企業(yè)組織機(jī)構(gòu)的受攻擊面正在持續(xù)不斷的擴(kuò)大��。而隨著數(shù)據(jù)信息越來越被分散到跨云服務(wù)��、移動設(shè)備�、遠(yuǎn)程設(shè)備、合作伙伴及其他第三方環(huán)境��,使得網(wǎng)絡(luò)邊界也正在消失���。進(jìn)入網(wǎng)絡(luò)的多入口點(diǎn)已經(jīng)出現(xiàn)����,使得原本就已經(jīng)相當(dāng)復(fù)雜的數(shù)據(jù)盜竊者在全球范圍內(nèi)團(tuán)結(jié)起來�����,創(chuàng)造出了專業(yè)的列表數(shù)據(jù)盜竊業(yè)務(wù)��。那么,企業(yè)組織機(jī)構(gòu)要如何應(yīng)對這一狀況呢?根據(jù)IDG研究服務(wù)在2016年3月所進(jìn)行的一項(xiàng)調(diào)查顯示�����,企業(yè)的IT領(lǐng)導(dǎo)者們都已經(jīng)意識到了這一新的數(shù)據(jù)安全風(fēng)險以及以數(shù)據(jù)為中心的加密技術(shù)在減緩這些相關(guān)風(fēng)險方面所發(fā)揮的作用����。然而,與此同時�����,許多企業(yè)組織機(jī)構(gòu)似乎已經(jīng)被迅速轉(zhuǎn)變的安全環(huán)境搞得不堪重負(fù)���。他們承認(rèn)���,他們在充分采用數(shù)據(jù)級保護(hù)作為通往實(shí)現(xiàn)對各種狀態(tài)的數(shù)據(jù)(包括靜態(tài)、傳輸過程中����、使用中的數(shù)據(jù))的安全保護(hù)的一個路徑方面并沒有取得足夠的進(jìn)展。
這項(xiàng)最新的調(diào)查發(fā)現(xiàn)�����,大多數(shù)企業(yè)組織機(jī)構(gòu)的安全部署都遵循了容器級別的加密方法,而不是更安全的數(shù)據(jù)級別的加密方法�。但其實(shí)企業(yè)組織對于在最高水平確保數(shù)據(jù)的安全性的重要性是非常了解的。采取積極主動的數(shù)據(jù)安全保護(hù)戰(zhàn)略��,將降低企業(yè)風(fēng)險���,也有助于保護(hù)企業(yè)的品牌和聲譽(yù)����。
保護(hù)靜態(tài)數(shù)據(jù)是最重要的
據(jù)IDG的受訪者表示����,企業(yè)組織機(jī)構(gòu)將其大部分的精力和預(yù)算用在于基于容器的數(shù)據(jù)安全性和靜止數(shù)據(jù)保護(hù)方面���,例如存儲在數(shù)據(jù)庫中的的數(shù)據(jù)(見下圖1)��。
有近四分之三(72%)的受訪者表示�����,其所在的企業(yè)組織將靜態(tài)數(shù)據(jù)的安全性排在最為 關(guān)鍵 的位置���。相比之下�����,只有約一半(50%)的受訪者表示�,他們所在的企業(yè)組織將跨網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)的安全性視為最關(guān)鍵的�����,而較高比例( 57%)的受訪者表示���,保護(hù)正在使用的數(shù)據(jù)(應(yīng)用程序數(shù)據(jù))的安全性是其所在企業(yè)的重中之重��。
問題在于��,敏感數(shù)據(jù)是未受保護(hù)的�,且正在被應(yīng)用程序�����、分析師�、業(yè)務(wù)流程用戶和數(shù)據(jù)科學(xué)家所使用,故而是非常脆弱的����,極易受到網(wǎng)絡(luò)攻擊�����。業(yè)內(nèi)專家顯示�,在一個應(yīng)用程序中的數(shù)據(jù)或跨一個網(wǎng)絡(luò)正在傳輸過程中的數(shù)據(jù)更容易被外部盜竊���。一些報告顯示����,超過80%的數(shù)據(jù)泄露事件均發(fā)生在應(yīng)用程序級別�。
圖1、企業(yè)數(shù)據(jù)安全保護(hù)優(yōu)先級:
數(shù)據(jù)資料來源:IDG研究服務(wù);基于對54家受訪企業(yè)的問卷調(diào)查
而一個好消息則是:該項(xiàng)調(diào)查的結(jié)果描繪了一副企業(yè)的安全管理愿景正朝著爭相打造數(shù)據(jù)安全��,以推動業(yè)務(wù)目標(biāo)轉(zhuǎn)型����,并遵守日益嚴(yán)格的數(shù)據(jù)隱私保密監(jiān)管要求方向過渡��。
例如��,已經(jīng)意識到數(shù)據(jù)保護(hù)和加密的益處的企業(yè)所占的比例是相當(dāng)高的(見下圖2)��。但是,盡管有超過四分之三(76%)的受訪者表示數(shù)據(jù)加密有助于減輕數(shù)據(jù)泄露的風(fēng)險���,超過一半(52%)的受訪者也將其歸結(jié)為在新的平臺(云服務(wù)���、移動設(shè)備、大數(shù)據(jù))的數(shù)據(jù)保護(hù)��,并恰好有一半(50%)的受訪者將其歸結(jié)為行業(yè)安全合規(guī)性���。
簡而言之���,在數(shù)據(jù)級別的加密(要比容器級別的加密方法更具細(xì)粒度)是對靜態(tài)數(shù)據(jù)、及傳輸和使用中的數(shù)據(jù)進(jìn)行安全保護(hù)的關(guān)鍵����。
圖2、企業(yè)組織機(jī)構(gòu)實(shí)施數(shù)據(jù)保護(hù)和加密的益處:
數(shù)據(jù)資料來源:IDG研究服務(wù);基于對54家受訪企業(yè)的問卷調(diào)查
企業(yè)如何保護(hù)他們的數(shù)據(jù)
那么��,企業(yè)組織機(jī)構(gòu)在今天如何保護(hù)他們的數(shù)據(jù)安全呢?大部分受訪者表示���,他們保護(hù)數(shù)據(jù)是在整個磁盤級別(56%)和數(shù)據(jù)庫級別(50%)和文件級別(48%)��。然而��,所有這些都是采用的容器級別的方法��,并沒有考慮數(shù)據(jù)不會停留在一個地方的事實(shí)�。當(dāng)數(shù)據(jù)移動時,受保護(hù)的數(shù)據(jù)容器之間的間隙會突然出現(xiàn)����。與之相反,在數(shù)據(jù)級別的加密保護(hù)的數(shù)據(jù)�,無論數(shù)據(jù)是什么狀態(tài)、位于何處�����,都是受保護(hù)的��。
調(diào)查受訪者喬爾 羅森布拉特�����,紐約哥倫比亞大學(xué)信息安全辦公室(CISO)網(wǎng)絡(luò)和計(jì)算機(jī)安全主管這樣解釋道:
幾乎所有的網(wǎng)絡(luò)安全事故都是以某種形式的網(wǎng)絡(luò)釣魚開始的 獲得某人的網(wǎng)絡(luò)訪問憑據(jù)并使用該憑據(jù)來訪問數(shù)據(jù)�。對于企業(yè)數(shù)據(jù)的盜竊行為迫使企業(yè)需要對其數(shù)據(jù)庫實(shí)施加密����,同時也妨礙了企業(yè)自己也用戶訪問數(shù)據(jù)庫���。 他說。 但是�,如果數(shù)據(jù)是字段加密的,那么����,即使有人盜走了整個數(shù)據(jù)庫,也將無法讀取(因?yàn)槟阋呀?jīng)加密了字段)�。這是不容易做到的,但它會為你的數(shù)據(jù)提供真正的安全��。
解釋和建議
一些企業(yè)可能會堅(jiān)持采用那些熟悉的安全方法�����,但這卻是以可能面臨新的風(fēng)險為代價的�。這一點(diǎn)已經(jīng)被調(diào)查結(jié)果所證實(shí),調(diào)查顯示���,當(dāng)前企業(yè)組織重點(diǎn)都是采用基于容器的方法��。
然而��, 支持不斷變化的環(huán)境的能力 卻是受訪者們所列出的對于安全的第二大障礙(46%)�����,而排名第一的障礙則是長期的安全管理的困難(57%)�。今天的安全形勢要求更新的技術(shù),能夠通過借助加密數(shù)值或隨機(jī)token�����,更換原始數(shù)據(jù)����,來屏蔽敏感的信息。
標(biāo)記化(Tokenization)和格式保留加密(format-preserving encryption���,F(xiàn)PE)就是這樣的兩種方法��。兩種方法都涉及到借助加密數(shù)值或隨機(jī)token來替換原始數(shù)據(jù)����。例如����,AES-FPE采用傳統(tǒng)的高級加密標(biāo)準(zhǔn)(Advanced Encryption Standard,AES)加密�,但卻能夠保持?jǐn)?shù)據(jù)格式不變;數(shù)據(jù)庫模式和應(yīng)用程序很少或沒有改變是必需的,當(dāng)加密的數(shù)值從大型機(jī)遷移到開放系統(tǒng)時����,沒有格式轉(zhuǎn)換是必要的。只有15%的受訪者表示他們所在的企業(yè)組織機(jī)構(gòu)正在使用FPE�����,不過����,也許是因?yàn)檫@種方法太新了。
無狀態(tài)的密鑰管理是一個FPE相關(guān)的技術(shù)�,安全地提取導(dǎo)出了在傳輸過程中的密鑰。這種方法降低了IT成本�,并通過消除對關(guān)鍵數(shù)據(jù)庫和相應(yīng)的硬件、軟件的需要;以及對于不斷保護(hù)數(shù)據(jù)庫的IT流程的需要或從站點(diǎn)到站點(diǎn)復(fù)制或備份密鑰的需要���,而簡化了管理負(fù)擔(dān)��。
標(biāo)記化被支付卡行業(yè)(PCI)所廣泛采用����,因?yàn)槠溆兄鴩?yán)格的客戶信息保護(hù)要求��。30%的受訪者表示說,他們使用了這種方法�����。一個較新的形式�����,稱為無狀態(tài)的標(biāo)記化��,阻止企業(yè)將高度敏感的客戶數(shù)據(jù)和其他數(shù)據(jù)存儲在數(shù)據(jù)庫中�,隨機(jī)產(chǎn)生的token與實(shí)際的個人賬戶沒有任何關(guān)系。PCI認(rèn)為標(biāo)記化的數(shù)據(jù)系統(tǒng)超出了掌控范圍之外;而沒有通過PCI審核的標(biāo)記化系統(tǒng)降低了合規(guī)性要求����,復(fù)雜性和企業(yè)的成本。
結(jié)論
安全風(fēng)險和解決方案已經(jīng)從多個維度方面獲得了增長���,而隨著企業(yè)組織的數(shù)據(jù)溢出企業(yè)邊界��,到達(dá)云服務(wù)和數(shù)據(jù)湖����、以及移動網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)連接,則應(yīng)該適用新的規(guī)則��。在數(shù)據(jù)級別上的數(shù)據(jù)加密有助于對數(shù)據(jù)信息的安全保護(hù)���,無論其是處在什么狀態(tài),也不論其是遷移到何處�����。
對于那些建立和實(shí)施了新的加密流程的企業(yè)組織機(jī)構(gòu)而言�,這一任務(wù)無疑是相當(dāng)艱巨的,所以業(yè)界專家建議企業(yè)組織不妨從最敏感的數(shù)據(jù)開始��,然后將是最有價值的數(shù)據(jù)�����。這將幫助你企業(yè)制定一個框架�,來解決你企業(yè)所有的數(shù)據(jù)平臺、應(yīng)用程序���、大數(shù)據(jù)和物聯(lián)網(wǎng)(IoT)網(wǎng)絡(luò)����、支付處理設(shè)備和預(yù)服務(wù)加密的云服務(wù)格式和標(biāo)記化技術(shù)。
關(guān)于本調(diào)研
IDG研究服務(wù)于2016年3月進(jìn)行了一次快速調(diào)查��,以了解當(dāng)前的企業(yè)組織機(jī)構(gòu)是如何應(yīng)對他們的數(shù)據(jù)安全挑戰(zhàn)的����,以及他們的數(shù)據(jù)保護(hù)優(yōu)先級順序及其相關(guān)安全保護(hù)解決方案采用計(jì)劃。這項(xiàng)調(diào)查研究涉及到跨多個行業(yè)和公司規(guī)模的54名IT專業(yè)人士����。
加密術(shù)語表
數(shù)據(jù)庫級別的加密 在關(guān)系數(shù)據(jù)庫中的元素級別的粒度加密,如數(shù)據(jù)庫中的列(column)或字段(field)�。
數(shù)據(jù)級別,格式保留加密(format-preserving encryption���,F(xiàn)PE) 在字段或子字段級別的加密方法�,用來通過將某些特定的明文格式轉(zhuǎn)換成密文格式進(jìn)行加密�����,來護(hù)結(jié)構(gòu)化和半結(jié)構(gòu)化的數(shù)據(jù)�。某些FPE方法也將保留數(shù)據(jù)的邏輯值,如參照完整性和日期范圍���。
Data Masking(數(shù)據(jù)屏蔽) 利用隨機(jī)字符隱藏原始數(shù)據(jù);或在字段中的數(shù)據(jù)保護(hù)敏感數(shù)據(jù)�。
文件級別的加密 由一個文件系統(tǒng)對單個文件或目錄進(jìn)行加密保護(hù)。
標(biāo)記化(Tokenization) 用等效的���、沒有外在或利用意義和價值的非敏感數(shù)據(jù)替換一個敏感數(shù)據(jù)元素的過程�����,例如信用卡號�����,簡稱為 token 。
