返回
数据安全之重-保护不设防的非生产环境

数据安全之重-保护不设防的非生产环境

ID:24049267

大小:49.50 KB

页数:3页

时间:2018-11-12

数据安全之重-保护不设防的非生产环境_第1页
数据安全之重-保护不设防的非生产环境_第2页
数据安全之重-保护不设防的非生产环境_第3页
资源描述:

《数据安全之重-保护不设防的非生产环境》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、数据安全之重:保护不设防的非生产环境~教育资源库  大部分企业都清楚地意识到保护其生产环境下的计算机拒绝未授权访问的必要性。政府法规和行业内法规(如PCI安全标准委员会)都要求企业进行执行相关的数据安全检查规程。即使如此,数据违规行为还是不停的被人揭露见诸报端,甚至诉诸法律,代价非常惨重。  虽然业界已经采取行动应对最恶劣的数据剽窃行为,不过还是有不少计算机系统容易受到某种程度的攻击。而企业的数据安全规程完全没有切实涉及到也没有加以保护的另一个层面的计算机数据仍然存在,那就是非生产系统,这些计算机系统只用于企业内部开发、测试和培训之用。不管

2、位于地球的哪个角落,也不管是多大规模的企业,这些开放的系统都是安全实务的一大漏洞。  美国民间组织隐私权数据交换中心自2005年初臭名昭著的choicePoint数据外泄事件(2004年底该公司被黑客窃取了14.5万名客户的个人信息,包括社会安全号码和信用卡记录等资料,而公司在2005年初才将真相公诸于世)后,即对美国的资料安全状况展开了持续的根中调查。如果从安全威胁波及程度的角度来看,自2005年一月起有超过600多项违规操作被举报,造成了超过1.6亿个数据记录外泄,其中包括敏感的个人信息数据。而这只是保守估计,由于很多提交报告的企业并不

3、知道数据记录泄漏的确切数量,还有的不愿意透露确切树数目,所以估计这个数目还不到实际数目的一半。而2006年的个人资料外泄事件再攀新高。涉及的企业包括上市公司也包括私人所有企业,有非盈利企业和各级政府机关。涉及的数据包括高度敏感的健康医疗信息、财政信息、就业信息、信用卡信息、社会安全信息和其他的个人资料。  了解何处不设防  来自企业内部的威胁占据了主要地位,上述的违规行为中约有60%来自内贼。敏感个人信息的黑市交易对于某些人而言是个巨大的诱饵,因为盗窃数据俨然已经成为能带来滚滚财源的生意。举例而言,每个信用卡信息记录的价格是1.5美元,而每

4、一份医疗身份卡信息记录的价格甚至高达5到50美元。而在几年前的身份盗窃黑市里,这些身份信息的售价还要更高,价格的下降也意味着黑市的规模在壮大,交易量突飞猛进。  绝大多数的企业都喜欢在开发环境和测试环境中使用真实数据,以便对其应用程序进行测试,因为这可以提供一个最佳环境确保应用程序正常工作。然而,开发和测试环境中的人员、过程和技术控制实务以及所采取的安全措施都远比不上实际的产品生产环境。因此,许多企业都于不经意间在应用程序软件开发水平上,就使高度敏感的资料陷于泄漏的危险当中。  某位曾在赛门铁克、富达投资和强生等大企业呆过的资深安全主管称,

5、在今天的软件开发世界离,很多企业使开发资源多元化,他们不仅立足于本国,也开发了海外市场,不仅聘用承包商在其开发设备上工作,也会聘用外包人员开发软件。而非生产环境通常是开放式的,不需要登录,不进行监测,而且往往可以进行远程访问,这无疑为数据窃贼大开了方便之门,兼职就像是在给内部和外部的窃贼发布邀请函,让他们来轻轻松松收获敏感的个人信息,而且不会被什么安全卫士监测到。  保护非安全环境下的机密数据  要保护机密数据以防各种潜在数据违规行为的破坏,企业必须确保非生产环境下的机密数据也得到了严密的保护。Gartner的一份研究报告表明,安全漏洞造成

6、的企业损失每年高达六百亿美元。事实上,在软件投入运行后,消除某项缺陷的费用是在开发和质量保证(QA)过程中纠正该错误花销的两到五倍。  很多企业的机密数据可能存在很多未受保护的拷贝,为了保证这些拷贝数据的安全,新一类的数据安全软件正在开发当中,这些软件使企业能够自动为敏感数据进行保护设置,而不会破坏数据的完整性和测试的有效性。这项技术应当涵盖在应用程序软件开发水平上解决数据安全问题的三个关键要素。  首先,企业应当寻求一种解决方案,使他们能够利用、自定义和创建复杂的规则,或者使已经移植到测试、培训及其他环境的敏感信息模糊化。其次,企业应当保

7、证其解决方案在系统内部提供了对敏感信息的访问控制。最后,一个有效的解决方案应当自动识别和改变系统中复杂数据结构敏感数据元素的每一个实例,以便最大限度减少在所有测试和开发过程及系统中涉及信息安全的手动操作过程。  尽量降低数据泄漏的风险  维护开发、测试和培训环境中的数据安全不仅能满足数据隐私法规的相关要求,而且能够通过避免敏感数据丢失、被盗或受到不正当访问及被非法使用所招惹的维护诉讼,减少法律风险成本。适当的数据安全软件提供了在测试环境中保证数据安全的方法,同时满足严格的法律规定。  敏感数据和机密数据所受到的威胁确实存在,而且越演越烈。世

8、界隐私论坛主管PamDixon在关于医疗身份被窃的一份报告中指出,医疗身份被窃在医疗系统中已经根深蒂固,除了给身份被盗的受害者带来财产损失之外,还会由于冒名顶替者在受害者的健康档

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。