中的數(shù)據(jù)或跨一個網(wǎng)絡正在傳輸過程中的數(shù)據(jù)更容易被外部盜竊�����。一些報告顯示�,超過80%的數(shù)據(jù)泄露事件均發(fā)生在應用程序級別。
圖1��、企業(yè)數(shù)據(jù)安全保護優(yōu)先級:
數(shù)據(jù)資料來源:IDG研究服務;基于對54家受訪企業(yè)的問卷調(diào)查
而一個好消息則是:該項調(diào)查的結果描繪了一副企業(yè)的安全管理愿景正朝著爭相打造數(shù)據(jù)安全���,以推動業(yè)務目標轉型���,并遵守日益嚴格的數(shù)據(jù)隱私保密監(jiān)管要求方向過渡。
例如���,已經(jīng)意識到數(shù)據(jù)保護和加密的益處的企業(yè)所占的比例是相當高的(見下圖2)�。但是���,盡管有超過四分之三(76%)的受訪者表示數(shù)據(jù)加密有助于減輕數(shù)據(jù)泄露的風險��,超過一半(52%)的受訪者也將其歸結為在新的平臺(云服務�、移動設備�����、大數(shù)據(jù))的數(shù)據(jù)保護��,并恰好有一半(50%)的受訪者將其歸結為行業(yè)安全合規(guī)性�����。
簡而言之,在數(shù)據(jù)級別的加密(要比容器級別的加密方法更具細粒度)是對靜態(tài)數(shù)據(jù)����、及傳輸和使用中的數(shù)據(jù)進行安全保護的關鍵。
圖2����、企業(yè)組織機構實施數(shù)據(jù)保護和加密的益處:
數(shù)據(jù)資料來源:IDG研究服務;基于對54家受訪企業(yè)的問卷調(diào)查
企業(yè)如何保護他們的數(shù)據(jù)
那么,企業(yè)組織機構在今天如何保護他們的數(shù)據(jù)安全呢?大部分受訪者表示�,他們保護數(shù)據(jù)是在整個磁盤級別(56%)和數(shù)據(jù)庫級別(50%)和文件級別(48%)。然而����,所有這些都是采用的容器級別的方法�����,并沒有考慮數(shù)據(jù)不會停留在一個地方的事實��。當數(shù)據(jù)移動時��,受保護的數(shù)據(jù)容器之間的間隙會突然出現(xiàn)��。與之相反,在數(shù)據(jù)級別的加密保護的數(shù)據(jù)���,無論數(shù)據(jù)是什么狀態(tài)�、位于何處��,都是受保護的��。
調(diào)查受訪者喬爾 羅森布拉特���,紐約哥倫比亞大學信息安全辦公室(CISO)網(wǎng)絡和計算機安全主管這樣解釋道:
幾乎所有的網(wǎng)絡安全事故都是以某種形式的網(wǎng)絡釣魚開始的 獲得某人的網(wǎng)絡訪問憑據(jù)并使用該憑據(jù)來訪問數(shù)據(jù)�。對于企業(yè)數(shù)據(jù)的盜竊行為迫使企業(yè)需要對其數(shù)據(jù)庫實施加密��,同時也妨礙了企業(yè)自己也用戶訪問數(shù)據(jù)庫�����。 他說�。 但是,如果數(shù)據(jù)是字段加密的��,那么�,即使有人盜走了整個數(shù)據(jù)庫,也將無法讀取(因為你已經(jīng)加密了字段)���。這是不容易做到的��,但它會為你的數(shù)據(jù)提供真正的安全����。
解釋和建議
一些企業(yè)可能會堅持采用那些熟悉的安全方法,但這卻是以可能面臨新的風險為代價的�。這一點已經(jīng)被調(diào)查結果所證實,調(diào)查顯示����,當前企業(yè)組織重點都是采用基于容器的方法。
然而��, 支持不斷變化的環(huán)境的能力 卻是受訪者們所列出的對于安全的第二大障礙(46%)��,而排名第一的障礙則是長期的安全管理的困難(57%)��。今天的安全形勢要求更新的技術��,能夠通過借助加密數(shù)值或隨機token���,更換原始數(shù)據(jù),來屏蔽敏感的信息�����。
標記化(Tokenization)和格式保留加密(format-preserving encryption,F(xiàn)PE)就是這樣的兩種方法���。兩種方法都涉及到借助加密數(shù)值或隨機token來替換原始數(shù)據(jù)�����。例如�,AES-FPE采用傳統(tǒng)的高級加密標準(Advanced Encryption Standard����,AES)加密,但卻能夠保持數(shù)據(jù)格式不變;數(shù)據(jù)庫模式和應用程序很少或沒有改變是必需的�����,當加密的數(shù)值從大型機遷移到開放系統(tǒng)時�,沒有格式轉換是必要的。只有15%的受訪者表示他們所在的企業(yè)組織機構正在使用FPE���,不過�����,也許是因為這種方法太新了�����。
無狀態(tài)的密鑰管理是一個FPE相關的技術���,安全地提取導出了在傳輸過程中的密鑰�����。這種方法降低了IT成本��,并通過消除對關鍵數(shù)據(jù)庫和相應的硬件���、軟件的需要;以及對于不斷保護數(shù)據(jù)庫的IT流程的需要或從站點到站點復制或備份密鑰的需要,而簡化了管理負擔����。
標記化被支付卡行業(yè)(PCI)所廣泛采用,因為其有著嚴格的客戶信息保護要求�。30%的受訪者表示說,他們使用了這種方法�。一個較新的形式��,稱為無狀態(tài)的標記化,阻止企業(yè)將高度敏感的客戶數(shù)據(jù)和其他數(shù)據(jù)存儲在數(shù)據(jù)庫中�����,隨機產(chǎn)生的token與實際的個人賬戶沒有任何關系�。PCI認為標記化的數(shù)據(jù)系統(tǒng)超出了掌控范圍之外;而沒有通過PCI審核的標記化系統(tǒng)降低了合規(guī)性要求,復雜性和企業(yè)的成本�����。
結論
安全風險和解決方案已經(jīng)從多個維度方面獲得了增長�����,而隨著企業(yè)組織的數(shù)據(jù)溢出企業(yè)邊界�����,到達云服務和數(shù)據(jù)湖�����、以及移動網(wǎng)絡和公共互聯(lián)網(wǎng)連接����,則應該適用新的規(guī)則���。在數(shù)據(jù)級別上的數(shù)據(jù)加密有助于對數(shù)據(jù)信息的安全保護,無論其是處在什么狀態(tài)���,也不論其是遷移到何處�����。
對于那些建立和實施了新的加密流程的企業(yè)組織機構而言�,這一任務無疑是相當艱巨的���,所以業(yè)界專家建議企業(yè)組織不妨從最敏感的數(shù)據(jù)開始�,然后將是最有價值的數(shù)據(jù)���。這將幫助你企業(yè)制定一個框架����,來解決你企業(yè)所有的數(shù)據(jù)平臺���、應用程序���、大數(shù)據(jù)和物聯(lián)網(wǎng)(IoT)網(wǎng)絡��、支付處理設備和預服務加密的云服務格式和標記化技術���。
關于本調(diào)研
IDG研究服務于2016年3月進行了一次快速調(diào)查�,以了解當前的企業(yè)組織機構是如何應對他們的數(shù)據(jù)安全挑戰(zhàn)的,以及他們的數(shù)據(jù)保護優(yōu)先級順序及其相關安全保護解決方案采用計劃���。這項調(diào)查研究涉及到跨多個行業(yè)和公司規(guī)模的54名IT專業(yè)人士����。
加密術語表
數(shù)據(jù)庫級別的加密 在關系數(shù)據(jù)庫中的元素級別的粒度加密���,如數(shù)據(jù)庫中的列(column)或字段(field)����。
數(shù)據(jù)級別���,格式保留加密(format-preserving encryption�,F(xiàn)PE) 在字段或子字段級別的加密方法���,用來通過將某些特定的明文格式轉換成密文格式進行加密��,來護結構化和半結構化的數(shù)據(jù)��。某些FPE方法也將保留數(shù)據(jù)的邏輯值�����,如參照完整性和日期范圍��。
Data Masking(數(shù)據(jù)屏蔽) 利用隨機字符隱藏原始數(shù)據(jù);或在字段中的數(shù)據(jù)保護敏感數(shù)據(jù)��。
文件級別的加密 由一個文件系統(tǒng)對單個文件或目錄進行加密保護�。
標記化(Tokenization) 用等效的、沒有外在或利用意義和價值的非敏感數(shù)據(jù)替換一個敏感數(shù)據(jù)元素的過程�,例如信用卡號,簡稱為 token ���。
