2012年中一系列數(shù)據(jù)泄露事故震驚業(yè)界，LinkedIn與Global Payments兩家企業(yè)巨頭的落馬令業(yè)務(wù)數(shù)據(jù)安全再將成為眾人關(guān)注的焦點(diǎn)。然而大多數(shù)企業(yè)在數(shù)據(jù)安全性方面仍然采用被動(dòng)的“補(bǔ)救式”思維方式，而沒(méi)能實(shí)施更加有效的長(zhǎng)期防護(hù)戰(zhàn)略。下面我們就一起來(lái)看看這種缺乏前瞻性的思路所引發(fā)的四大常見(jiàn)安全陷阱。

◆標(biāo)準(zhǔn)缺失。安全通常建立在多套“標(biāo)準(zhǔn)”之上，而不同IT機(jī)構(gòu)所給出的解決方案也截然不同。舉例來(lái)說(shuō)，對(duì)于數(shù)據(jù)安全需求理解不深的IT人士往往很難拿出令人滿意的數(shù)據(jù)加密方案。某些企業(yè)會(huì)采用密鑰管理互操作協(xié)議（簡(jiǎn)稱(chēng)KMIP）等行業(yè)中的新興加密標(biāo)準(zhǔn)，但由于這套機(jī)制仍然不夠成熟，所以我們不能指望得到“一朝部署、高枕無(wú)憂”的理想效果。由于整體IT安全標(biāo)準(zhǔn)嚴(yán)重缺失，大家不得不面對(duì)高昂的管理成本、繁的管理工作以及更高的數(shù)據(jù)損壞風(fēng)險(xiǎn)。

◆缺乏中央控制機(jī)制。個(gè)人安全及加密工具也在以類(lèi)似的方式為我們帶來(lái)自己的管理控制臺(tái)，其作用范圍涵蓋了日常管理、監(jiān)控與審計(jì)乃至密鑰管理。每一套解決方案都需要進(jìn)行單獨(dú)配置，提供的功能水準(zhǔn)也參差不齊——令人頭痛的認(rèn)證機(jī)制與使用復(fù)雜性將日常操作拖入了泥潭。根據(jù)管理人員對(duì)每款工具的依賴程度與部署效果，實(shí)踐作用與潛在風(fēng)險(xiǎn)也存在明顯差別。同樣值得關(guān)注的是，CIO們目前還沒(méi)有一套足以在各類(lèi)獨(dú)立安全措施中搞定評(píng)估、監(jiān)測(cè)、處理及報(bào)告等日常工作的中央控制方案。由于每一套安全工具都采用自己的政策、配置與管理系統(tǒng)，由此帶來(lái)的升級(jí)成本與復(fù)雜性也成為技術(shù)人員的一大煩惱。

◆彼此獨(dú)立的管理系統(tǒng)。多重安全技術(shù)中的每一項(xiàng)功能都需要單獨(dú)配置、管理并監(jiān)控。同樣是由于缺乏集中式管理或政策手段，管理工作必須圍繞各種工具獨(dú)立進(jìn)行。由于管理事務(wù)的數(shù)量過(guò)于龐大，產(chǎn)生配置錯(cuò)誤的風(fēng)險(xiǎn)也隨之提高，這可能引發(fā)安全漏洞的盛行或者關(guān)鍵文件無(wú)法正常恢復(fù)。

◆IT職責(zé)錯(cuò)位。Ad hoc安全工具在部署過(guò)程中常常作為IT團(tuán)隊(duì)的功能性輔助，用于訪問(wèn)或控制對(duì)應(yīng)系統(tǒng)。最好的實(shí)踐方案當(dāng)然是加密密鑰，然而當(dāng)企業(yè)內(nèi)部采用多種加密解決方案時(shí)，加密密鑰將被大量IT員工所掌握。這顯然違反了信息安全實(shí)踐的一大重要原則，即職與責(zé)分離。接觸到加密密鑰的群體越大，內(nèi)部攻擊出現(xiàn)的風(fēng)險(xiǎn)也將隨之上揚(yáng)。

三步戰(zhàn)略實(shí)現(xiàn)安全集中式目標(biāo)

企業(yè)可以采取以下三個(gè)步驟，借以解決前面提到的幾種安全隱患。

首先是鞏固核心IT管理體系。具體措施包括建立政策管理、配置管理以及報(bào)告/審計(jì)機(jī)制。所有這些管理活動(dòng)都應(yīng)當(dāng)由同一套中央控制方案所引導(dǎo)，并在實(shí)際執(zhí)行的過(guò)程中始終堅(jiān)持這一原則。返之亦然，所有管理信息都要回流到中央管理儲(chǔ)存庫(kù)中，以確保未來(lái)分析及報(bào)告工作的順利進(jìn)行。

其次，打造分布式政策執(zhí)行體系。集中式安全政策必須嚴(yán)格貫徹到整個(gè)企業(yè)中的各類(lèi)系統(tǒng)當(dāng)中。為了實(shí)現(xiàn)這一目的，中央管理控制臺(tái)必須具備分派代理、配置單獨(dú)系統(tǒng)、安全管理并記錄所有操作活動(dòng)的能力。

第三，部署分層管理。這將幫助企業(yè)合理區(qū)分整體與各部門(mén)間的管理政策差異，并設(shè)立專(zhuān)門(mén)負(fù)責(zé)安全事務(wù)的專(zhuān)員。將管理控制維護(hù)等工作劃分到安全專(zhuān)員的職責(zé)之下，這能夠有效減輕IT團(tuán)隊(duì)的工作壓力。舉例來(lái)說(shuō)，金融服務(wù)公司可以賦予數(shù)據(jù)庫(kù)管理員相應(yīng)的權(quán)力進(jìn)行甲骨文數(shù)據(jù)庫(kù)維護(hù)，但必須保證其無(wú)權(quán)訪問(wèn)嚴(yán)格保密的財(cái)務(wù)信息。這種方法既能夠?qū)崿F(xiàn)敏感數(shù)據(jù)的保密性，又可以帶來(lái)安全管理工作的完整性。分層限制機(jī)制，你值得擁有。

要成功部署一套集中式企業(yè)安全管理策略，我們需要投入大量財(cái)力與IT資源。雖然成本不菲，但它將切實(shí)幫助企業(yè)在控制并共享信息的同時(shí)有效降低安全風(fēng)險(xiǎn)。更重要的是，如此一來(lái)數(shù)據(jù)安全性故障的出現(xiàn)機(jī)率也將大大減少，保護(hù)企業(yè)遠(yuǎn)離數(shù)據(jù)破壞及公共信息泄露等問(wèn)題的困擾。

原文地址：http://www.networkworld.com/news/tech/2012/122412-data-security-265352.html