實際上，安全咨詢機(jī)構(gòu)波耐蒙研究所（Ponemon Institute）的一項近期調(diào)查發(fā)現(xiàn)，粗心大意的內(nèi)部人員無疑是數(shù)據(jù)安全面臨的最大威脅，占到了所有泄密事件的78%。

在這篇特寫報道中，你將了解一些最新的數(shù)據(jù)保護(hù)技術(shù)，不但可以保護(hù)公司內(nèi)部的存儲數(shù)據(jù)，還可以保護(hù)通過筆記本電腦、磁帶及其他移動介質(zhì)隨意進(jìn)出貴公司的存儲數(shù)據(jù)。

遺憾的是，數(shù)據(jù)泄密事件對企業(yè)界來說已經(jīng)成了一種生活方式。據(jù)美國身份失竊資源中心（ITRC）聲稱，2008年登記在案的數(shù)據(jù)泄密事件比前一年增加了47%。身份失竊專家兼加利福尼亞州歐文Identity Doctor公司的創(chuàng)辦人Craig Muller表示，而那些事件只是媒體公開報道的事件。他說：“我經(jīng)常接到電子郵件，說是哪家公司發(fā)生了泄密事件。”

公眾絕對感受到了疼痛。在2008年波耐蒙研究所開展的一項調(diào)查中，美國各地的1795名成人調(diào)查對象當(dāng)中超過一半（55%）表示，自己在之前的24個月里接到過至少兩起數(shù)據(jù)泄密事件通知;8%的人表示接到過至少四起這類通知。

但是公司對于如何保護(hù)自己仍然心里沒底。在波耐蒙研究所上個月發(fā)布的調(diào)查中，接受調(diào)查的577名安全專業(yè)人士當(dāng)中只有16%表示，自己對目前的安全做法防止客戶或員工的數(shù)據(jù)丟失或被偷表示有信心或很有信心。

提升信心的一個辦法就是分析實際的泄密事件，并從中汲取教訓(xùn)。下文剖析了五種常見的泄密事件，并且給出了如何避免類似災(zāi)難的忠告。

一、設(shè)備被偷

回顧：2006年5月，為美國退伍軍人管理局工作的一個分包商在家里丟失了筆記本電腦和存儲磁盤后，有關(guān)2650萬名退伍軍人的個人數(shù)據(jù)被泄密了。后來兩樣?xùn)|西都找回來了，相關(guān)人員也被繩之以法。聯(lián)邦調(diào)查局聲稱，數(shù)據(jù)沒有被竊取;但這起事件促使退伍軍人管理局進(jìn)行全面整改。然而，2007年1月發(fā)生了另一起泄密事件：當(dāng)時退伍軍人管理局在亞拉巴馬州的一家醫(yī)療機(jī)構(gòu)丟失了一臺筆記本電腦，結(jié)果導(dǎo)致53500名退伍軍人和130余萬名醫(yī)生的個人數(shù)據(jù)泄密。

代價：到2006年6月，退伍軍人管理局每天花20萬美元來運(yùn)營呼叫中心，答復(fù)有關(guān)泄密事件的問題。它還花費(fèi)100萬美元打印及郵寄通知函。經(jīng)過批準(zhǔn)，退休軍人管理局重新劃撥了多達(dá)2500萬美元的資金，以支付這些成本。一群人還提起了集體訴訟案，包括要求為受到影響的每個人賠償1000美元。在2007年那起事件后，退伍軍人管理局另外留出了2000萬美元，以支付泄密事件有關(guān)的成本。該部門最近同意向目前及以前的軍事人員支付2000萬美元，以調(diào)解集體訴訟案。

提醒：設(shè)備丟失或被偷在所有泄密事件中占了最多的比例——ITRC表示，2008年約占20%。據(jù)律師事務(wù)所Seyfarth Shaw芝加哥辦事處的合伙人Bart Lazar表示，涉及丟失或被偷筆記本電腦的事件占了他平時接手的數(shù)據(jù)泄密案件的大部分。

教訓(xùn)：Lazar建議禁止把個人識別信息放在筆記本電腦上。比方說，不要把客戶或員工的姓名與其他識別信息（比如社會保障號或信用卡號）聯(lián)系在一起;另外，你可以截短這些號碼。還有，不妨考慮使用自己的獨(dú)特識別信息，比如把某人姓名中的幾個字母與社會保障號的后四位數(shù)結(jié)合起來。

第二，要求筆記本電腦上的個人信息進(jìn)行加密，盡管這么做成本可能很高（每臺筆記本電腦為50至100美元），還會影響性能。網(wǎng)件公司的存儲安全宣傳官、存儲網(wǎng)絡(luò)行業(yè)協(xié)會存儲安全行業(yè)論壇副主席Blair Semple表示，除了加密外，還需要加強(qiáng)這方面的意識。他說：“我見過人們能夠加密但沒有加密的情況。對信息進(jìn)行加密很容易人，難就難在管理及部署方面。”

第三，Lazar建議實施政策，要求使用非常強(qiáng)的密碼，以保護(hù)被偷設(shè)備上的數(shù)據(jù)。

二、內(nèi)部人員竊取

回顧：2007年11月，富達(dá)國民信息服務(wù)公司（Fidelity National Information Services）旗下子公司Certegy Check Services的一名高級數(shù)據(jù)庫管理員利用權(quán)限訪問，竊取了屬于850余萬個客戶的記錄。隨后，他把這些資料以50萬美元的價格賣給了一經(jīng)紀(jì)人，該經(jīng)紀(jì)人轉(zhuǎn)手賣給了直接營銷商。后來這名員工被判處四年以上徒刑，并處罰金320萬美元。據(jù)公司工作人員聲稱，沒有出現(xiàn)身份失竊，不過受到影響的客戶們收到了當(dāng)初購買這些資料的公司發(fā)來的推銷廣告。

在另一起重大案例中，杜邦公司一名工作了十年的資深科學(xué)家下載了價值高達(dá)4億美元的商業(yè)機(jī)密，隨后在2005年年底離開公司、轉(zhuǎn)投杜邦在亞洲的一家競爭對手。據(jù)審判記錄顯示，他利用權(quán)限訪問，下載了大約22000份文檔摘要，并且瀏覽了大約16700個全文PDF文件。這些文檔涉及杜邦的大多數(shù)主要產(chǎn)品線，包括一些新興技術(shù)。這名科學(xué)家與那個競爭對手偷偷商談時進(jìn)行了下載活動，他在接受這份差事后下載了兩個月。最后，他被判處在聯(lián)邦監(jiān)獄服刑18個月，繳納罰金3萬美元，還被判支付賠償金14500美元。

代價：在杜邦案中，商業(yè)機(jī)密的價值估計超過了4億美元，不過政府估計這家公司實際損失了大約18.05萬美元。沒有證據(jù)表明機(jī)密信息被轉(zhuǎn)移到了共同作案的那個競爭對手。

據(jù)Semple聲稱，客戶信息被竊帶來的損失幾乎總是超過知識產(chǎn)權(quán)被竊。以Certegy案為例，2008年達(dá)成了調(diào)解：為個人信息或財務(wù)信息被竊取的所有集體訴訟原告提供高達(dá)2萬美元的賠償，彌補(bǔ)身份失竊造成的某些未賠償損失。

提醒：ITRC表示，2008年登記在案的泄密事件中近16%歸因于公司內(nèi)部人員。這比前一年的比例翻了一番。導(dǎo)致這種增長的一個原因就是，如今招聘員工的是與犯罪活動有瓜葛的外部人員——據(jù)卡內(nèi)基·梅隆大學(xué)CERT協(xié)調(diào)中心聲稱，這個趨勢可解釋1996年至2007年所犯的內(nèi)部人員犯罪的一半事件。

CERT表示，內(nèi)部人員犯罪有兩個原因：一是為了獲取錢財（如Certegy案），另一個是為了獲得商業(yè)優(yōu)勢（如杜邦案）。CERT表示，在后者當(dāng)中，犯罪活動通常在違法員工辭職后就開始了。但竊取活動通常在他們離開公司后進(jìn)行的，留下了一條秘密通道，以便訪問所需數(shù)據(jù)。

Semple表示，內(nèi)部人員竊取是最難對付的，特別是員工使用授權(quán)訪問時更是如此。

教訓(xùn)：CERT表示，一條有效的防范措施就是，監(jiān)控數(shù)據(jù)庫和網(wǎng)絡(luò)訪問權(quán)限以查找異?；顒?，并設(shè)置閾值，表明不同用戶的哪些使用是可以接受的。這樣一來，如果負(fù)責(zé)某項任務(wù)的員工所做的事超出了正常的職責(zé)范圍，就比較容易發(fā)現(xiàn)。比方說，杜邦之所以能發(fā)現(xiàn)非法活動，就是因為那名科學(xué)家使用電子數(shù)據(jù)庫服務(wù)器過于頻繁。

如果懷疑發(fā)生了泄密事件，CERT表示重要的是行動要迅速，以便盡量減小信息被進(jìn)一步傳播的可能性，并且讓執(zhí)法部門有機(jī)會開始調(diào)查案件。

Lazar表示，公司還應(yīng)當(dāng)實施基于角色的訪問控制工具，以便嚴(yán)格控制誰在訪問寶貴資產(chǎn)。含有客戶或員工信息的數(shù)據(jù)庫允許的訪問權(quán)應(yīng)當(dāng)非常有限。他說：“每天有多少人需要未經(jīng)許可、查看社會保障號和地址？個人信息受到的保護(hù)級別應(yīng)與商業(yè)機(jī)密一樣嚴(yán)密。”

Muller建議使用數(shù)據(jù)丟失預(yù)防工具，限制個人數(shù)據(jù)被電子郵件發(fā)送、打印或拷貝到筆記本電腦或外部存儲設(shè)備上。要是有人試圖拷貝個人數(shù)據(jù)，有些這類工具會發(fā)出警報以通知管理員，并且為這類事件建立日志文件。他說：“許多情況下，公司沒有落實合理的跟蹤記錄系統(tǒng)。”

Semple表示，加強(qiáng)內(nèi)部控制和審計措施也很重要，比方說反復(fù)檢查網(wǎng)絡(luò)和數(shù)據(jù)庫活動日志。單單維持詳細(xì)的日志還不夠;你還需要落實審計措施，查看有沒有人改動日志或非法訪問日志。他說：“除非有一種方法可以核實日志信息沒有被篡改，否則就很難知道日志的重要性。”

但到頭來，光有技術(shù)還不夠。Semple說：“你要找到一種辦法來確保你所信任的用戶確實值得信任。”

 

三、外部人員入侵

 

回顧：2007年1月，零售商The TJX Companies聲稱它的客戶交易系統(tǒng)遭到了黑客攻擊。2003年至2006年12月期間多次遭到了入侵，黑客訪問了9400萬個客戶賬戶。后來發(fā)現(xiàn)，有人利用竊取的信息實施了案值800萬美元的禮品卡欺詐案和偽造信用卡欺詐案。2008年夏天，11個人因與該事件有關(guān)的指控而被判有罪，這也是美國司法部有史以來提起公訴的最嚴(yán)重的黑客破壞和身份失竊案。

代價：TJX估計泄密帶來的損失為2.56億美元。這包括修復(fù)計算機(jī)系統(tǒng)以及為應(yīng)對訴訟、調(diào)查、罰款及更多事項而支付的成本。這還包括因造成的損失而賠錢給維薩公司（4100萬美元）和萬士達(dá)卡公司（2400萬美元）。聯(lián)邦交易委員會下令：在接下來的20年里，TJX公司每隔一年就要接受獨(dú)立的第三方安全審計。

然而，其他人預(yù)計損失會增加至10億美元，這包括法律調(diào)解和客戶流失所帶來的損失。據(jù)波耐蒙研究所在2008年4月發(fā)布的一項調(diào)查顯示，如果某家公司發(fā)生了數(shù)據(jù)泄密事件，它就會失去31%的客戶數(shù)量和收入來源。波耐蒙研究所在最新發(fā)布的《數(shù)據(jù)泄密的成本》年度調(diào)查中還發(fā)現(xiàn)，去年，泄密事件讓相關(guān)公司因泄密的每條客戶記錄而損失202美元;2007年的損失還只有每條197美元。與錯失商機(jī)有關(guān)的成本是導(dǎo)致?lián)p失增加的最主要部分。2008年數(shù)據(jù)泄密事件的平均成本為660萬美元，2007年為630萬美元。

提醒：據(jù)波耐蒙研究所在2008年的一項調(diào)查顯示，黑客引起的數(shù)據(jù)泄密在安全威脅方面遠(yuǎn)遠(yuǎn)排在了后面，僅列第五位。據(jù)ITRC聲稱，的確，2008年登記在案的泄密事件當(dāng)中約14%與黑客破壞有關(guān)。不過，這并不意味著公司用不著小心翼翼。在TJX案中，黑客通過“無線搜尋”（war driving）手段潛入系統(tǒng)，從而闖入了該公司的無線網(wǎng)絡(luò)。TJX當(dāng)時用的加密技術(shù)達(dá)不到標(biāo)準(zhǔn)，又沒有在使用無線網(wǎng)絡(luò)的計算機(jī)上安裝防火墻和數(shù)據(jù)加密軟件。這樣一來，竊賊得以把惡意軟件安裝在網(wǎng)絡(luò)上，從而訪問存儲在系統(tǒng)上的舊的客戶數(shù)據(jù)，并截獲在用于核價的手持設(shè)備、收銀機(jī)和店內(nèi)計算機(jī)之間傳輸?shù)臄?shù)據(jù)。

教訓(xùn)：據(jù)Muller聲稱，TJX當(dāng)初在其無線網(wǎng)絡(luò)上使用的WEP加密不夠安全——安全性比許多家庭用戶使用的加密技術(shù)還差。他說：“如果你能從停車場訪問數(shù)據(jù)庫，表明需要更高的數(shù)據(jù)安全和數(shù)據(jù)加密級別。”Muller表示，TJX還存儲了舊的客戶信息，而沒有永久刪除。

 

四、粗心大意的員工

回顧：輝瑞公司一名遠(yuǎn)程辦公員工的配偶把未經(jīng)授權(quán)的文件共享軟件安裝到了該員工的辦公筆記本電腦上，外人因而可以訪問含有輝瑞大約17000名新老員工的姓名、社會保障號、地址和獎金信息的文件。調(diào)查后發(fā)現(xiàn)，大約15700名員工的數(shù)據(jù)被對等網(wǎng)絡(luò)上的別人所訪問及拷貝;另外1250名員工可能泄露了數(shù)據(jù)。因為系統(tǒng)被用來從輝瑞的公司網(wǎng)絡(luò)外面訪問互聯(lián)網(wǎng)，所幸其他數(shù)據(jù)沒有受到危害。

代價：輝瑞簽約訂購了信用報告機(jī)構(gòu)的一攬子“支持和保護(hù)”服務(wù)，包括為受到影響的那些人提供為期一年的免費(fèi)信用監(jiān)測服務(wù)，并提供每人價值25000美元的保單，以承擔(dān)個人因這次泄密而造成的損失。

提醒：據(jù)波耐蒙研究所的一項近期調(diào)查顯示，數(shù)據(jù)安全面臨的第一大威脅是粗心大意的內(nèi)部人員，而不是居心叵測的內(nèi)部人員。接受調(diào)查的IT專業(yè)人士表示，88%的泄密事件與粗心大意的內(nèi)部人員有關(guān)。Muller說：“要是員工有比較強(qiáng)的安全意識，泄密事件數(shù)量就會大大減少。”在輝瑞案中，那名員工的配偶對文件共享軟件作了配置，結(jié)果文件共享網(wǎng)絡(luò)上的其他用戶就能訪問這個配偶存儲在筆記本電腦上的文件，但是別人也可以訪問輝瑞的文件。

粗心大意的用戶加上文件共享軟件帶來的危害更大。據(jù)達(dá)特茅斯學(xué)院的一項調(diào)查顯示，雖然大多數(shù)公司禁止在公司網(wǎng)絡(luò)上使用P2P文件共享，許多員工把共享軟件安裝在遠(yuǎn)程和家用個人電腦上。比方說，調(diào)查發(fā)現(xiàn)30家美國銀行的員工在共享對等系統(tǒng)上的音樂及其他文件，無意中把銀行賬戶數(shù)據(jù)泄露給了對等網(wǎng)絡(luò)上的潛在犯罪分子。一旦商業(yè)數(shù)據(jù)被泄露，就會傳播到世界各地的眾多計算機(jī)。

教訓(xùn)：首先，IT人員需要完全禁止使用P2P軟件，或者制定P2P使用政策，并且實施執(zhí)行這些政策的工具。Muller說：“輝瑞本該更全面地審查系統(tǒng)，以便阻止員工安裝任何軟件。你可以取消員工的管理員權(quán)限，那樣他們安裝不了任何軟件。”他表示，培訓(xùn)也很重要，那樣用戶明白P2P有哪些危害、怎樣才是良好的密碼及其他標(biāo)準(zhǔn)安全做法。

Semple強(qiáng)調(diào)：“極其需要教育，那樣員工就會明白我們不是存在為難他們，而是阻止危害發(fā)生。那樣他們就會明白‘這是我不能這么做的原因。’”

 

五、分包商泄密

 

回顧：2008年11月，亞利桑那經(jīng)濟(jì)安全部不得不通知大約4萬個孩子的家庭：因為幾只硬盤被人從存儲服務(wù)商處偷走，他們的個人數(shù)據(jù)可能被泄密了。雖然硬盤受到了密碼保護(hù)，但沒有經(jīng)過加密。該部門表示，沒有任何信息被用來實施欺騙。

代價：據(jù)波耐蒙研究所聲稱，分包商泄密造成的損失比內(nèi)部事件還要慘重，每條記錄損失分別是231美元和171美元。

提醒：據(jù)波耐蒙研究所的年度調(diào)查顯示，外包商、承包商、顧問和商業(yè)合作伙伴導(dǎo)致的泄密事件在不斷增加，占到去年調(diào)查對象上報的所有案例的44%，而2007年為40%。在ITRC的調(diào)查中，2008年10%的泄密事件與分包商有關(guān)。

教訓(xùn)：公司需要與分包商簽訂條文嚴(yán)密而具體的服務(wù)級別協(xié)議，然后確保分包商遵守協(xié)議;如果沒有遵守，就要給予懲罰。Semple表示，遇到使用備份磁帶或磁盤的情況，就要堅持采用加密和密碼保護(hù)。