實(shí)際上，安全咨詢機(jī)構(gòu)波耐蒙研究所（Ponemon Institute）的一項(xiàng)近期調(diào)查發(fā)現(xiàn),，粗心大意的內(nèi)部人員無疑是數(shù)據(jù)安全面臨的最大威脅,，占到了所有泄密事件的78%。

在這篇特寫報(bào)道中，你將了解一些最新的數(shù)據(jù)保護(hù)技術(shù),，不但可以保護(hù)公司內(nèi)部的存儲(chǔ)數(shù)據(jù),，還可以保護(hù)通過筆記本電腦、磁帶及其他移動(dòng)介質(zhì)隨意進(jìn)出貴公司的存儲(chǔ)數(shù)據(jù),。

遺憾的是,，數(shù)據(jù)泄密事件對(duì)企業(yè)界來說已經(jīng)成了一種生活方式。據(jù)美國(guó)身份失竊資源中心（ITRC）聲稱,，2008年登記在案的數(shù)據(jù)泄密事件比前一年增加了47%,。身份失竊專家兼加利福尼亞州歐文Identity Doctor公司的創(chuàng)辦人Craig Muller表示，而那些事件只是媒體公開報(bào)道的事件,。他說：“我經(jīng)常接到電子郵件,，說是哪家公司發(fā)生了泄密事件。”

公眾絕對(duì)感受到了疼痛,。在2008年波耐蒙研究所開展的一項(xiàng)調(diào)查中,，美國(guó)各地的1795名成人調(diào)查對(duì)象當(dāng)中超過一半（55%）表示，自己在之前的24個(gè)月里接到過至少兩起數(shù)據(jù)泄密事件通知;8%的人表示接到過至少四起這類通知,。

但是公司對(duì)于如何保護(hù)自己仍然心里沒底,。在波耐蒙研究所上個(gè)月發(fā)布的調(diào)查中，接受調(diào)查的577名安全專業(yè)人士當(dāng)中只有16%表示,，自己對(duì)目前的安全做法防止客戶或員工的數(shù)據(jù)丟失或被偷表示有信心或很有信心,。

提升信心的一個(gè)辦法就是分析實(shí)際的泄密事件，并從中汲取教訓(xùn),。下文剖析了五種常見的泄密事件,，并且給出了如何避免類似災(zāi)難的忠告。

一,、設(shè)備被偷

回顧：2006年5月，為美國(guó)退伍軍人管理局工作的一個(gè)分包商在家里丟失了筆記本電腦和存儲(chǔ)磁盤后,，有關(guān)2650萬(wàn)名退伍軍人的個(gè)人數(shù)據(jù)被泄密了,。后來兩樣?xùn)|西都找回來了，相關(guān)人員也被繩之以法,。聯(lián)邦調(diào)查局聲稱,，數(shù)據(jù)沒有被竊取;但這起事件促使退伍軍人管理局進(jìn)行全面整改。然而,，2007年1月發(fā)生了另一起泄密事件：當(dāng)時(shí)退伍軍人管理局在亞拉巴馬州的一家醫(yī)療機(jī)構(gòu)丟失了一臺(tái)筆記本電腦,，結(jié)果導(dǎo)致53500名退伍軍人和130余萬(wàn)名醫(yī)生的個(gè)人數(shù)據(jù)泄密。

代價(jià)：到2006年6月,，退伍軍人管理局每天花20萬(wàn)美元來運(yùn)營(yíng)呼叫中心,，答復(fù)有關(guān)泄密事件的問題。它還花費(fèi)100萬(wàn)美元打印及郵寄通知函,。經(jīng)過批準(zhǔn),，退休軍人管理局重新劃撥了多達(dá)2500萬(wàn)美元的資金,，以支付這些成本。一群人還提起了集體訴訟案,，包括要求為受到影響的每個(gè)人賠償1000美元,。在2007年那起事件后，退伍軍人管理局另外留出了2000萬(wàn)美元,，以支付泄密事件有關(guān)的成本,。該部門最近同意向目前及以前的軍事人員支付2000萬(wàn)美元，以調(diào)解集體訴訟案,。

提醒：設(shè)備丟失或被偷在所有泄密事件中占了最多的比例——ITRC表示,，2008年約占20%。據(jù)律師事務(wù)所Seyfarth Shaw芝加哥辦事處的合伙人Bart Lazar表示,，涉及丟失或被偷筆記本電腦的事件占了他平時(shí)接手的數(shù)據(jù)泄密案件的大部分,。

教訓(xùn)：Lazar建議禁止把個(gè)人識(shí)別信息放在筆記本電腦上。比方說,，不要把客戶或員工的姓名與其他識(shí)別信息（比如社會(huì)保障號(hào)或信用卡號(hào)）聯(lián)系在一起;另外,，你可以截短這些號(hào)碼。還有,，不妨考慮使用自己的獨(dú)特識(shí)別信息,，比如把某人姓名中的幾個(gè)字母與社會(huì)保障號(hào)的后四位數(shù)結(jié)合起來。

第二,，要求筆記本電腦上的個(gè)人信息進(jìn)行加密,，盡管這么做成本可能很高（每臺(tái)筆記本電腦為50至100美元），還會(huì)影響性能,。網(wǎng)件公司的存儲(chǔ)安全宣傳官,、存儲(chǔ)網(wǎng)絡(luò)行業(yè)協(xié)會(huì)存儲(chǔ)安全行業(yè)論壇副主席Blair Semple表示，除了加密外,，還需要加強(qiáng)這方面的意識(shí),。他說：“我見過人們能夠加密但沒有加密的情況。對(duì)信息進(jìn)行加密很容易人,，難就難在管理及部署方面,。”

第三，Lazar建議實(shí)施政策,，要求使用非常強(qiáng)的密碼,，以保護(hù)被偷設(shè)備上的數(shù)據(jù)。

二,、內(nèi)部人員竊取

回顧：2007年11月,，富達(dá)國(guó)民信息服務(wù)公司（Fidelity National Information Services）旗下子公司Certegy Check Services的一名高級(jí)數(shù)據(jù)庫(kù)管理員利用權(quán)限訪問，竊取了屬于850余萬(wàn)個(gè)客戶的記錄。隨后,，他把這些資料以50萬(wàn)美元的價(jià)格賣給了一經(jīng)紀(jì)人,，該經(jīng)紀(jì)人轉(zhuǎn)手賣給了直接營(yíng)銷商。后來這名員工被判處四年以上徒刑,，并處罰金320萬(wàn)美元,。據(jù)公司工作人員聲稱，沒有出現(xiàn)身份失竊,，不過受到影響的客戶們收到了當(dāng)初購(gòu)買這些資料的公司發(fā)來的推銷廣告,。

在另一起重大案例中，杜邦公司一名工作了十年的資深科學(xué)家下載了價(jià)值高達(dá)4億美元的商業(yè)機(jī)密,，隨后在2005年年底離開公司,、轉(zhuǎn)投杜邦在亞洲的一家競(jìng)爭(zhēng)對(duì)手。據(jù)審判記錄顯示,，他利用權(quán)限訪問,，下載了大約22000份文檔摘要，并且瀏覽了大約16700個(gè)全文PDF文件,。這些文檔涉及杜邦的大多數(shù)主要產(chǎn)品線,，包括一些新興技術(shù)。這名科學(xué)家與那個(gè)競(jìng)爭(zhēng)對(duì)手偷偷商談時(shí)進(jìn)行了下載活動(dòng),，他在接受這份差事后下載了兩個(gè)月,。最后，他被判處在聯(lián)邦監(jiān)獄服刑18個(gè)月,，繳納罰金3萬(wàn)美元,，還被判支付賠償金14500美元。

代價(jià)：在杜邦案中,，商業(yè)機(jī)密的價(jià)值估計(jì)超過了4億美元,，不過政府估計(jì)這家公司實(shí)際損失了大約18.05萬(wàn)美元。沒有證據(jù)表明機(jī)密信息被轉(zhuǎn)移到了共同作案的那個(gè)競(jìng)爭(zhēng)對(duì)手,。

據(jù)Semple聲稱,，客戶信息被竊帶來的損失幾乎總是超過知識(shí)產(chǎn)權(quán)被竊。以Certegy案為例,，2008年達(dá)成了調(diào)解：為個(gè)人信息或財(cái)務(wù)信息被竊取的所有集體訴訟原告提供高達(dá)2萬(wàn)美元的賠償，彌補(bǔ)身份失竊造成的某些未賠償損失,。

提醒：ITRC表示,，2008年登記在案的泄密事件中近16%歸因于公司內(nèi)部人員。這比前一年的比例翻了一番,。導(dǎo)致這種增長(zhǎng)的一個(gè)原因就是,，如今招聘員工的是與犯罪活動(dòng)有瓜葛的外部人員——據(jù)卡內(nèi)基·梅隆大學(xué)CERT協(xié)調(diào)中心聲稱，這個(gè)趨勢(shì)可解釋1996年至2007年所犯的內(nèi)部人員犯罪的一半事件。

CERT表示,，內(nèi)部人員犯罪有兩個(gè)原因：一是為了獲取錢財(cái)（如Certegy案）,，另一個(gè)是為了獲得商業(yè)優(yōu)勢(shì)（如杜邦案）。CERT表示,，在后者當(dāng)中,，犯罪活動(dòng)通常在違法員工辭職后就開始了。但竊取活動(dòng)通常在他們離開公司后進(jìn)行的,，留下了一條秘密通道,，以便訪問所需數(shù)據(jù)。

Semple表示,，內(nèi)部人員竊取是最難對(duì)付的,，特別是員工使用授權(quán)訪問時(shí)更是如此。

教訓(xùn)：CERT表示,，一條有效的防范措施就是,，監(jiān)控?cái)?shù)據(jù)庫(kù)和網(wǎng)絡(luò)訪問權(quán)限以查找異常活動(dòng),，并設(shè)置閾值,，表明不同用戶的哪些使用是可以接受的。這樣一來,，如果負(fù)責(zé)某項(xiàng)任務(wù)的員工所做的事超出了正常的職責(zé)范圍,，就比較容易發(fā)現(xiàn)。比方說,，杜邦之所以能發(fā)現(xiàn)非法活動(dòng),，就是因?yàn)槟敲茖W(xué)家使用電子數(shù)據(jù)庫(kù)服務(wù)器過于頻繁。

如果懷疑發(fā)生了泄密事件,，CERT表示重要的是行動(dòng)要迅速,，以便盡量減小信息被進(jìn)一步傳播的可能性，并且讓執(zhí)法部門有機(jī)會(huì)開始調(diào)查案件,。

Lazar表示,，公司還應(yīng)當(dāng)實(shí)施基于角色的訪問控制工具，以便嚴(yán)格控制誰(shuí)在訪問寶貴資產(chǎn),。含有客戶或員工信息的數(shù)據(jù)庫(kù)允許的訪問權(quán)應(yīng)當(dāng)非常有限,。他說：“每天有多少人需要未經(jīng)許可、查看社會(huì)保障號(hào)和地址,？個(gè)人信息受到的保護(hù)級(jí)別應(yīng)與商業(yè)機(jī)密一樣嚴(yán)密,。”

Muller建議使用數(shù)據(jù)丟失預(yù)防工具，限制個(gè)人數(shù)據(jù)被電子郵件發(fā)送,、打印或拷貝到筆記本電腦或外部存儲(chǔ)設(shè)備上,。要是有人試圖拷貝個(gè)人數(shù)據(jù),，有些這類工具會(huì)發(fā)出警報(bào)以通知管理員，并且為這類事件建立日志文件,。他說：“許多情況下,，公司沒有落實(shí)合理的跟蹤記錄系統(tǒng)。”

Semple表示,，加強(qiáng)內(nèi)部控制和審計(jì)措施也很重要,，比方說反復(fù)檢查網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)活動(dòng)日志。單單維持詳細(xì)的日志還不夠;你還需要落實(shí)審計(jì)措施,，查看有沒有人改動(dòng)日志或非法訪問日志,。他說：“除非有一種方法可以核實(shí)日志信息沒有被篡改，否則就很難知道日志的重要性,。”

但到頭來,，光有技術(shù)還不夠。Semple說：“你要找到一種辦法來確保你所信任的用戶確實(shí)值得信任,。”

 

三,、外部人員入侵

 

回顧：2007年1月，零售商The TJX Companies聲稱它的客戶交易系統(tǒng)遭到了黑客攻擊,。2003年至2006年12月期間多次遭到了入侵,，黑客訪問了9400萬(wàn)個(gè)客戶賬戶。后來發(fā)現(xiàn),，有人利用竊取的信息實(shí)施了案值800萬(wàn)美元的禮品卡欺詐案和偽造信用卡欺詐案,。2008年夏天，11個(gè)人因與該事件有關(guān)的指控而被判有罪,，這也是美國(guó)司法部有史以來提起公訴的最嚴(yán)重的黑客破壞和身份失竊案,。

代價(jià)：TJX估計(jì)泄密帶來的損失為2.56億美元。這包括修復(fù)計(jì)算機(jī)系統(tǒng)以及為應(yīng)對(duì)訴訟,、調(diào)查,、罰款及更多事項(xiàng)而支付的成本。這還包括因造成的損失而賠錢給維薩公司（4100萬(wàn)美元）和萬(wàn)士達(dá)卡公司（2400萬(wàn)美元）,。聯(lián)邦交易委員會(huì)下令：在接下來的20年里,，TJX公司每隔一年就要接受獨(dú)立的第三方安全審計(jì)。

然而,，其他人預(yù)計(jì)損失會(huì)增加至10億美元,，這包括法律調(diào)解和客戶流失所帶來的損失。據(jù)波耐蒙研究所在2008年4月發(fā)布的一項(xiàng)調(diào)查顯示,，如果某家公司發(fā)生了數(shù)據(jù)泄密事件,，它就會(huì)失去31%的客戶數(shù)量和收入來源。波耐蒙研究所在最新發(fā)布的《數(shù)據(jù)泄密的成本》年度調(diào)查中還發(fā)現(xiàn),，去年,，泄密事件讓相關(guān)公司因泄密的每條客戶記錄而損失202美元;2007年的損失還只有每條197美元。與錯(cuò)失商機(jī)有關(guān)的成本是導(dǎo)致?lián)p失增加的最主要部分,。2008年數(shù)據(jù)泄密事件的平均成本為660萬(wàn)美元,，2007年為630萬(wàn)美元。

提醒：據(jù)波耐蒙研究所在2008年的一項(xiàng)調(diào)查顯示,，黑客引起的數(shù)據(jù)泄密在安全威脅方面遠(yuǎn)遠(yuǎn)排在了后面,，僅列第五位。據(jù)ITRC聲稱,，的確,，2008年登記在案的泄密事件當(dāng)中約14%與黑客破壞有關(guān)。不過,，這并不意味著公司用不著小心翼翼,。在TJX案中，黑客通過“無線搜尋”（war driving）手段潛入系統(tǒng),，從而闖入了該公司的無線網(wǎng)絡(luò),。TJX當(dāng)時(shí)用的加密技術(shù)達(dá)不到標(biāo)準(zhǔn)，又沒有在使用無線網(wǎng)絡(luò)的計(jì)算機(jī)上安裝防火墻和數(shù)據(jù)加密軟件,。這樣一來,，竊賊得以把惡意軟件安裝在網(wǎng)絡(luò)上，從而訪問存儲(chǔ)在系統(tǒng)上的舊的客戶數(shù)據(jù),，并截獲在用于核價(jià)的手持設(shè)備,、收銀機(jī)和店內(nèi)計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)。

教訓(xùn)：據(jù)Muller聲稱,，TJX當(dāng)初在其無線網(wǎng)絡(luò)上使用的WEP加密不夠安全——安全性比許多家庭用戶使用的加密技術(shù)還差,。他說：“如果你能從停車場(chǎng)訪問數(shù)據(jù)庫(kù)，表明需要更高的數(shù)據(jù)安全和數(shù)據(jù)加密級(jí)別,。”Muller表示,，TJX還存儲(chǔ)了舊的客戶信息，而沒有永久刪除,。

 

四,、粗心大意的員工

回顧：輝瑞公司一名遠(yuǎn)程辦公員工的配偶把未經(jīng)授權(quán)的文件共享軟件安裝到了該員工的辦公筆記本電腦上，外人因而可以訪問含有輝瑞大約17000名新老員工的姓名,、社會(huì)保障號(hào),、地址和獎(jiǎng)金信息的文件。調(diào)查后發(fā)現(xiàn),，大約15700名員工的數(shù)據(jù)被對(duì)等網(wǎng)絡(luò)上的別人所訪問及拷貝;另外1250名員工可能泄露了數(shù)據(jù),。因?yàn)橄到y(tǒng)被用來從輝瑞的公司網(wǎng)絡(luò)外面訪問互聯(lián)網(wǎng)，所幸其他數(shù)據(jù)沒有受到危害,。

代價(jià)：輝瑞簽約訂購(gòu)了信用報(bào)告機(jī)構(gòu)的一攬子“支持和保護(hù)”服務(wù),，包括為受到影響的那些人提供為期一年的免費(fèi)信用監(jiān)測(cè)服務(wù),，并提供每人價(jià)值25000美元的保單，以承擔(dān)個(gè)人因這次泄密而造成的損失,。

提醒：據(jù)波耐蒙研究所的一項(xiàng)近期調(diào)查顯示,，數(shù)據(jù)安全面臨的第一大威脅是粗心大意的內(nèi)部人員，而不是居心叵測(cè)的內(nèi)部人員,。接受調(diào)查的IT專業(yè)人士表示,，88%的泄密事件與粗心大意的內(nèi)部人員有關(guān)。Muller說：“要是員工有比較強(qiáng)的安全意識(shí),，泄密事件數(shù)量就會(huì)大大減少,。”在輝瑞案中，那名員工的配偶對(duì)文件共享軟件作了配置,，結(jié)果文件共享網(wǎng)絡(luò)上的其他用戶就能訪問這個(gè)配偶存儲(chǔ)在筆記本電腦上的文件,，但是別人也可以訪問輝瑞的文件。

粗心大意的用戶加上文件共享軟件帶來的危害更大,。據(jù)達(dá)特茅斯學(xué)院的一項(xiàng)調(diào)查顯示,，雖然大多數(shù)公司禁止在公司網(wǎng)絡(luò)上使用P2P文件共享，許多員工把共享軟件安裝在遠(yuǎn)程和家用個(gè)人電腦上,。比方說,，調(diào)查發(fā)現(xiàn)30家美國(guó)銀行的員工在共享對(duì)等系統(tǒng)上的音樂及其他文件，無意中把銀行賬戶數(shù)據(jù)泄露給了對(duì)等網(wǎng)絡(luò)上的潛在犯罪分子,。一旦商業(yè)數(shù)據(jù)被泄露,，就會(huì)傳播到世界各地的眾多計(jì)算機(jī)。

教訓(xùn)：首先,，IT人員需要完全禁止使用P2P軟件,，或者制定P2P使用政策，并且實(shí)施執(zhí)行這些政策的工具,。Muller說：“輝瑞本該更全面地審查系統(tǒng),，以便阻止員工安裝任何軟件。你可以取消員工的管理員權(quán)限,，那樣他們安裝不了任何軟件,。”他表示，培訓(xùn)也很重要,，那樣用戶明白P2P有哪些危害,、怎樣才是良好的密碼及其他標(biāo)準(zhǔn)安全做法。

Semple強(qiáng)調(diào)：“極其需要教育,，那樣員工就會(huì)明白我們不是存在為難他們,，而是阻止危害發(fā)生。那樣他們就會(huì)明白‘這是我不能這么做的原因,。’”

 

五,、分包商泄密

 

回顧：2008年11月,，亞利桑那經(jīng)濟(jì)安全部不得不通知大約4萬(wàn)個(gè)孩子的家庭：因?yàn)閹字挥脖P被人從存儲(chǔ)服務(wù)商處偷走，他們的個(gè)人數(shù)據(jù)可能被泄密了,。雖然硬盤受到了密碼保護(hù),，但沒有經(jīng)過加密。該部門表示,，沒有任何信息被用來實(shí)施欺騙。

代價(jià)：據(jù)波耐蒙研究所聲稱,，分包商泄密造成的損失比內(nèi)部事件還要慘重,，每條記錄損失分別是231美元和171美元。

提醒：據(jù)波耐蒙研究所的年度調(diào)查顯示,，外包商,、承包商、顧問和商業(yè)合作伙伴導(dǎo)致的泄密事件在不斷增加,，占到去年調(diào)查對(duì)象上報(bào)的所有案例的44%,，而2007年為40%。在ITRC的調(diào)查中,，2008年10%的泄密事件與分包商有關(guān),。

教訓(xùn)：公司需要與分包商簽訂條文嚴(yán)密而具體的服務(wù)級(jí)別協(xié)議，然后確保分包商遵守協(xié)議;如果沒有遵守,，就要給予懲罰,。Semple表示，遇到使用備份磁帶或磁盤的情況,，就要堅(jiān)持采用加密和密碼保護(hù),。