数据危机，你准备好了吗？（二）（AMT研究院 彭辉 编译）

 
此外，该石油公司还把所有的Windows 和 Unix 服务器的安全系数设定为最高，然后设定监视系统，所有服务器的任何一个受到入侵都会被监控起来。MacWillson认为，无论哪方面的工作，从服务器到工作站再到中转站都必须绷紧安全的神经。层级安全应用至少必须达到网络安全的水平。MacWillson 还警告那些只关注SAP等类似系统的安全性，而忽视Unix 服务器安全的公司，这样很容易遭受病毒的攻击。

客户数据安全的另一个隐患在于，公司内部人员很容易就可以接触到这些信息。衣阿华州立大学的信息保护中心的主任Doug Jacobson 建立了一个安全实验室，以帮助企业测试其安全流程的可靠性，他认为现在大部分的企业都把全部的安全精力放在了互联网边界的安全性上，往往都忽视了企业内部在防火墙以内的地方所发生的事情。

如何保护那些工作繁忙的而且数量巨大的笔记本电脑用户的数据安全是另外一个需要企业注意的地方。虽然当笔记本电脑和企业的网络连接起来的时候，其安全性能是和企业的网络紧密联系在一起的，但是当员工的笔记本电脑没有和网络连接起来的时候，其安全保证已经不在企业的控制范围之内，这时候该怎么做呢？E-Trade公司的安全专家 Levine 谈到，在企业里绝大多数的数据库都有安全保护机制，如数据加密、用户ID和密码认证、电脑日志等等，但是对于数据在数据库外面进行的交换活动，数据库的安全机制也就无能为力了。此外，他还认为即使是在现有的信息安全产业里面，信息安全公司也没有什么好的办法来解决这个问题。

那么，是不是说对于这些移动的办公设备就束手无策了呢？显然企业还可以从以下一些方面来改进，首先，应当保证所有的笔记本电脑应用软件的补丁都即时更新。即使是微软，虽然它吹嘘其 Windows XP 强大的安全保障性，但是这一切只有在你的电脑即使更新了所有的补丁之后才能发挥作用。其它的一些好的做法包括使用难以破解的密码，通过VPN网络进行连接。另外一个很明显但又及其容易被我们所忽略的一点是：永远不要随意把你的电脑放在犯罪分子容易接触得到的地方。

企业的技术人员应该考虑如何加强在线认证，实现日志和查证索引的自动化分析，并以此来决定哪些用户有权进入关键的系统。BMO 财务金融集团正是应用这一方法来加强其安全措施的。与此相关的一个措施是不仅进行有规则的网络检测，同时还进行网络渗透的测试。E-Trade 公司应用 Skybox安全公司的安全软件来分析那些明显的和潜在的易于受到攻击的弱点，不仅分析来自外部的攻击同时还分析来自内部的潜在威胁。

企业必须以实事求是的态度去分析自己的做法，虽然有时候这样做是很残酷的。MonsterCommerce 软件公司为5000多家在线企业提供在线购物篮子的软件，该公司每个季度都会重复监测其软件的安全性，确保里面不会有漏洞可寻。此外，该公司每半年还要第三方合作企业对其系统进行渗透攻击，以此来检测潜在的威胁，这种做法也是所有安全项目中的一个关键环节。

企业如何进行安全性能的评价并不缺少基准的标准，其中一个是国际标准化组织的17799标准，虽然该标准的名字一直没有变化，但是其里面的内容都是最好的实践操作经验，包括：企业安全持续性的计划、系统入口的控制、物理设备和环境安全以及信息的保护和加密。另外一个更加全面的评估标准是ISO27001，该标准列出了信息安全管理系统的所有要素，估计将于今年的下半年出版。

另外还有一个英国标准可供参考，BS7799——英国标准局制定的。而到六月三十号的时候，绝大多数的信用卡公司——如前面说到的暴露4000万客户资料的CardSystems 公司，都必须达到《支付卡产业数据安全标准》要求的保密标准。

很多公司已经开始采取行动应对新的危险和要求，Campana Systems软件公司开始重新编写软件程序以满足《支付卡产业数据安全标准》和其它标准的要求。该公司第一次计划加密其数据，并且把该公司的网络与成员隔开来，只对他们提供那些必须的最基本的信息。

面对不断的威胁，一些安全设置的变动很有可能改变整个商业惯例。ChoicePoint是一家专门为保险和信用评估公司提供确保个人资料安全的措施的公司，自从不久前它被披露由于有人提交虚假的商务需求，已经有大约14.5万名客户记录被窃取，ChoicePoint发现自己正陷入一个巨大的漩涡之中，现在该公司已经决定依据出售信息的内容和客户对象采取相应的制约措施。

其它的公司也会因此得到教训，他们将不得不清除历史记录或者为此做出赔偿。Gartner 市场调查公司的分析专家 Avivah Litan 认为 Specter-Leahy 法案将会把很多企业的CEO推向火山口，但是其它的相关的人员同样也会感受到火山的煎熬。

虽然如此，但是即使在美国国内，保护信息安全的法律也不够完善，对恶意黑客缺乏威慑。美国“信息安全工业联盟”的一项抽样调查结果显示，97%的人认为窃取信用卡号码等“认证盗窃”值得重视，67%的人认为政府应该做得更多。由RSA信息安全公司进行的另一项调查中，80%的高级专业人士认为保护数据安全的立法还很不够。同时，对于企业来说信息安全不仅仅涉及网络的问题，还涉及企业内部的方方面面，从这里可以看出，国内企业所面临的数据保护任务依然任重而道远。

附录：

作者依据实践经验给出数据保护的一些具体的正确做法：

公司是否制定了明确的安全政策：Deloitte认为大约有十分之一的企业没有明确的安全政策。

数据的彻底清查：公司到底拥有什么样的数据，哪些数据最容易受到攻击，是否所有的数据都是你所需要的。

企业是否考虑了数据的加密：从花旗集团到Acxiom 公司，很多公司都采用了数据加密技术，不仅仅是在数据的交换时候，还有数据存储的时候也进行了加密。

数据加密很重要，但仅仅加密是不够的：企业还应当不断检测数据的来源和数据的去向。

避免只张大眼睛看外面：外部的攻击确实和危险，但是内部的威胁更加让你防不胜防，在使用防火墙抵御外来入侵的时候，一定要主意在内部保护关键的数据，监视所有可疑的使用。

系统的安全级别一定要设置为最高：对照那些ISO标准、英国标准以及其它的信用标准如《支付卡产业数据安全标准》的要求来检测信息安全系统。你是否觉得安全措施过头了呢？去问问你的CEO是否感到放心吧。

监视防火墙的工作状况：防火墙不是万能的，需要使用一些自动的工具来监视防火墙两边的数据交换情况，这样可以密切控制那些可疑的数据进出。

企业应当建立超越互联网的数据安全观：企业应该明确除了网络还有其它的途径会带来数据的风险，笔记本电脑的使用、数据的备份以及企业内外的数据的运输等等都可能导致数据的泄漏，企业必须制定紧急预案，当上述的环节出了问题导致数据的丢失或者被盗时该采取什么措施来降低风险。

对安全系统进行明智的投资：信息安全系统的费用往往是惊人的，企业不应该把所有的预算投入到一个信息安全的项目中去，应该考虑更多的地方。

Specter-Leahy 法案——美国参议院发布的反身份证盗窃法案。据这个法案的支持者称，该法案将保护消费者的身分证不被偷窃。美国参议院司法委员会主席、宾西法尼亚州共和党参议员Arlen Specter和参议院司法委员会高级成员、佛蒙特州民主党参议员Patrick Leahy 6月29日提出了“2005年个人数据隐私和安全法案”。据Leahy个人网站发表的声明称，这个法案是根据在今年年初参议院司法委员会关于电子数据安全的听证会上发表的证词编写的。这个听证会是在发生了ChoicePoint和LexisNexis公司严重的数据失窃案之后召开的。从那以后，还有一些公司网站被黑，造成数百万美国人的个人数据被窃或者丢失。