摆事实讲道理 论数据安全防护的“表里”难关

　　信息时代，由于信息技术和互联网的不断深入，人们逐渐开始认识到自身数据与信息安全的重要性。而作为信息时代的企业，依靠数据、利用数据成了向前发展的必要手段。而国家，在这个时代可称之为一个数据与信息的结合体，防护国家的信息与数据的安全成了一个国家的国防新标准。

　　虽然数据安全同信息技术与互联网一样正在深入更多的领域，但其真正问题也或许来自于此，由于不断深入不同的领域，数据安全问题正变得越来越多样，而在不同领域，数据安全防护的需求也各有不同，这也给与之相对应的信息安全技术与数据防护技术提出了更高的要求。面对如此的状况，数据安全该如何应对？下面就让这方面的专家山丽网安来告诉您吧。

　　就数据安全本身来说有“表”“里”两大难关需要攻克

　　其实在数据安全领域，早有人把问题分为“内”“外”来加以区分，“外”是指来自外部的入侵，主要是黑客攻击、网络攻击、病毒入侵等；而“内”主要来自系统的漏洞或者内鬼。这样的分类固然符合现在的防护现状，但却忽略重要的一点，那就是排除“人”的因素。

　　众所周知，“人”是最难以控制，不管是外部的黑客还是内鬼，因为你永远不知道黑客拥有怎样的攻克技术，内鬼的级别到底多高，潜伏到底多深。所以通过防护“人”与管理“人”来达到数据安全的防护，往往只能达到相对安全的标准。

　　不过，一旦排除了人的部分，或者说只剩下客观的数据与信息的话，防护标准或者方法就变得相对简单和清晰了。而在这种情况下，其实也分为两层，姑且我们称之为“表”和“里”吧。

　　表层问题——数据安全正遭遇更多种类的外部袭击

　　即使排除了变化最多的黑客因素，客观的外部数据安全问题依然变化多样。

　　以前IP的网络环境，计算环境还是满简单的。自从接入互联网之后，各个方面的安全威胁将企业内外部的混杂在一起，传统的安全老三样已经不能很好的解决安全问题，这些安全威胁都跟经济利益相关，跟国家利益相关。包括移动接入，BYOD、云服务等，IT基础架构的变革带来整个市场需求的变化。

　　同时，网络威胁给全球带来巨大威胁，全球损失了4450亿美元，网络威胁给经济带来的损害越来越严重，过去国内的网络安全还为上升层面，随着网络信息安全领导小组的成立，今年开始，各个省市在落实地方的网络信息化安全领导小组。国家整体注重网络安全，对厂商、集成商、代理商来说都是非常好的机会。

　　里层问题——漏洞仍是最大的威胁

　　在内部虽然内鬼神秘莫测，但个人、企业甚至政府机构使用的各种软件所具有的“漏洞”依然是必须首要解决的问题。

　　为了更好的说明这个问题，下面引述一段“软件安全老兵”的对话。

　　即使是最好的软件也有漏洞，但通过在开发周期早期阶段的关键控制，企业可以像进行功能测试和质量保证一样检查安全漏洞。现在很多企业安全人员没有时间顾及应用安全性，而健康保险公司Aetna首席信息安全官James Routh已经在引领开发第五个软件安全程序。

　　总是有些人反对软件安全程序。我肯定你也听到过他们的反对意见，他们常说：我们不能慢下来，我们不能受到限制。你如何应对这些反对意见?

　　James Routh：人们真的很难会反对省钱、提高质量和降低风险的程序。我摆出了简单的事实，说明每个属性和承诺，这件事情我常常做，所以比较容易。现在开发人员并没有异议，但项目经理仍然怨声载道，他们还没有明白这样做的好处。我现在使用的很多移动应用工具并不知名，所以我通常是从不熟悉它们的移动开发人员那里获得反馈。在这些情况下，我只是使用行业可用的数据来说明攻击者可以非常容易地感染移动应用，以及通过二级渠道传播它。现在发现的大多数漏洞都是移动软件分发过程受到攻击的结果。

　　底线是，当你使用经济利益作为推动因素时，推动软件安全程序会变成简单的工作。成功部署程序更多是关于改变行为，而不是部署技术，因此，我们将安全作为软件质量的属性重新明确了开发领导者的角色(掌握过程和结果)，而安全部门则负责设计控制和衡量有效性，这主要也是为了有助于开发领导者的工作。

　　让我惊讶的事情是你在使用数据指标，而不只是口头上说，“这是我们应该做的事情”，你可以解释它如何能节省资金来避免损失和周期外维护。你能否告诉我你的数据指标有哪些?

　　James Routh：当安全控制部署到开发过程时，主要有两个提高生产效率的基本驱动力：首先，企业安全API(Enterprise Security API)等框架和开源组件选择及静态分析工具，可以防止漏洞进入应用构建过程，这消除了修复漏洞和缺陷的成本。其次，与在生产过程中发现漏洞相比，在质量保证中检测到漏洞，然后修复高优先级的缺陷，在时间方面更节省时，且成本更低。

　　我计算了修复生产后期漏洞所需时间(高度复杂漏洞修复=8小时;中等复杂程度=4小时;简单修复=2小时)，并比较开发过程中修复漏洞所需时间，然后乘以高风险漏洞的数量。我使用每小时标准恢复量作为成本，例如125美元，这是FTE开发人员(供应商和第三方顾问公司进行开发)的行业平均每小时成本。其结果是，除了将漏洞修复从生产后期转移到质量保证或生产前期节省的成本外，这样做还可以“提高生产效率”。而通过消除或减少修复漏洞的工作所节省的开发时间还可以重新投资于在更少时间内提供更多功能。

　　我不明白的是，为什么很少高管像你这样“懂”。你认为我们可以怎样做来提高对这个话题的理解?在过去15年，我们看到很多“渗透和修复”，以及各大软件供应商不断推出修复补丁，如果这不是危险的信号，那是什么?我们可以做些什么?

　　James Routh：70多家公司现在使用BSIMM数据衡量其软件安全程序的成熟度，软件安全的知识体系已经明显改善。你问我为什么领导们很少明白这一点，这是很合理的问题，我的观点是，很多人明白软件安全的经济推动因素，并且跨行业部署了更有效的控制。我们比十年前更懂得软件安全做法，我在这里与你分享的信息其实已经公开化。

　　在推出补丁修复的很多软件厂商中，他们也有成熟的软件安全程序，包括微软、Adobe Systems和EMC等。现实情况是，完美和软件并没有关系，我们总是会有机会来发现和提高软件漏洞。

　　我们正在尝试新的东西，我们将所有控制部署到web应用，并且基本上众包了应用的渗透测试来查看应用的情况。这意味着软件研究人员将会执行渗透测试，并与我们分享其结果。

　　我非常希望在这个过程中发现新的漏洞，尽管在此之前对相同软件版本已经执行了几十次测试。这也有可能帮助我了解我们开发过程中部署的很多控制正在如何执行以及哪里有改进的机会。随着时间的推移，我们还会追踪漏洞密度，这些数据清楚地显示了开发人员的显著改进，因为他们使用了更好的工具来发现开发中的漏洞。

　　只要我们构建软件，在这个过程中就会发现漏洞以及提高其质量的机会。显然，投资于质量改进可以获得更好的经济性，但软件的完善将仍然还有很长的一段路要走。

　　山丽网安总结：从这段对话我们不难看出，漏洞安全必须从软件“出身”的那一刻就必须时刻关注，并投入大量的精力和财力，这样才会让“致命漏洞”更少的出现。

　　根本做法 加密防护数据才是硬道理

　　从上述对数据安全防护“表里难关”的分析，我们不难看出，即使排除了变化最多、最难预测的人为因素，数据安全的防护依然面对许多不同的问题。面对这种情况，显然我们的防护必须更深入，即触及到我们需要防护的核心数据，然后在划定安全底线之后，再应对各种不同的问题。而现今要做到这种效果就要使用多模加密技术。

　　在说多模加密之前，我们必须先了解下数据加密。数据加密直接作用于数据本身，使得数据在各种情况下都可以得到加密的防护。再者由于加密防护特殊性，使得数据即使泄露了，加密防护依然存在，只要算法不被破译，数据和信息仍然可以称作是安全的。由于这两点保证，使得加密软件成为了现代企业防护信息安全的最主要和最可靠的手段。

　　然后是多模加密。多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的即时性和完整性（加密与格式无关）。

　　同时，山丽网安为了应对个人以及移动终端平台的防护需求，推出了以多模加密技术为核心的密盘系列。这些带有加密功能的U盘同样可以针对不同的防护需求做出灵活的应对。

　　其实，不管是“表里问题”还是“内外问题”，数据安全问题日趋复杂是不争的事实。除了积极的应对之外，从更深层的地方，采用灵活且具有针对性的加密技术及其软件进行防护或许是最好的选择！