12306网站大规模“串号” 数据泄露防护市场剑指何方
- 2014-2-11 15:46:04
- 类型:原创
- 来源:电脑报
- 报纸编辑:程朋
- 作者:
【电脑报在线】从2013年12月29日起,2014年春运火车票在网络上全面开售,但是重金打造的12306网站还是没能经受住“考验”,在当日上午10点抢票大战最“白热化”的时候,“卡壳”一个小时。就在同日下午3点左右,网站出现大规模“串号”事故,用户只要登录自己的账号,就可以看到大量订票旅客的姓名、身份证号码、手机号码等信息。
信息数据泄露的深层次原因
纵观2013年国内几大信息数据泄露事件,包括腾讯QQ群数据泄露和多家酒店开房记录数据的泄露,任何一件信息数据泄露事件都引发社会各界的广泛讨论。人们对这些数据泄露事件所产生的不良影响谈论不止,却很少在第一时间去关注数据泄露的过程。Web安全、数据安全、电子邮件安全、移动安全及数据泄露防护(DLP)解决方案提供商Websense,在认真分析近年来重大数据泄密事件的细节后,总结出十大安全隐患,它认为当前造成企业信息安全防护体系松动,并引发数据泄露的隐患可分为业务层面及技术层面。
1.业务层面引发的数据泄露
在业务层面,第一是企业管理者缺乏对安全角色的正确理解。人们对便利性的需求远胜于安全,为了加速盈利而轻视安全问题的例子不在少数。安全防护其实是一套自上而下的业务解决方案,各企业的CTO需要积极参与产品及服务的研发过程,并将安全整合到企业的发展战略中,促进安全智能转化为商业价值。第二企业管理者认为安全方案达标即万事大吉,在数据安全的监管压力下,所投入的预算往往仅仅能满足项目的需求,而不是以保护数据安全为出发点。而实际上,达到监管部门的要求也只是能让系统正常运作而已,黑客们可以通过网络跳板或窃取特权访问到企业的敏感数据。如常见的网络分段其实是不堪一击的,通过数字证书盗用,入侵者可以轻易地骗取更深层网段用户的信任,方便以周详的计划套取到更多的机密信息。
捍卫个人信息安全刻不容缓
第三,企业的信息安全体系更多是围绕基础设施而非数据安全打造。多数企业更习惯于在项目的基础设施和业务方案中投入精力与预算,如安装杀毒软件与防火墙等,但这没有真正考虑到当前高级安全威胁带来的挑战,这些手段虽然还能保持一定的作用,但会因相对无效性从未来的安全体系中逐渐淡出。第四,企业过于关注先进技术,诚然,关注先进的技术无可厚非,但单纯的技术往往治标不治本。要成功实现全面的IT安全,必须整合进成套的员工管理方法及业务安全操作流程,作为企业文化的一部分被长期贯彻。第五,企业未能充分调动员工的主观能动性。仅仅提升员工对信息安全威胁的识别能力是远远不够的,许多员工并不了解他们正在使用的数据的价值,并错误地认为数据安全是由专人负责的,并未充分认识到自己也是企业数据安全中的重要角色。企业需要对员工进行纵向及交叉的培训,让各部门对彼此在信息安全防护中的职责和战略有相互的了解,并结合周期性的信息安全攻击演习,以检验培训的成果。
2.技术层面引发的数据泄露
在技术层面,第一是新旧技术之间的融合问题,企业所面临的最大挑战之一就是如何在现有的基础设施上融入新兴的技术,以提升信息安全体系的等级。为了与新兴技术相匹配,许多企业将基础设施作为发展的重点,却忽略了所要保护的数据本身,也没有意识到一些先进的技术很可能导致部署的不一致,白白耗费大量时间、人力与财力,反而留下了信息安全隐患。第二是移动互联与云计算将弱化基础设施的作用,在移动互联及云计算高度发展的今天,数据可能出现在任何位置,这也是企业必须将关注重心由基础设施转为数据的另一个重要原因,移动化及数据增值正在弱化基础设施在多层架构中的安防效果,加大基础设施的建设力度,并不能对云数据提供相匹配的安全保障。
2012年中国数据泄露防护(DLP)产品应用行业分布
第三是传统安全解决方案没有完全跟上各类威胁的快速演变。即便拥有充足的预算,新技术的落实与安全解决方案的开发都很难与威胁的演变同步,两者之间的差距使得多数的解决方案在用户覆盖上有所不足。如何覆盖移动用户、顾及HTTPS与私有VPN的盲点、以行为分析摆脱对签名技术的过度依赖,才是真正需要投入预算的地方。第四是多数安全系统没有自主学习能力,在传统的安全技术下,攻击者可以通过改变代码的方式绕过安全监测,让防火墙和反病毒解决方案失效。如果系统不能实时升级以应对新的乱码攻击,就会留下许多极易被利用的漏洞。第五,缺乏整合是大多数企业的致命弱点。在很多情况下,网络附加的安全功能并不是越多越好,他们在功能上的重叠不会让系统变得更强大,相反会因为不能共享彼此的信息而浪费资源。企业需要一些新的途径部署统一的控制面板,在实现对安全项目高度统合管理的同时,实时收集相关数据,供安全团队作出明智的决策。
在12306网站出现大量信息串号引起舆论一片哗然之余,或许我们更应反思如何有效做好数据泄露防护工作才是重中之重。因为当前移动智能终端、邮箱已被大量地用于处理公司信息、数据,实际上泄露的数据已涉及企业的大量敏感信息,而不仅仅是个人信息。尽管报纸、杂志和电视新闻都会报道关于个人信息数据泄露的消息。但在国人眼里,数据泄露防护似乎是一个未受尊重的喜剧角色。在数据泄露防护方面投入的资金总是有点儿捉襟见肘(占IT总投入不足1%)。更为遗憾的是,大多数用户将有限的资金全部投入到防火墙、入侵检测、反病毒软件等传统安全产品上。殊不知我们当前所面临的数据安全威胁已今非昔比,防止内部人员有意或无意泄密,并适应日益开放的移动互联网以及不受控制的BYOD应是重中之重。
对如何有效进行数据泄露防护,业内人士认为:数据安全威胁总是体现在具体的应用场景之中,移动智能终端、邮箱是企业当前进行数据流转、使用的两种常见的典型应用场景,但并不是全部。不能“头痛医头、脚痛医脚”,而应寻求根本解决之道。如何从源头上保护数据安全,并适应用户不同的应用场景,是未来发展的必然趋势。
本文出自2014-01-27出版的《电脑报》2014年第04期 A.新闻周刊
(网站编辑:pcw2013)
读者活动
48小时点击排行
编辑推荐
论坛热帖
网站地图 | 版权声明 | 业务合作 | 友情链接 | 关于我们 | 招聘信息
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sina.com 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcw*.c*m
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sina.com 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcw*.c*m
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号