保障数据安全，你疏忽了多少？

在多次的系统数据泄漏导致其至少1亿客户的敏感数据暴露之后，SONY公司设立了一个首席信息安全官职位，并正在实施额外的防火墙和其它安全保护措施。

 

    该公司是一系列与知名度高的数据泄漏作斗争的公司之一，数据泄漏在2011年的头几个月让这些公司处境艰难。RSA是EMC公司的安全部门，它仍在调查一个可能已经使其最珍贵的资产——知识产权暴露的数据泄漏。市场服务公司Epsilon Data Management，负责为包括RSA在内的许多主要公司处理客户邮箱地址和其它信息，它也经历了严重的系统数据泄漏。

 

     Sony公司的高管们已为他们的安全过失道歉，并将为客户提供免费的信用监控，这是跟踪数据泄漏的一个标准措施。但是，安全专家表示，Sony的泄漏暴露出了太多问题，包括公司无法将客户的敏感支付数据与其系统的其它数据隔离。Sony的初始泄漏影响到了其PlayStation网络的7700万用户。而在一周之后，该公司透露，依赖于其在线娱乐部门的一个服务器也被暴露了，该服务器可以追溯到2007年的信用卡信息，此次事故可能会影响到另外的2400万人。同时，在日本的第三次系统数据泄漏会影响到超过几百万的Sony客户。

 

    专家表示，最近的数据泄漏表明企业需要对数据安全进行更好的管理。安全顾问公司Holmquist Advisory的总裁Eric Holmquist说道，很多时候，公司注重于基础架构和系统安全改善，但却不能获取存储在远程系统上的数据清单。

 

    “我已经看到许多这样的情况，人们可以证明所有的技术、所有的程序以及所有的政策，但当你说，‘太好了，数据清单在哪里呢？’然后你就会得到茫然凝视。”Holmquist说，“经常需要一个重大事件才能使人们把事情做得更好，这是很不幸的。”

 

    Jon Gossels是咨询公司SystemExperts的总裁和首席执行官，他建议所有公司，无论大小，都拿自身与ISO 270002对照。该框架可以帮助公司对其安全政策进行正式化，从而更紧密的管理他们的资产，并把操作管理、风险分析和访问控制连接起来。

 

    “理解你的业务应该以什么方式运作以及它实际是怎么运作的，并找出两者间的差距。”Gossels说道。

 

    Gossels表示，Sony的数据泄漏与其它公司的泄漏存在相同之处。通常情况下，各公司不会运行最新的软件。即使它们运行的是更新的软件，一个配置错误也可以引起缺陷，他说道。据2011年的Verizon数据泄漏调查报告称，几乎所有被分析的数据泄漏都利用了配置缺陷或“系统/应用程序的固有功能”。事实上，Verizon发现，在381件泄漏中只有五个被利用的漏洞归咎于黑客。

 

    参照RSA的数据泄漏事件，“我们发现，在当前，即使是那些在安全方面很擅长的公司也非常容易受到攻击。”Gossels说道，“现在，有组织犯罪猖獗，还出现了敌对的外国政府以及工业间谍等事件；攻击者们正试图做一些难以发现的事情。”

 

    在很多情况下，各组织正在做更好的补丁工作，但是极少数工作是用来解决旧系统中的软件漏洞问题，Bill Curtis这样说道，他是IT软件质量协会的主管和合伙人。即使SQL注入、跨站点脚本以及缓冲区溢出等漏洞被找到并修补了，一个坚定的黑客也会找到他的入侵方法，Curtis说道。他认为，公司需要对他们的系统执行一个更彻底的代码审查，同时保持一个更好的配置管理程序。

 

    “一旦你将你的应用程序暴露在网络上，你就会与你可能不认识的人存在各种难以预料的互动，”Curtis说，“一个支付系统不会希望被连接到一个用于游戏世界的系统。”