造成数据安全事故的四大首恶

　　2012年中一系列数据泄露事故震惊业界，LinkedIn与Global Payments两家企业巨头的落马令业务数据安全再将成为众人关注的焦点。然而大多数企业在数据安全性方面仍然采用被动的“补救式”思维方式，而没能实施更加有效的长期防护战略。下面我们就一起来看看这种缺乏前瞻性的思路所引发的四大常见安全陷阱。

　　* 标准缺失。安全通常建立在多套“标准”之上，而不同IT机构所给出的解决方案也截然不同。举例来说，对于数据安全需求理解不深的IT人士往往很难拿出令人满意的数据加密方案。某些企业会采用密钥管理互操作协议(简称KMIP)等行业中的新兴加密标准，但由于这套机制仍然不够成熟，所以我们不能指望得到“一朝部署、高枕无忧”的理想效果。由于整体IT安全标准严重缺失，大家不得不面对高昂的管理成本、繁的管理工作以及更高的数据损坏风险。

　　* 缺乏中央控制机制。个人安全及加密工具也在以类似的方式为我们带来自己的管理控制台，其作用范围涵盖了日常管理、监控与审计乃至密钥管理。每一套解决方案都需要进行单独配置，提供的功能水准也参差不齐——令人的认证机制与使用复杂性将日常操作拖入了泥潭。根据管理人员对每款工具的依赖程度与部署效果，实践作用与潜在风险也存在明显差别。同样值得关注的是，CIO们目前还没有一套足以在各类独立安全措施中搞定评估、监测、处理及报告等日常工作的中央控制方案。由于每一套安全工具都采用自己的政策、配置与管理系统，由此带来的升级成本与复杂性也成为技术人员的一大烦恼。

　　* 彼此独立的管理系统。多重安全技术中的每一项功能都需要单独配置、管理并监控。同样是由于缺乏集中式管理或政策手段，管理工作必须围绕各种工具独立进行。由于管理事务的数量过于庞大，产生配置错误的风险也随之提高，这可能引发安全漏洞的盛行或者关键文件无法正常恢复。

　　* IT职责错位。Ad hoc安全工具在部署过程中常常作为IT团队的功能性辅助，用于访问或控制对应系统。实践方案当然是加密密钥，然而当企业内部采用多种加密解决方案时，加密密钥将被大量IT员工所掌握。这显然违反了信息安全实践的一大重要原则，即职与责分离。接触到加密密钥的群体越大，内部攻击出现的风险也将随之上扬。
本文摘自：综合业务流程管理 http://www.su***/view-313.html