如何保护企业内部敏感信息.docVIP

如何保护企业内部敏感信息 阻止内部攻击: 如何保护企业内部敏感信息 您的企业信息安全会受到来自于内部雇员,前雇员,合作伙伴, 及外部的入侵吗 ? 您能将来自于整个 IT 环境中不同监测系统的消息和事件联系起 来吗 ? 您知道采取哪些措施可以应对内部攻击威胁,帮助安全系统达到 所必需的水平吗 ? page 2 目录 2 简介 3 内部攻击带来越来越大的威胁 5 您的组织正面临危险:了解这 种威胁多么巨大 6 打造更加精密的安全措施 11 结束语 简介 现在每年都有越来越多的业务交易通过电子手段进行,组织所保留的敏 感数据的数量也越来越庞大。对于许多组织来说,数据是其无价资产, 是他们运营的血脉。越来越大的用户群开始拥有访问这些数据的权限, 其中包括雇员、商业合作伙伴、供应商以及客户等。 IT 基础设施变得规 模更大、更加复杂、分布更广,而且更加容易访问。 这种互联性为企业、政府机构以及消费者提供了许多有益之处,但同时 也带来了大量的潜在危险。组织所提供的访问点越多,发生系统损害或 数据盗窃情形的可能性就越大。其中的风险相当之高,随着隐私信息库 的扩大,形势变得更加严峻。公司和政府机构必须满足严格的监管要 求,并保护其知识资产不受竞争对手以及破坏性政治团体侵害。而消费 者通常最关注的是发生身份盗窃以及隐私侵犯的潜在危险。 公众对于个人数据的安全性及隐私性越来越关注,这使得许多公司及政 府机构备受瞩目,世界各国都在着手制订监管措施以维护信息机密性。 英国的法律,比如 1998年的《数据保护法案》 (Data Protection Act of 1998) ,已做出进一步的完善以打击欺诈以及身份盗窃。在美国,加利 福尼亚州通过了《安全侵犯通告法》 (Security Breach NotiT cation Law), 要求各公司 (不论其地理位置如何 ) 必须向加州公民通告数据欺诈事件。 1从那以后,另外 23个州也通过了各自的通告法律。加拿大也在计划采取 类似的措施。最近这些立法行为,以及频繁出现的有关安全侵犯的媒体 报道,使人们清晰地认识到这类威胁的确普遍存在。 page 3 要点 强有力的周边防御可以有效地阻止 外部威胁,但是这只能提供组织所 需要的一部分保护。 尽管内部攻击的威胁同外部攻击相 比所引起的重视往往不够,然而, 事实上来自内部的威胁对每个组织 来说都是一个十分紧迫的问题。 IBM 在其 2005年全球业务安全指数报告中指出,当前不断扩大的趋势是 小规模的针对性的攻击,而不是诸如蠕虫、垃圾邮件、病毒以及其他恶 意软件那种席卷全球的威胁。 2 实际上,内部攻击尤其会成为数据安全 性及隐私性的重要威胁。本白皮书旨在让读者更好地理解内部攻击这一 问题,并提供一些可能有助于组织降低内部攻击风险的建议。 内部攻击带来越来越大的威胁 数十年来,各种组织实际都在努力寻求一种平衡:一方面使用更加开放 的互联的分布式网络,一方面又要采取更有力的措施防御各种入侵,包 括采用防火墙、反病毒软件、生物测量学以及身份访问标记。由于采取 了这些措施,商业界可以更有效地防止来自外部的威胁,同时也使潜在 的黑客或病毒越来越难以侵入系统。然而,这些技术从思路上来说基本 上都是被动的,从设计上来说只能阻止那些未经授权的访问。它们只构 筑起了第一道防线。 普华永道和 CIO 共同发表的题为“ 2005全球信息安全状况调查”的研究 显示:33%的信息安全攻击来自于内部雇员,还有 28%是来自于前雇员 以及合作伙伴。 3 尽管企业界、政府机构以及行业分析师都承认来自内 部的安全侵犯所带来的危险,但是那些更加突出的外部入侵往往会受到 更多的重视,比如服务拒绝攻击、大规模蔓延的病毒以及对知识或金融 资产的直接窃取等。 page 4 要点 “不诚实的内部人员”可以利用 组织的漏洞实施身份欺诈或泄露保 密信息——可能是为了获得个人利 益,也可能是团伙犯罪的一部分。 隐私权信息交流中心所保存的一份 清单显示:自 2005年 2月份以来, 单是在美国报告的数据侵犯事件就 达数百起。 但是,这种将外部威胁优先于内部危险加以处理的做法实际上误入了歧 途,会在组织的防御系统中留下巨大的漏洞。 2006年 6月,后台处理及 客户支持公司 HSBC Electronic Data Processing (India) Private报告称:公 司一名雇员获取了客户借记卡信息,并用这些信息从 20名英国客户那里 骗取了 425,000美元。 4 这起事件其实只是过去数年中许多起事件中的一 例。美国隐私权信息交流中心所保存的一份清单显示:自 2005年 2月份 发生的那起备受瞩目的 Choice-Point 数据侵犯事件以来,已经发生了数 百起此类事件。 5 许多此类事件都来源于组织