一、 加密
数据加密可谓是能够保护敏感数据的一种明显工具了。不过,需要当心的是,加密并不仅仅局限于U盘和其它的移动设备。此措施还应当用于数据的整个传输过程。因为没有加密的地方,可能正是入侵者找到漏洞的所在。
但要知道加密标准是可被攻破的,如当年的WEP就是。所以笔者建议你要保证自己的基本设备是可编程的,也就是在某个加密标准被攻克之后,你仍可以升级到新的标准。
二、 NAC
有人说,NAC是一匹黑马,它被人们讨论的太多,但并没有太多的单位部署这种安全机制。NAC可以切断欺诈性访问并增强端点对策略的遵循,并且它可以控制恶意软件从未打补丁的桌面系统进入公司的网络。
802.1x是NAC的自然伙伴,因为它要求用户在端口级别上进行身份验证。即使某人得到了对你的网络的物理访问,它也不能简单地访问,因为他还需要经过认证。
三、日志
对于许多遭受数据损害的单位来说,在使用取证技术跟踪记录被窃取的数据的质和量时存在着困难。有鉴于此,记录所有的事件是很重要的。当然,前提是你要将日志放在一个攻击者(即使渗透进入你的网络)也无法破坏的地方。
四、网络管理
带外管理在有些行业是很普遍的,但在多数行业应用得并不多。但是,如果一个单位想要改善安全问题,就应当采用带外管理。单位应当拥有对管理网络的安全访问,它应当是从生产性网络的带外进行的。这样一来,入侵者想要通过某个薄弱的链接或社交工程攻击进入你的架构就很困难了。例如,如果一个入侵者获取了对交换机的访问权,他就可以嗅探经过交换机的所有数据。通过带外管理途径来限制对交换机的访问可以减少这种威胁。
五、安全能力
近年来,许多单位将其IT运作的相当大的一部分进行了外包。笔者建议,公司应当保持其内部人员的安全能力。其工作人员应当理解企业风险和数据的价值。要知道,安全能力与端点和网络密切相关。
六、数据隔离
如果你的单位拥有特别敏感的数据,就应当将管理这些数据的网络隔离开,将极有价值的数据与日常的网络连接环境隔离开来。你可以使用伴网(tripwire)来检测是否有人正试图渗透进入敏感区域,并关闭入侵。
七、渗透测试
其实,构建和维护网络的人员不必是评估其安全状况的最出色人员。单位不妨找一个“白帽”安全专业人员执行渗透测试。这种安全专业人员受到特别培训可以关注漏洞问题,并知道如何利用漏洞。他可以以黑客的观点来检查网络。
八、洞悉威胁
单位的安全管理人员进入安全社区很重要。因为总有一些安全新闻组共享新出现的威胁信息。必须知道不断发生变化的威胁问题,只有这样才能在减轻风险时具有前瞻性。单位不妨关注一些安全站点的网址,如CERT、US-CERT、 Insecure.org、 Microsoft 安全新闻组等,当然国内的金山、瑞星也有类似的选择。
在了解相关威胁时,要注意上网冲浪时的安全性。因为有些“黑”站也用所谓的安全问题诱惑你上当,如果你访问这样的网站,你的操作可能会给网络带来攻击,网络的数据安全也就无法得到保障。如果你访问了这样一个被黑客们“千锤百炼”的站点,其危险性可想而知。
九、整体分析
单位在寻求数据保护时,应当采用整体分析的方法。IT专业人员在防止数据遭受损害时是主力军,但你不能独立进行。建议单位经常将一般并不在一起工作的人员招集起来,共享减轻风险的知识和信息。
这九条措施并不能代表你用来保护数据完整性和私密性的系统性工程,但却是一些重要手段。
. TAG: 数据安全