造成数据安全事故的四大首恶

2012年中一系列数据泄露事故震惊业界，LinkedIn与Global Payments两家企业巨头的落马令业务数据安全再将成为众人关注的焦点。然而大多数企业在数据安全性方面仍然采用被动的“补救式”思维方式，而没能实施更加有效的长期防护战略。下面我们就一起来看看这种缺乏前瞻性的思路所引发的四大常见安全陷阱。

* 标准缺失。安全通常建立在多套“标准”之上，而不同IT机构所给出的解决方案也截然不同。举例来说，对于数据安全需求理解不深的IT人士往往很难拿出令人满意的数据加密方案。某些企业会采用密钥管理互操作协议（简称KMIP）等行业中的新兴加密标准，但由于这套机制仍然不够成熟，所以我们不能指望得到“一朝部署、高枕无忧”的理想效果。由于整体IT安全标准严重缺失，大家不得不面对高昂的管理成本、繁的管理工作以及更高的数据损坏风险。

* 缺乏中央控制机制。个人安全及加密工具也在以类似的方式为我们带来自己的管理控制台，其作用范围涵盖了日常管理、监控与审计乃至密钥管理。每一套解决方案都需要进行单独配置，提供的功能水准也参差不齐——令人头痛的认证机制与使用复杂性将日常操作拖入了泥潭。根据管理人员对每款工具的依赖程度与部署效果，实践作用与潜在风险也存在明显差别。同样值得关注的是，CIO们目前还没有一套足以在各类独立安全措施中搞定评估、监测、处理及报告等日常工作的中央控制方案。由于每一套安全工具都采用自己的政策、配置与管理系统，由此带来的升级成本与复杂性也成为技术人员的一大烦恼。

* 彼此独立的管理系统。多重安全技术中的每一项功能都需要单独配置、管理并监控。同样是由于缺乏集中式管理或政策手段，管理工作必须围绕各种工具独立进行。由于管理事务的数量过于庞大，产生配置错误的风险也随之提高，这可能引发安全漏洞的盛行或者关键文件无法正常恢复。

* IT职责错位。Ad hoc安全工具在部署过程中常常作为IT团队的功能性辅助，用于访问或控制对应系统。最好的实践方案当然是加密密钥，然而当企业内部采用多种加密解决方案时，加密密钥将被大量IT员工所掌握。这显然违反了信息安全实践的一大重要原则，即职与责分离。接触到加密密钥的群体越大，内部攻击出现的风险也将随之上扬。

三步战略实现安全集中式目标

企业可以采取以下三个步骤，借以解决前面提到的几种安全隐患。

首先是巩固核心IT管理体系。具体措施包括建立政策管理、配置管理以及报告/审计机制。所有这些管理活动都应当由同一套中央控制方案所引导，并在实际执行的过程中始终坚持这一原则。返之亦然，所有管理信息都要回流到中央管理储存库中，以确保未来分析及报告工作的顺利进行。

其次，打造分布式政策执行体系。集中式安全政策必须严格贯彻到整个企业中的各类系统当中。为了实现这一目的，中央管理控制台必须具备分派代理、配置单独系统、安全管理并记录所有操作活动的能力。

第三，部署分层管理。这将帮助企业合理区分整体与各部门间的管理政策差异，并设立专门负责安全事务的专员。将管理控制维护等工作划分到安全专员的职责之下，这能够有效减轻IT团队的工作压力。举例来说，金融服务公司可以赋予数据库管理员相应的权力进行甲骨文数据库维护，但必须保证其无权访问严格保密的财务信息。这种方法既能够实现敏感数据的保密性，又可以带来安全管理工作的完整性。分层限制机制，你值得拥有。

要成功部署一套集中式企业安全管理策略，我们需要投入大量财力与IT资源。虽然成本不菲，但它将切实帮助企业在控制并共享信息的同时有效降低安全风险。更重要的是，如此一来数据安全性故障的出现机率也将大大减少，保护企业远离数据破坏及公共信息泄露等问题的困扰。