小心看好你的数据

2012年数据泄漏事件频频发生，着实让企业捏了一把汗。2013年，随着云计算和BYOD（自带设备办公）被越来越多企业采纳，数据泄漏仍然是企业必须重点防范的安全威胁之一。趋势科技在其的2013年安全趋势报告中指出，无论是否使用云存储，数据泄露仍然是企业2013年面临的主要威胁之一。

对企业而言，保护企业数据正变得越来越困难，邮件、网站、应用程序、移动终端……企业数据泄漏的途径越来越多，致使越来越多的数据暴露在黑客和竞争对手的面前，企业员工哪怕是在细节上的微小疏忽，就可能为黑客窃取企业数据打开了大门。企业既要允许正常的数据访问，又要保护数据不被滥用、损坏和窃取，因此部署完善的解决方案并非易事。

数据防护面临内忧外患

造成企业数据泄露的内部和外部原因多种多样。近日，卡巴斯基联手调查机构B2B International对来自全球22个国家的3300多名IT人员进行了一项关于企业数据泄漏情况的调查。调查结果显示，35%的企业数据泄漏是由恶意软件感染造成的，这也是企业数据泄漏的主要原因。其次，电子邮件攻击和钓鱼网站也是造成数据泄露的主要途径，分别占21%和17%。

除了外部原因，企业内部原因造成的数据泄露往往容易被忽略。卡巴斯基调查显示，在造成数据泄漏的内部风险中，最常见的是企业软件中的漏洞。这类风险通常能够通过部署全面的安全策略来消除，企业需要通过安全系统对包含潜在风险的软件进行控制。

此外，移动设备也是企业数据泄漏的一大源头。有23%的受访者表示，在企业中约15%的移动设备丢失或失窃会造成数据泄漏。另有13%的受访者表示，曾由于疏忽造成数据落入他人之手，例如将邮件发错对象。

从丢失数据的类型看，36%的受访者认为客户信息和金融数据经常丢失，其次是企业员工数据，被窃概率约为31%。而这些数据的泄漏给企业造成了经济和名誉等多重损失，并且数据泄露对企业名誉的负面影响正在扩大。Check Point近日在英国的一项调查显示，在过去五年里不断发生的数据泄露事件，削弱了公众对私人企业和政府机构保护个人信息能力的信任度，44%的受访者降低了其对政府和公共服务机构的信任，50%的受访者对私人企业的信息保护能力产生怀疑。此外，77%的受访者表示，在购买产品或者服务时，与遭遇过数据泄露的公司相比，他们更倾向于选择没有发生过数据泄露的公司。由此可见，企业必须采取必要的安全策略，对敏感信息进行加密，以减少数据泄露给企业带来的声誉损失。

三分技术 七分管理

在云计算、虚拟化、社交网络和移动计算快速发展的同时，网络威胁也在演变，传统的防护策略已经落后于日新月异的网络环境。趋势科技（中国区）资深研究员谷亮在接受本报记者采访时称：“当企业开始将机密信息存储到云端时，会发现那些用来预防企业服务器遭到大规模数据泄露的解决方案，在云端环境中将无法发挥应有的效果。IT人员必须选择适当的云端安全解决方案。”

如今，黑客逐渐将各种网络攻击与数据偷窃结合起来，可以规避企业中传统的安全防护体系，让基于签名和特征库的杀毒软件、防火墙形同虚设。“以往简单的分类方式将不再适用于这些能从电子邮件、社交网络、移动设备和网络数据等多个渠道综合攻击企业网络的高级威胁，只有能够实时监测的产品或解决方案才能确保企业用户的网络安全。”Websense中国区总经理穆军向本报记者表示，这就是为什么Websense TRITON将所有威胁防御和数据泄漏防护的关键部件整合为一个紧密的内容安全系统的原因，“此外，Websense TRITON还搭建了一个统一的、智能的管理平台，便于IT人员清晰地掌握企业信息安全状况。该解决方案既可以部署在企业级设备上，也可以部署在云端服务器上，两者混合部署更能发挥强大能量。”

从企业的角度看，卡巴斯基实验室首席产品官Petr Merkulov认为：“企业必须在IT基础设施方面部署多层级的安全保护系统。企业的安全解决方案应该能够利用恰当的工具，保护企业数据不受外部威胁和内部威胁的侵害，包括反恶意软件技术、企业安全策略和数据泄漏保护等。”

对于防范数据泄露，“三分技术，七分管理”是业界的共识。但是员工当前的安全意识仍然薄弱，Check Point的一项调查结果多少令人感到沮丧：“40%的受访者经常通过手机或平板电脑查收工作邮件；33%的受访者将工作数据储存在未加密的U盘中并且随身携带；17%的受访者使用类似Dropbox的云存储服务。”

对此，Check Point英国董事总经理Terry Greer-King表示：“尽管公众信任度降低，要求相关机构负责任地处理个人数据的呼声很高，但相当数量的员工仍然经常进行不安全的计算操作，有意无意地违反公司的IT策略。这些风险和威胁需要通过教育员工和安全技术相结合才能应对。”在他看来，要达到现在需要的安全保护水平，企业不能单靠拼凑各种不同的安全技术，而是需要借助一个有效的商业流程。“超越了技术层面的Check Point 3D安全方针正是为此而设计的。凭借Check Point 3D安全方针，企业能够掌握及实施一个超越技术层次的安全蓝图，让员工参与其中，从而教育员工遵从企业安全策略。同时，凭借Check Point的UserCheck技术，企业可以在员工访问网络、数据和应用的时候对他们进行提醒和教育，帮助企业把数据泄露的频率、风险和损失最小化。”Terry Greer-King表示。