规避五大数据安全风险

核心提示： 在TJX的案例中，黑客是利用War-Driving渗透到系统内并入侵企业网络的，规避五大数据安全风险(6)，而这主要是因为TJX使用的网络编码低于标准规格，且在网络上的计算机并没有安装防火墙，此外，在使用备份磁带或者磁盘时，传输数据也没有进行加密，这才使得黑客可以在网络上安装软件并访问系统

在TJX的案例中，黑客是利用War-Driving渗透到系统内并入侵企业网络的。而这主要是因为TJX使用的网络编码低于标准规格，且在网络上的计算机并没有安装防火墙，传输数据也没有进行加密，这才使得黑客可以在网络上安装软件并访问系统上的客户信息，甚至还可以拦截在价格检查设备、收银机和商场计算机之间传输的数据流。

建议：如果对数据库的访问非常容易的话，那么建议企业使用高级别的数据安全措施和数据编码。

员工大意

Pfizer公司的一名员工一直是通过网络和笔记本电脑进行远程办公的，没想到，他的妻子在其工作用的笔记本电脑上安装了未经授权的文件共享软件，致使外部人员通过这个软件获得了1.7万名Pfizer公司现任员工和前任员工的个人信息，其中包括姓名、社保账号、地址和奖金信息等。统计显示，大约有1.57万人通过P2P软件下载了这些数据，另外有1250人转发了这些数据。

代价：为了将数据泄露事件的危害降至最低，并避免类似事件的发生，Pfizer与一家信用报告代理商签署了一项“支持与保护”合同，合同包括对与泄露数据相关的信息进行为期一年的信用监控服务，以及一份因数据泄露对个人损失进行赔偿的保险单。

分析：据Ponemon的最新研究表明，粗心的员工（虽然不是故意的）是数据安全的最大威胁。有数据显示，88%的数据泄露与员工的大意有关。如果企业的员工能够具有更高的安全意识，数据泄露的数量将会大幅下降。在Pfizer的案例中，就是因为员工的妻子在其笔记本电脑上安装了文件共享软件，这才使得其他人能够通过P2P软件获得笔记本电脑上的数据，包括Pfizer公司的内部数据信息。

大意的员工再加上文件共享软件，这绝对是个危险的组合。Dartmouth College在2007年的研究表明，虽然大部分企业不允许在企业网络上安装P2P软件，但是很多员工却在远程计算机和家用PC上安装了这种软件。研究发现，有三十家美国银行的员工在使用P2P软件分享音乐和其他文件，并在不经意间向潜在的网络犯罪分子泄露了银行账户数据。一旦业务数据发生泄露，将会通过P2P软件扩散到全世界的很多计算机上。

建议：企业的IT部门应该全面禁止员工使用P2P软件，或者制定规章限制P2P的使用，并安装工具来强化这一规章。并且，应该对员工的计算机系统进行审核，阻止员工进行软件下载。比如，可以将员工的管理员资格取消，这样他们就不能安装任何程序了。同时，最重要的就是教育和培训，因为这样能够让员工了解P2P的危险性。

合作伙伴泄露

2008年11月，亚利桑那州经济安全部给大约4万名儿童的家长发出了通知——这些孩子的个人信息可能已经因为代理商将几个磁盘丢失而被泄露。磁盘虽然有密码保护，但却没有进行加密。

代价：统计数据显示，对企业来说，合作伙伴将数据泄露的损失往往比企业内部泄露的损失更大。据Ponemon的调查统计，合作伙伴泄露一份数据记录企业要损失231美元，而企业内部泄露一份数据记录造成的损失约为171美元。

分析：Ponemon的年度损失报告表明，外包、转包、咨询和商业合作伙伴造成的数据泄露在不断增长，去年大约占到所有数据泄露事件的44%，比2007年增长了40%。ITRC的研究也指出，2008年10%的数据泄露与代理商有关。

建议：企业需要签订更高服务级别的详细合同，确保代理商遵守协议，一旦其违反了合同就能够对其进行处罚。此外，在使用备份磁带或者磁盘时，一定要进行加密和密码保护。