“直面现实，而不是生活在过去或是您自己的想象中。”——杰克 韦尔奇，通用电气集团前CEO

数据泄漏预防措施：数据泄漏“瘟疫”的根本原因

根据2014年Verizon数据破坏研究报告，2013年一共发生了63,437次报告安全事件和1,367次经确认的数据泄漏情况。这在全部10年的研究中，数据泄漏数量为最高。根据弗雷斯特研究公司(Forrester Research) 的研究成果，2013年安全支出占到IT总支出的17.5%。

这些统计数据总结了当今IT安全领域的实际情况：安全支出在总IT支出中占了一个较大份额，但是相对于数据泄漏“瘟疫” (而保护数据) 的安全有效性却一点也没有得到改进。在杰克韦尔奇先生的精神文件引文中说明了这一趋势的根本原因：企业不是根据当今的现实做出安全投资；而是根据他们对过去事实的认识而进行投资：在过去的时代，黑客都是些欺世盗名的汪达尔人，对敏感数据进行集中化处理，企业的 (IT安全) 边缘就是在一台放在已知位置的桌面PC。在这种实际情况下，网络防火墙和其他周界“数据泄漏预防措施”技术就足以确保数据安全了。

不幸的是，昨天“足够好”的安全保护方法在当今这个时代已经过时了，今天，数据分散在整个企业范围甚至企业之外，黑客可能是技能娴熟的犯罪分子抑或是企业内部人员 − 这些人都是有恶意的并且意外地发动攻击 − 这对企业数据来说是一种持续存在的威胁。 一些最大规模的公司都成为数据泄漏的受害者。根据SafeNet外洩水平指數，2013年一共发生了1,056次破坏和超过5.75亿次的数据记录丢失或被盗。此外，2014年，丢失或被盗记录总数已经高达7,600,440亿次。网络周界安全技术并没有什么错误 − 它们是更多一层的保护。问题是很多企业今天仍依赖网络周界安全技术作为自身数据安全策略的基础，不幸的是，实际上并没有十分安全的数据泄漏预防方法。让人担忧的是，市场趋势表明大部分公司并没有更改这种安全方法的计划。根据IDC研究，2013年各大公司在安全技术领域的支出总计为320亿美元，其中超过26%（84亿美元）的资金都用在网络周界安全领域。此外，IDC预测到2017年公司在保护数据泄漏预防领域的计划投资增长率约为7.1%。

如果IDC的预测是正确的，那么数据泄漏预防技术在企业安全投资占比将会继续不成比例的增长，2017年，企业数据泄漏“瘟疫”将会比以往更为流行。实际上，会比今天的情况更糟糕，因为虽然企业按过去的实际情况做出投资，但是当时的实际情况是“敌人”的能力也在不断进步与创新。

从数据泄漏预防措施到接受泄漏

威瑞森 (Verizon) 报告表明在过去几年中内部人员的威胁也在增加。按定义，数据泄漏预防是一套与数据保护不相关的策略，因为每家公司/组织都在周界内存在潜在的敌对者。不注意这些内部威胁不仅会导致故意的数据误用，也会导致不能针对意外的粗心操作提供保护。一些非恶意行为，诸如通过个人电子邮件账户将工作带回家完成、设备丢失、将数据保存在 USB 驱动盘上和不知不觉中共享密码等，都会不注意地泄漏敏感数据。

数字不会说谎——无论是内部威胁或是外部威胁，破坏都是不可避免的。在当今的环境中，任何安全策略的核心都需要从“数据泄漏预防”转为“接受泄漏”。如果我们能够以一个接受泄漏角度去实现安全性，那么事情就变得简单了：保护数据本身而非周界的安全才是最重要的要求。

在新的环境中对数据进行保护是一种有挑战的价值主张，在这种环境下，云、虚拟化和移动设备的引用会导致可能遭受攻击的指数增长。很多公司/组织都会倾向以一种‘遏制’政策解决此问题：限制数据流动的位置，只允许有限数量的人员访问敏感数据。但是，这种“说不”的策略 − 基于限制数据访问与移动而实现安全的策略 − 与当今技术为一切赋予能力的情况背道而驰。今天的要求是采用一种“说是”的策略，这种策略是建立在理解数据移动与共享是企业成功的基础这一点上的。

一旦您实施了缓解人为错误并减少负面 ROI 所要求的技术与控制策略，您就可以从根本上降低导致安全破坏的风险。

从接受泄漏到防护数据泄漏

首先需要改变您的心态。然后再去实施一种新方法以在整个企业范围内保护数据安全。虽然没有可以保护数据免遭破坏的“放之四海而皆准”的“通用药方”，但是对于每家企业来说，都可以采取下面三个步骤缓解因数据泄漏而导致的整体成本和不良后果：对静态和移动敏感数据进行加密；安全地管理并保存您所有的加密密钥；控制用户访问与认证。通过在您的IT基础架构中实施这三步法，您可以有效地应对数据破坏攻击，避免成为破坏事件的受害者。

01: 您的数据在哪里？

敌人就站在您数据背后；花点时间识别对您公司的所有潜在威胁。您应当将您的安全控制措施转到尽可能接近数据的地方。通过将保护措施内嵌到数据资产本身，您可以确保即使在安全周界被破坏后，数据信息仍是安全的。

确定并优先保护您最敏感的资产和资源库。从数据中心开始；搜索您的存储和文件服务器、应用程序与数据库。无论是处于结构化或松散状态，存在于物理、虚拟和云环境中的数据全都会被加密。审查公司内外的正常商业活动，了解其如何将其与内在技术架构对应起来。

不要忽略从分支办事处传向总部或任何其他厂区外场所的网络流量数据流。一旦这些数据离开您公司的管辖范围，您就不能控制了。网络犯罪分子一直都伺机轻松且成本低廉地“截断”您的光纤数据电缆。除了恶意攻击尝试之外，也存在将数据转移到错误场所的实际风险。但是，可以通过自动加密移动中数据消除这些风险并确保安全。

这并不是一个全新的概念 − 数据加密承诺是对多数安全专业人员来说都熟悉的一个领域。但是，以一种集中方式对企业规模范围内数据进行加密而不中断业务流的技术能力是相对比较新的。这是可以实现的。通过集中管理并存储您的密钥，您可以优化您的加密基础架构方便进行审查与控制。

02: 您的加密密钥在哪里？

任何数据加密解决方案的核心都是对敏感数据进行加密和解密所使用的密钥。密钥丢失或被盗会导致整个数据和安全基础架构都失效。

在一个保护数据免遭破坏的环境中，需要加密数据的量和种类决定了会使用成千上万的密钥。因为这些密钥不可能都集中在一处，而大多都处于隔离且不相连接的管理状态， 一家公司对所有密钥进行充分保护几乎是一件不可能完成的任务。因为这些密钥被保存在多个地点，通常是在那些含有敏感数据的系统中，所以这些密钥很容易被窃取和误用。而且，备份密钥也不安全，传输时，会让其他领域数据信息暴露在外。

一个加密管理平台会在整个密钥生命周期内对整个企业范围内的密钥进行集中管理。要求进行持续的密钥轮转、存储、备份、删除与创建以消除导致暴露数据的安全漏洞。为进一步强化安全性，您也应当考虑为密钥存储容器进行保护。软件密钥封装器并不能保护加密密钥以及基于硬件的选项；因此，将您的密钥封存在硬件安全模块 (HSM) 内可以为您提供多一层的保护。

请牢记，加密只能具备与其加密管理平台相同的安全性。通过遵守以下指导原则，您可以有效地存储并管理您的密钥：

•构建一个提供信任锚点的基础，为在企业范围内实施加密提供信任根基。这个基础可以处理包括安全密钥生成、存储、存档与终止在内的多项重要任务。

•实施企业密钥管理以在密钥生命周期及其使用过程中创建并实施政策，确保密钥对跨企业范围内的信息和应用程序是可用的。

•限制对您加密密钥的访问。执行一套责任分离政策，管理员可以管理数据资源，但是不能访问这些数据文件内的信息。

03: 谁在访问您的数据？

良好的加密管理可以保护您的敏感数据，但是您仍需要对访问数据的用户加以控制。移动设备和基于云的应用程序的不断增殖也带来了诸多脆弱漏洞点，因而要求进行更严厉的内部控制。公司需要知道自身网络是安全的，并且用户身份不仅是受保护的，同时也是得到授权的。强认证会阻止非法访问，并且可以跟踪授权人员对数据资源的使用情况。

仅仅依赖一个简单的用户名和密码组合会导致一种安全假象。这并不是为您、您公司、您的数据或您的客户提供保护的强有效方法。密码被认为是最易受攻击的认证形式，因为攻击人员可以轻松地侵入、窃取、复制或共享用户名和密码。强认证要求用户以其所知道的信息 (用户名) 和所拥有的密钥 (如在独立令牌上生成的动态口令) 登录访问在线资源。只有拥有这两个因素组合信息的用户才能获得访问权限。

此外，通过对不同用户群组采用不同的认证方法，公司可以利用基于角色的访问方案避免内部人员误用数据和系统。可以根据在公司内设定的角色或职能管理基于软件和硬件的令牌。

认证保护用户身份并允许公司安全地调整自身业务以适应复杂的环境，满足云、移动性和不断升级威胁的挑战性要求。

防护数据泄漏的未來

当前大众市场对数据泄漏的认识相对还是比较幼稚的。数据外泄仍会继续成为标题中耸人听闻的事件，但是很少有人理解并不是所有数据泄漏都是相同的。实际上，并非所有外泄都是“坏的” 数据外泄事件。

例如，Zappos和Lockheed Martin因其数据外泄事件而得到了大量的负面媒体关注。但是，很少有折扣商店有足够的悟性书写有关这些情况的积极故事，因为这些公司都已采取了完善的安全预防措施以满足法规要求并保护敏感资产。根据公开可用的信息，这些外泄多数都是安全数据外泄 - 入侵者穿透了网络周界，但是不能访问到有价值的数据。

随着企业转而正面当前的现实，那么连锁反应就会是大众媒体和多数人群会提升对数据外泄的认识。他们也会从“数据泄漏预防”的形态转为接受泄漏。事实是发生数据外泄事件已经不再是“新闻”了。与此不同的是，新闻的价值将会由对问题的应对方式来确定：“这是不是一次防护数据泄漏事件？” 数据泄漏就像天气一样 − 大飓风会上新闻头条；而毛毛雨就不会。所有目前的发展趋势都会导致更多的数据泄漏问题。随着企业在安全方面投以重资以延长过期的防护数据泄漏策略的寿命，敌人也在持续进行创新并繁荣成长。

此外，企业面向云服务的转变和移动设备用量的增加也会极大地增大潜在受攻击表面，以及因意外造成数据暴露或丢失的可能性。这些趋势都会指向同一个主题，即需要确保数据本身的安全，所以企业可以在将数据部署到云或移动设备上，甚至落入敌人之手时也能保持控制力。尝试通过破坏预防措施将今天的敌人阻挡在企业之外是一种傻瓜的认识 (即使敌人并不十分老练) 。通过采用一种三步法方式 − 即加密所有静态和移动中的敏感数据，安全地管理并存储您所有的密钥，控制用户访问与认证 − 您可以有效地做好准备应对数据泄漏问题。这就是企业今天正在做的事情，就像Zappos和Lockheed的例子向我们所表明的那样。这就要求企业/组织对安全保护的认识从过去的事实中转移出来，直面今天的现实，将安全策略优化为一种保护数据本身免遭泄漏的策略。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 机器学习如何加速并提高敏感数据分类的准确性