数据安全之重:保护不设防的非生产环境
2008-01-27 13:13:29 来源:WEB开发网大部分企业都清楚地意识到保护其生产环境下的计算机拒绝未授权访问的必要性。政府法规和行业内法规(如PCI安全标准委员会)都要求企业进行执行相关的数据安全检查规程。即使如此,数据违规行为还是不停的被人揭露见诸报端,甚至诉诸法律,代价非常惨重。
虽然业界已经采取行动应对最恶劣的数据剽窃行为,不过还是有不少计算机系统容易受到某种程度的攻击。而企业的数据安全规程完全没有切实涉及到也没有加以保护的另一个层面的计算机数据仍然存在,那就是非生产系统,这些计算机系统只用于企业内部开发、测试和培训之用。不管位于地球的哪个角落,也不管是多大规模的企业,这些“开放”的系统都是安全实务的一大漏洞。
美国民间组织隐私权数据交换中心自2005年初臭名昭著的choicePoint数据外泄事件(2004年底该公司被黑客窃取了14.5万名客户的个人信息,包括社会安全号码和信用卡记录等资料,而公司在2005年初才将真相公诸于世)后,即对美国的资料安全状况展开了持续的根中调查。如果从安全威胁波及程度的角度来看,自2005年一月起有超过600多项违规操作被举报,造成了超过1.6亿个数据记录外泄,其中包括敏感的个人信息数据。而这只是保守估计,由于很多提交报告的企业并不知道数据记录泄漏的确切数量,还有的不愿意透露确切树数目,所以估计这个数目还不到实际数目的一半。而2006年的个人资料外泄事件再攀新高。涉及的企业包括上市公司也包括私人所有企业,有非盈利企业和各级政府机关。涉及的数据包括高度敏感的健康医疗信息、财政信息、就业信息、信用卡信息、社会安全信息和其他的个人资料。
了解何处不设防
来自企业内部的威胁占据了主要地位,上述的违规行为中约有60%来自内贼。敏感个人信息的黑市交易对于某些人而言是个巨大的诱饵,因为盗窃数据俨然已经成为能带来滚滚财源的生意。举例而言,每个信用卡信息记录的价格是1.5美元,而每一份医疗身份卡信息记录的价格甚至高达5到50美元。而在几年前的身份盗窃黑市里,这些身份信息的售价还要更高,价格的下降也意味着黑市的规模在壮大,交易量突飞猛进。
更多精彩
赞助商链接