首页 > 产品技术 > 谁盗走了信息?

谁盗走了信息?

2013-07-06 13:11   来源: 《商业伙伴》   作者: 张戈

基本信息

面向行业
应用领域

近两年,个人及企业信息泄露事件屡见不鲜,但相关体系建设仍没引起足够的重视。

       朱凯华,初中文化程度。在网上从一个重庆人手中购买了50万条上海机动车主的信息。之后朱又从招商银行信用卡中心贷款审核员胡斌、中国工商银行黄陂支行客户经理曹晓军等人手中,以每份几十元到100元不等的价格,购买了3000条个人银行卡信息和个人征信报告。通过对这两份信息进行对比整理,朱掌握了“目标对象”的个人身份证号码、银行卡账号、账户余额、手机电话号码、家庭电话,甚至包括配偶及子女的生日等信息。再经过“数据分析”,朱猜测和筛选出最有可能的6位银行卡密码,密码猜测成功率竟高达20%。到被抓获时,其已经通过网银代缴水电费等手段盗走300余万元。

       这是2012年央视3.15晚会中曝光出的一幕。分析这条盗窃产业链,没有胡斌、曹晓军等“内鬼”的里应外合,个人征信报告等信息不可能轻易流出,而缺乏响应的防数据泄露管理机制和IT系统,也使 “内鬼”们有了可乘之机。

Check 北亚洲区产品销售总监李若怡:攻击是综合性的,防范体系也应该是综合性的。

赛门铁克中国区安全产品总监卜宪录:应该以风险管理的思路和方法论来实施数据安全,而不是只将其当做工具。

       不知从何入手?

       其实,近两年关于个人及企业信息泄露安全事件屡见不鲜。2011年3月,RSA种子令牌被盗,一个安全神话由此终结;2011年12月,CSDN网站用户数据库遭黑客入侵,包括600余万个明文的注册邮箱账号和密码被盗。

       但是,与如此频繁的数据泄露事件相比,防数据泄露市场似乎一直不温不火。究其原因,可以体现在三方面:

       其一,相关法律、法规仍不健全。其实,目前我国已有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。工信部电子科技情报研究所副所长刘九如表示,“针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。”例如, 2009年刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体是 “国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。

       其二,个人和企业用户的防范意识淡漠。对别人出现的数据泄露问题总抱有“看热闹”的心态,事情没落在自己身上,不知道痛在何处。CSDN出事了,似乎没听说其他哪家网站提高了安全措施。

       其三,用户即使知道数据安全的重要性,也不知道从何入手。造成数据泄露的原因很多,例如面向外部开放的网站、服务器存在安全隐患被攻击渗透,这种问题最常见也最典型;内部人员(包括企业内部人员、第三方合作伙伴、供应商等)有意或无意泄露数据;存有重要数据的终端设备如笔记本电脑、移动硬盘、U盘、手机、平板电脑丢失或被盗。

       很多用户有这样一种错误认识:数据安全就是DLP(防数据泄露)。其实,由于数据泄露渠道众多,有意的无意的内部的外部的。各家安全厂商虽然都声称自己推出的是“数据安全解决方案”,但方案之间也相差十万八千里。

       这些解决方案,所针对用户群和防范对象也都不尽相同。Websense、Fortinet的防数据泄露解决方案主要指DLP;Imperva的数据安全解决方案,以“Web 安全+文件安全+数据库安全”为核心;甲骨文有针对数据库安全的DBFW;McAfee的数据保护方案是终端保护、DLP等。一个不恰当的比喻,用户就像瞎子摸象,我摸到了腿,以为防范了数据泄露;你摸到了头,也以为进行了防范,其实都不全面。

       现在几乎所有安全厂商都推出了数据安全解决方案,这是一件好事,但有时也会让用户很困惑。数据安全问题在整个数据生命周期中始终存在,任何单点的解决方案都不能解决全部问题。对此,Check Point北亚洲区产品销售总监李若怡表示, “攻击是综合性的,防范体系也应该是综合性的。 Check Point几乎每三个月都会推出一款软刀片,在统一的安全平台中,集成不同的软刀片产品,客户可以按照自身的业务需求和IT规划,灵活选择不同的软刀片。例如对有移动办公需求的客户,Check Point 可以提供访问控制软刀片;对数据泄露可以提供 DLP、磁盘加密、移动介质等软刀片;对于恶意软件商业伙伴41 business partner 入侵,可以提供IPS、防火墙、防僵尸软刀片。”

       启明星辰公司DLP资深产品经理吴鲁加表示,业内对防火墙、防病毒的定义和防范对象的认识基本保持一致,但用户对防数据泄露的需求分散,解决方案也很难完全统一。国内推出防数据泄露的厂商要么向权限控制方向发展,要么侧重于加密。原因在于,国内最早认识到数据泄露危害性的用户大多为制造业,阻断数据泄露通道是用户的核心需求。“而国外企业的思路有所不同,解决方案偏重审计。其思路是,我不一定拦断数据流出通道,但一旦数据泄露就能很快定位,并追责,电信、金融等用户也更倾向于采用这种解决方案。”

       吴鲁加从用户需求的角度分析了国内外数据安全解决方案的不同,但也有人这样形象地总结了一句话——“国内解决方案防小人;国外解决方案防君子。”

在失败中汲取教训

       防数据泄露市场一直不温不火,一方面是安全厂商众说纷纭;另一方面也是因为在前期推广的过程中,用户的体验不好,甚至出现了很多失败的案例。

       失败原因一:管的太细,影响业务。

       启明星辰吴鲁加表示,多数数据安全失败案例来自于前期加密和权限控制类解决方案。首先,想用一种权限控制系统来解决所有权限控制问题,这是不现实的,“当用户的数量非常大时,要给系统每个用户逐一授权(授角色),是件非常烦琐的事情,这也会给用户的业务流转造成诸多不便”;其次、采用加密的方式防止数据外泄最大的弊病,是有可能造成用户工作效率下降,“设想一下,用户每向外发出一封邮件,都要等待管理员审核,用户对这种解决方案的意见反弹可想而知”。

       其实,从防数据泄露技术上看,近两年并没有什么革命性的变革和更新,但正是看到了之前,防数据泄露解决方案中的诸多弊病,现在安全厂商也正在调整自己的设计思路。启明星辰的设计思路是,对全体员工采用审计的方式,确保信息部门知道数据被谁使用,以及数据流向,同时只对核心部门的核心数据采用加密的方式,将对业务的影响控制在最小范围之内。

       失败原因二:简单粗暴。

       某些防数据泄露解决方案的设计思路,以关键词检索为主,即含有被定义的敏感关键词,一律阻断发送,甚至有些文件格式一律不能发送。Check Point李若怡说:“出现这种问题是因为,很多公司的解决方案只是站在IT的角度进行控制,没有将数据泄露与用户的业务相结合。”

       例如,有些为设计公司提供的解决方案规定,所有AutoCAD格式的文件图纸都不能对外发送,但在实际业务中,图纸在最后确定前,要与客户进行几轮的往来沟通。李若怡介绍,Check Point的解决方案基于内容相似性的检索,即发送的图纸与最终稿达到一定象征度后,将被阻止,而设计草案可以被允许发送。

       同时,Check Point也反对简单粗暴的阻断式设计思路。“对于无意识泄密行为,Check Point的解决方案不是给每名员工一份安全策略,告诉哪些内容可以发出,哪些内容不能发出,哪些网站可以访问,哪些网站高危,不能访问。”李若怡表示,“我们的策略是,在员工发出敏感文件时,系统自动发送提示邮件,在接收到这封邮件时,员工会重新审视是否要继续发送信息。这种方式相对人性化,潜移默化地降低员工无意识泄密行为。”

       举例说明,公司未上市的产品信息资料通常被判断为敏感信息,但为配合产品上市宣传,市场部会将此类信息需要发送给制作公司,如果采用阻断的方式,无疑会降低工作效率、破坏工作心情。而采用提示的方式,经过确认的发送行为不会被阻断。

       失败原因三:贪大求全。

       很多防数据泄露失败的原因是项目实施周期过长,动辄9个月,甚至一年。某些IT厂商为了实施一套 “完美”的系统,前期咨询时间过长,并由此陷入一个怪圈,乙方咨询-甲方业务更改-乙方再咨询,在超长的咨询过程中,刚刚制定的安全策略可能已经过时。吴鲁加说:“任何IT系统都不可能保证100%地防范数据泄露,在系统实施过程中,首先要了解用户最主要的信息泄露途径,至少保证90%的最重要泄露渠道受到保护,之后逐步调整安全策略。”

       李若怡建议:“Check Poi nt 采用软刀片的防护体系,在2~3周即可完成对一部分信息渠道的防护。在之后半年中,Check Point软刀片逐渐完成对用户业务的学习,完善安全策略制定。”

       赛门铁克中国区安全产品总监卜宪录也是 “贪大求全”的反对者,他表示:“任何解决方案在市场推广初期都会遇到类似问题,客户期待值过高,或销售经理过度承诺,希望一个产品能解决100种泄露场景。”对于数据安全的实施步骤,赛门铁克通常会建议采用“三·三”原则——

       首先向用户提出三个问题:哪些是敏感信息、敏感信息的传输和使用途径、敏感信息可能在泄露渠道。在明确三个问题后,分三个阶段解决问题:第一步,推荐以内容识别技术为核心DLP解决方案,此类方案适用性广泛,满足企业的基本要求;第二步,针对已经发现某些部门的某些特别重要的文档,建议采用数字权限管理解决方案;第三步,针对某些部门的某些特别机密的文档,建议采用数字加密解决方案。

       卜宪录指出,“任何加密和权限管理解决方案,都会加大业务应用的复杂性,员工需要重新培训、流程需要重新调整,尽量将加密和权限管理缩减在核心部门。”

       失败原因四:跟不上时代步伐。

       数据爆炸化、服务云端化、终端移动化——这三大IT发展趋势,导致传统网络安全边界已经荡然无存,在新的挑战之下,数据安全必须拿出新的解决思路。

       现在还有一些安全厂商是用绑定IP地址的方式防止信息泄露,但随着移动互联的发展,员工在进行业务操作时,不可能绑定一个IP地址,这种方式显然已经过时。李若怡介绍,“Check Point的解决方案不是绑定IP,而是绑定人的业务行为,解决方案中的身份识别功能,可以保证员工无论是通过公司设备还是家庭电脑,都会实现防护。”

       赛门铁克发布的《2011安全状况调查报告》显示,47%的调查对象表示,移动计算增加了在线安全防护的难度;45%则表示“IT消费化”令人担忧。 2011年11月,赛门铁克推出针对平板电脑的DLP解决方案;2012年,赛门铁克又先后收购了移动设备管理软件提供商Odyssey公司和移动应用管理软件厂商 Nukona。卜宪录表示,“一个管理良好的移动终端才是安全的;传统的防数据泄漏都已经移植到移动终端中,赛门铁克已经可以提供移动终端上的DLP解决方案。”他同时介绍,2012年3月,赛门铁克推出被称为O3“臭氧层”的云身份和访问控制解决方案。赛门铁克O3是企业的云信息保护平台,可以为云应用提供三层保护:访问控制、信息安全和信息管理。

       失败乃成功之母

       上面谈到了很多数据安全项目失败的原因,但正是总结了这些原因,近两年数据安全市场保持了高速的成长。从狭义的DLP市场看,来自赛迪的研究数据显示,从2009年~2011年,DLP市场销售额增速达到60%,2012年增长率将达到70%,预计全年销售额将达到11.5亿元。从广义的数据安全市场看,2011 年中国数据安全市场已经到达132.59亿元。

       从用户群体分析,金融、电信、高科技企业、制造企业对数据安全相对重视;此外,政府、医疗、地产已经成为最具潜力的市场。以金融客户为例,其首先倾向于在内部办公系统中采用防数据泄露解决方案,之后业务系统也将解决方案实施的重点。

       此外,有中国版“萨班斯法案”之称的《企业内部控制基本规范》,将在2012年全面落地实施,这将加强上市公司在信息防范方面的意识。

       “赛门铁克从2008年开始在中国市场着力推广防数据泄露解决方案。初期客户处于观望状体,特别希望能看到一个本行业的解决方案;在2011年市场进入爆发期,在狭义防数据泄露(DLP)市场,赛门铁克销售增长了300%~400%。”卜宪录介绍,中国前五大商业银行,有四家采用了赛门铁克DLP的产品和解决方案。有超过20家省级电信运营商是赛门铁克的客户。

       成功三要素

       数据安全市场客观存在,而且高速增长。而要取得项目成功,必须具备三要素:争取企业高层支持、梳理清楚应用场景、分阶段项目实施。而在具体实施过程中,一个成功的数据安全项目可分四个步实施——

       一、风险识别。创建数据安全管理策略,评估违规频度和策略精度。

       二、修复流程。建立IT部门与业务部门的沟通机制,修改流程策略,完善IT规章制度。

       三、教育员工。调查显示,2/3 的数据泄露事件是由于部分善意内部人员犯了“严重错误”而引发的。

       能够做好以上三个步骤,将可阻止90%以上的数据泄露。针对另10%的泄露行为,通过自动阻断、权限控制、文档加密等产品完善防护体系,当然,针对极少数靠技术手段无法控制的“故意”泄密行为,必须诉诸法律手段。

       卜宪录将数据安全项目的成功总结为一句话: “以风险管理的思路和方法论来实施数据安全,而不是将其当做工具。”

 

       防数据泄露主要手段及解决方案:

      1、管控:防水墙、U盘管理、外发控制

      2、加密:手动加密、透明加密、磁盘加密

      3、权限:权限控置

      4、审计:终端审计、网关审计、审计扫描

      5、虚拟化:集中管理 

      6、数据库:加密、审计、阻断

赞 0个人觉得赞
logo

甲骨文软件系统有限公司

规模:200人以上

网站: http://www.oracle.com/cn

甲骨文公司1989年正式进入中国市场,成为第一家进入中国的世界软件巨头,标志着刚刚起飞的中国国民经济信息化建设得到了甲骨文公司的积极响应,甲骨文首创的关系型数据...

粉丝0

关联信息

关于我们 | 全生命周期管理 | 服务的客户 | 版权说明 | 联系我们

公司名称:北京金誉在线伙伴文化传播有限公司    备案号:京ICP备 15026202号-1

意见
反馈
返回
顶部