【IT168 专稿】作为企业IT管理人员，必须能够理解并想法设法做到防止所有人对企业敏感数据的无拘无束访问。 如何一方面对私密信息进行安全防护，另一方面又能使其在应用中是方便可用的，这需要从架构建设开始就考虑。

    企业用户在设计系统的时候往往总是首先考虑让它们方便于用户访问信息，这样容易导致的一个现象是：把太多注意力放到简化访问方面，而忽略了必须确保只有授权的用户才能够访问资源。

    不过现在企业都已经意识到，其业务价值不可避免地与其核心系统中的信息绑定在一起，信息从核心系统泄漏，就如同水可以从有孔的热水器中泄漏一样，很快，而且会大量流失……

    因此，作为信息安全管理人员或者IT管理人员，必须想办法保护公司珍贵的信息资源，但同时不能盲目地抑制访问权限。IT人员经常都不得不在安全性和可用性之间寻找平衡，但通常还是没有对哪些授权客户应该看到哪些信息给予太多关注。事实上，在大多数企业组织中，大多数用户（不管是授权还是没有授权的）都可以看到比他们实际应该看到的多得多的信息。

     那么，到底应该怎么保护公司敏感数据，确保只有授权的用户可以访问呢？解决方法看起来并不少。

    加密数据库
 
    首先，在数据库中挑选一些领域进行加密，如针对包含信用卡信息的数据进行加密。不可否认，这将会在某种程度上减慢数据库的执行。但是同时我们也看到，现在一些先进的加密/解密技术正在变得越来越快速，服务器在多核处理器的充实下也在日渐强大，而今天的数据库也能够充分发挥这些多核服务器的性能优势来应对这些任务。当然，少数CPU使用率在15％以下的服务器除外。

    有了大量的处理器处理能力，也许有的人会认为有足够的能力来加密整个数据库了，其实我们还是不建议这么做，因为加密是会很快吞噬掉掉处理器所提供的那点富裕空间的，加密了的数据会耗费数据库的很多空间，而且还需要大量的加密/解密工作来取出或存入数据。

    当决定要对整个表格进行加密时，你需要考虑几个因素。如果你加密整个数据库，每个表格的加密钥匙数量严格来说应该只有一个——除非是你跨表格使用密钥，这就减少了必需管理的密钥数量。别小看这一点，这是非常有吸引力的，因为根据你改变密钥的频率以及你需要保留数据的时间长度，你的密钥库也许会变得非常庞大。可不幸的是，重新使用密钥也会降低整体安全性，给了攻击者更多机会来获得“金钥匙”——它将会准许访问数据库甚至所有存储数据中的所有信息。

    当然，你也可以选择仅对表格中某些栏的数据进行加密，而不是对整个表格进行加密。但是仍然没有检索具有加密栏的数据库的尚方宝剑，你仍然需要索引密钥一样的东西。如果你选择对表格中的栏进行加密，同样每一栏都需要一个特定的密钥，这显然增强了安全性，但却给密钥管理带来了更大的压力。有些解决方案可以让你使用加密的栏来作为索引，但是进行原始栏的解密来更新索引这个过程是令人痛苦的缓慢，并且当数据库中的所有数据都被加密时，调试也会非常困难。

    你还可以对每行的所有数据加密，但是付出的成本相对于回报来说是很不值的，举个简单的例子，如果攻击者只能看到客户的性别，那谁会在意呢？一些厂商已经编造出一些临时解决方案，如在加密前对数据进行压缩，但是检索的数量会随着系统使用的时间流逝而增加，那就意味者很有可能最终你还是需要一个基于某一个已经加密的栏的索引。从这点来说，我们所知道的所有临时解决方案似乎也就没有太大意义了。

    从数据库日志寻求帮助

    很多企业都具有的一个问题，也是很少人知道的一个问题，那就是数据存在于网络各个角落，其中一些往往会溜出网络管理员的视野之外。从SQL服务器的欺诈安装到装满了客户数据的Excel表格，你公司的信息分散在企业各个角落。

    至少来说，数据库日志可以帮助你跟踪所有这些数据。通过记录什么人访问了什么数据，当数据被抽取出来时你可以试图发现其中的关联信息，来找到欺诈系统或者哪些员工访问了它们不需要的数据。数据库日志是入门级的，因为这样的功能在每个数据库产品中都包含，但是结果并不太好，因为这项功能只是提供了大量原始的事实。

    超越这种日志的是第三方的日志分析工具，这些工具企图说明一些结果，来给你提供一个展示相关查询的视图。也有一些欺诈数据库监测工具，来提供在企业组织内部使用标准通信机制的所有数据库的试图。最后是数据库外泄监测工具，它可以说是这类工具产品中的旗舰，它可以让网络管理人员设置政策来限制哪些人可以做哪些动作，并且当反常行为出现的时候可以给网络管理人员发送警报信息。

    最后这类工具中的有些产品甚至可以配置为阻止查询返回数据集，也就是可以通过限制权限让用户只看到他完成工作所需要的数据。当然，你可以把限制设置得很高，来阻止他完成其工作（或许他有新的任务，需要更多信息）。如果这方面的利益考虑要大于数据泄漏的法律风险，你通常可以设置产品来给你通报违规，而不必让它去直接停止事务处理。

    借助网络的力量

    目前， 安全功能特性越来越多地被内建在网络设备之中。这也就意味着这样的产品可以“看到”你网络上的流量情况，并控制一些信息或数据传送。

    你可以把你的数据库放到一个子网络或者虚拟LAN上，只允许来自同一VLAN上的访问连接。为此，你也需要做仔细的架构设计，以便让你的Web服务器对于外部世界以及VLAN来说都是可见的。当然，采取这些措施将会把很多东西紧紧锁住，以致你必须保持持续的警惕性，来确保需要修改数据库或其环境的所有用户能够持续访问。

    你也可以使用网络IPS（入侵防御系统）来监测恶意的信息流，在它们进入你的网络之前将其阻断。需要指出的是，表面看起来你的安全架构中的其他部分都可以从IPS中获益，所以有的人觉得实现一个IPS就好了。殊不知，显然网络IPS并不能保护你的数据，同样也不能防止被误导的或者搞恶作剧的员工。不过它可以通过保护对数据有直接访问权限的计算机网络来间接地保护这些数据，虽然不像直接地保护那么有效，但主机IPS能够对同一网络上连接的机器提供保护，也可以当作另一种不同级别的保护，还是很值得考虑的。

    举例来说，大家对一个特定的表格——“客户”——具有受限制的访问权限，只有那些拥有正当理由的人可以看到这些数据。仍然存在的问题是：他们有什么正当理由？你怎么针对滥用进行管理？如果销售经理有权访问完整的客户数据库，而某一个非销售人员偷学到了登陆方式，你怎么阻止这个人把数据从数据库中读取出来？不可否认有一些工具可以将这个潜在的损失降到最低，但是目前市场上还没有哪一款工具是足够成熟到可以完全组织这种类型的“攻击”。

    尽管一些厂商也在努力地开发着一些解决方案，如限制一次查询返回的行数；或者对给定用户的正规行为定型，严格禁止正规行为之外的任何行为。这些方案多少有些离谱，企业用户需要的是能够对使用权限设定一些政策，而员工端必须是能够无拘无束访问完成工作所需要的数据。

    因此问题并不是如此多的数据保护，而是其他两个领域的可能问题的结合，即人力资源和入侵防护。简单地说，员工也可能抽取一些数据谋私利。这种潜在的危险应该由人力资源首先控制，也就是说在将敏感数据的访问权给予一个员工或外部承包合同人之前就应该考虑到这个问题。IPS和防病毒解决方案能够帮助你来确保，使用一个员工账号访问数据的人是员工本人。

    最后是ILP（信息泄漏防护），它包含的工具可以决定哪些数据正在超越网络的界限，并阻止不应该泄漏的数据。

    ILP产品试图组织关键数据泄漏出网络之外。但是由于这些产品相对还是新型产品，走向仍然不明确。通常来说，这些产品驻留在网络中，监测使用者的动作，并试图确定是不是有人在将知识产权或客户数据传输到网络外。在监测模式下，它们会将什么人在传输数据以及传输到哪里等信息通报给网络管理人员；在保护模式下，它们会阻止信息传送，然后发送通知给网络管理人员。当然，这些系统不仅仅是防护使用者的非法行为；它们自身也并不关心泄漏的资源是什么，只是确定有信息泄漏。这使得它们至少能有效防范以客户或IP数据为目标的特洛伊木马。

    保护好你的磁带

    不知道你是否意识到，记录了你的某机器甚至整个网络数据备份版本的备份磁带是一个巨大的安全隐患目标。人们往往把目光聚焦在从防火墙泄漏数据，殊不知客户数据库备份磁带的丢失所带来的后果是更加悲惨的。而丢失磁带的数量是巨大的。

    幸运的是，即便数据必须离开办公室或数据中心，你也可以选择不同的方法来保护。首先，你应该使用复制技术将数据备份到远程地点，这不需要磁带，也不会有处理过程中的磁带丢失问题。从应用趋势来看，复制数据比备份数据更加受欢迎，因为复制的速度更快，因此也能更频繁地进行。当然，由于信息在复制的过程中必须离开你的网络，所以你必须加以保护——对复制的信息流进行加密或者只对被复制的数据本身进行加密。庆幸的是，完成这些加密都是标准化的方法存在。

    复制的最大问题在于存档存储。如果数据必须保存数月以上，你就必须长期备份，这就不可避免地又把我们带回到容易丢失或被盗的磁带上面。

    加密是保护磁带数据的最好方法。有趣的是，磁带加密的可选方法很多，从进行加密操作的备份软件，到在网络上进行加密操作的专用设备，到磁带驱动器本身进行加密操作。当你需要评估这些加密方法的时候，最大的考虑并不是加密在什么地方进行，而是加密的密钥是如何被处理的。要保持硬件一直能够访问古老磁带设备上的存档数据是很困难的，而要找到一个自从磁带写好以后可能被修改了上百次的密钥更加困难。

    然而，密钥管理的方法也是足够丰富的，包括将密钥存储到物理磁带上（这并不是被业界推荐的解决方案），或者用一个集中的仓库来处理存储、密钥的分发和替换等。如果你的网络中设计到几处加密，那你可以考虑诸如RSA的Key Manager或VeriSign的Key Management Services等产品或方案。

    将密钥存储在磁带上是相当危险的，这也许会给一些不怀好意的电脑黑客提供帮助。即便存储在磁带上密钥是经过加密处理的，但同样也可能为黑客提供信息让他们解开磁带上的所有数据。

    最后，要提醒你，在保持与现有高科技同步的同时，你必须时刻明确了解哪些数据是最至关重要的，这样你才能合理有效地保护它们。现今的工具越来越注重首先保护重要的数据，因此为了充分发挥这些方法的特长，你必须确切知道哪些数据是最重要的。随着法规遵从在全球范围内的升温，必然会将更多的数据推向重要数据之列，但是如果你的基础架构是深思熟虑的，将数据从“高度受保护”状态转移到“保护”状态并不是很费劲的一件事情，反之亦然。

    信息泄漏的代价是无法估量的，首先这给公司名称以及品牌造成的伤害就会持续很长一段时间，对公司的整体财务也会带来很大的影响。数据泄漏以后如果再遭到诉讼那将更是雪上加霜。为此，确实是时候重新考虑构建你的数据安全架构了，或许你需要寻求一种新的方法来更好地保护你的关键信息了。