并不是所有的数据破坏都可以带来平等

ZDNet安全频道原创翻译 转载请注明出处以及作者

作者：汤姆·欧扎克

破坏的根源是希望能够更好的利用时间和资源，而不是漫无目的的游荡，产生的原因是有人希望更快一点，于是在下跌的时间用手指推了一下。
-------------------------------------------------------------------------------------------

并不是所有的数据破坏都可以带来平等。正如我们都知道的一样，数据的变换不会摧毁你的权利。进一步来说，破坏的根源是希望能够更好的利用时间和资源，而不是漫无目的的游荡，产生的原因是有人希望更快一点，于是在下跌的时间用手指推了一下。

在CSOonline.com网站最近的一篇文章中，琼·古德柴尔德描述了在普林斯顿大学网站上发生的一起包含学生的出生日期和评分等级在内的敏感信息泄露的事故。据称，由于普林斯顿大学网站需要更改网站托管服务，结果在转换时导致数据在一段时间内可以被所有人看到。事故的反映是意料之中的，人们表达了对出生日期等信息被泄露的关切，以及对于信息可能被盗用的恐惧。对于这方面资料损失的索赔，也是基于学生身份被盗用的风险增加。另一方面，也说明普林斯顿大学和托管网站的工作人员不了解网站安全的重要性。但我认为双方的主张都是错误的。

使用出生日期、母亲的本姓或父亲的中间名作为一个很普遍的核实身分方式，已经有一段时间了。这个信息是在公共记录文件中免费提供的，和是否在线没有关系。花费34.95美元就可以得到样本的单独报告。在一年前，我买了一本，看看有没有我自己的信息。结果导致我对自己使用的银行和其他安全的网上交易的密码问题进行了重新检查。职业的暴露可能对生活造成影响，但对于更多关注于学校生活的大学生来说，出生日期的丢失不会对学生身份的暴光造成什么大影响。

公司组织和安全专家们需要获得这项权利。因为对于一个组织来说，将有限资源运用到合理的地方，适当的数据分类是很重要的。

至于事故的原因，可能普林斯顿和网站供应商不明白网站安全的重要性有关，但我相信根源在于其他地方。对于普林斯顿大学的技术团队来说，它的工作人员会不明白妥善保护资料的重要性？这个问题是在不断变化的过程中，毕竟不存在一个神话般的安全真空。

管理变更是一个经常被许多组织忽略或轻视的关键过程。一个良好的变更过程是需要包括安全跨越多项职能的审查。它还需要保证对所有测试需求的质量。对于彻底的风险评估来说，没有系统需求的定义对于安全来说是不完整的。对普林斯顿大学的事故进行分析，是一个很好的机会。这将让我们发现与技术团队的疏忽相比，如何对变更进行管理才是真正的关键。

解决安全问题的关键是提出正确的问题，而不是迅速找出某人的责任。保护个人信息要从了解为什么每一个拥有信用卡的人都需要验证措施开始。

这只是一个例子，让我们了解为什么每个人都必须承担责任，保护自己身份不被窃取。没有一个制度是无懈可击，这使得我们每个人的身份信息都有可能被窃取。美国联邦贸易委员会在个人保护方面提供了众多的指引。对于政府和信息储存者来说，它们需要努力提高安全的程度，以防止身份窃贼的进入。