目前企業已經進入全新的大數據時代。在高帶寬、移動的、網絡環境中工作和生活的我們,會產生大量的數據,這些都成為大數據的來源,而這些信息很少存在于同一個地方。在幾微秒中,信息就能夠發布給世界各地的很多人。企業的高管門(包括CEO、CIO、CSO等)都必須面對因為大數據帶來的風險和安全挑戰,并規劃好如何去應對他們。本文將討論如何看待非結構化數據相對于傳統的結構化數據帶來的安全風險和挑戰以及多層面防護方法。
識別非結構化數據與結構化數據安全保護的差異
信息通常被歸類為結構化形式的或非結構化形式的。不同的類型有不同的保護方法。舉個例子來說,非結構化的Excel電子數據表實際上包含結構化的數據。在經典的術語中,結構化的數據是指數據符合某種嚴格的數據模型和限制的模型。比如,模型可以定義一個業務流程控制信息流經過一些面向服務的架構(SOA)系統,或者也可定義數據如何在內存的一個數組中存儲。但是對于大多數IT和數據庫管理專家來說,結構化數據是駐留在數據庫中,并基于數據庫架構和相關數據庫規則被組織的信息。而作為一個安全專家來說,這就意味著兩個重要的事情:
數據庫駐留在數據中心,周圍是物理安全設施(包括磚墻、金屬柜子等)、網絡防火墻和其他安全措施,允許你能夠控制對數據的訪問。
數據本身的結構化方式通常允許對數據的簡單分類。舉個例子,你能在數據庫中識別一個特定的人的醫療記錄和應用相應的安全控制。
所以,因為你知道結構化數據是什么樣的以及它駐留在哪里,你有嚴格的控制機制來決定誰能訪問它。對于結構化數據定義和應用安全控制相對簡單,要么使用結構內置的特性或者專門為特定結構設計的第三方工具即可完成控制。
而在相比之下,非結構化數據的管理和安全更加困難。非結構化數據能在任何地方、以任何格式、在任何設備上存在,并且在大數據時代能夠跨越任何網絡。舉個例子說明非結構化數據的應用復雜性,一個病人的記錄從數據庫中被提取出來顯示在一個網頁上,從網頁拷貝到數據表格中,附在電子郵件中,然后發送到另外一個網絡的郵箱中。
并且,非結構化的數據沒有嚴格的格式。當然,我們的Word文檔,電子郵件等符合定義它們內部結構的標準;然而,它們其中包含的數據幾乎沒有限制。比如上面列舉的那個病人記錄的例子,假設一個用戶改變內容后把它從網頁上拷貝到數據表格中,可能刪除了某些字段和標題。因為這個信息從一種格式轉變成了另外一種格式,它原始的機構被有效的改變了。
保護存儲成結構化的數據和信息是相對簡單的。但是隨著一個信息從結構化的形式移轉變為非結構化的時候,這個情況就會變得非常的復雜。考慮這樣一個例子,很多分析人士的報告表明在當前的企業組織中,80%或者超過80%的電子信息是非結構化的,還有非結構化數據增長的速度是結構化數據的10到20倍。也考慮一下媒體上的新聞文章不斷強調知識產權的竊取、信息的意外丟失、數據的惡意使用等,最核心的問題就是非結構化的數據。在2010年,全球總的非結構化的數據估計大概有100萬PB(1048576000000GB),被認為將以每年25%的速度增加。我們顯然需要去理解我們如何保護非結構化數據的安全。
非結構化數據需安全保護的“三態”
非結構化的數據在任何給定的時間總是處在三種狀態中的一種:非使用、傳輸中、使用中。非使用也就是在存儲設備中;它可能在傳輸中意味著它從一個地方被拷貝到另一個地方。或者,它可能在使用中(被一些應用程序打開著)。比如一個PDF文件,它可能存儲在一個USB設備上,不在使用狀態;同一個PDF文件可能從USB設備拷貝,并附在電子郵件中發送到因特網上。PDF從USB設備上被拷貝,通過很多州到電子郵件服務器,通過網絡從發件箱到收件箱。最后,收件人收到郵件并打開PDF文件,在那個時刻非結構化數據處于使用狀態(駐留在內存中),在一個應用程序的控制下(例如Adobe Reader閱讀器),并被呈現給可以交互的用戶。
結構化數據轉化為非結構化數據帶來風險
基于上面三種狀態的描述,可以更加詳細地討論目前對保護非結構化數據的挑戰。假設企業組織有一個HR的應用程序,它包括一個維護每個員工信息的數據庫,包括他們的年度工資、以前的紀律處分信息、個人數據(例如家庭地址和社會安全號碼)等。如同大多數現代的HR應用程序一樣,它是基于網頁的,所以當一個認證的用戶運行一個報表的時候,報表是從結構化的數據庫過渡到非結構化的數據,以HTML的格式傳遞給網頁瀏覽器。用戶應用程序能夠很容易從瀏覽器的拷貝和粘貼這個信息到電子郵箱信息和通過其他方式轉發。當這個信息一旦添加到郵件正文中,它失去了與原始的應用程序所有結構和關聯。用戶可能也會選擇只拷貝和粘貼一部分信息,更改一部分信息,或者在原始的信息中添加一些新的內容。收到用戶發的電子郵件的人可能會拷貝和粘貼數據到電子表格。這些電子表格信息可能被用來創建一個圖示的信息,使用的原始的一些文本信息在圖形上作為標簽。如同這個情況所示,結構化信息很快就被三種狀態的改變而轉化成了非結構化數據,這些結構化數據從以前的數據庫中改變并重構、存儲在較小的數據格式中,它們包括電子郵件,文檔,圖片,視頻等等。
企業可能已經很好的定義了安全模型去控制訪問HR的應用程序和包含HR信息的數據庫。然而,信息需要傳遞給對有意義的人們或者應用程序。如果它通過網絡傳輸了,企業和用戶能確定訪問網絡是安全的,然而,當信息到達用戶時,它能夠被轉換成數千種不同的格式,發送給各種各樣的應用程序和網絡。每個信息存在的地方能夠有保護的,它可能應用訪問控制對共享文件和控制對數據駐留(內容)的地方和網絡的訪問;然而,你的非結構化信息可能在任何地方被終結,因此很難對它保護。事實上,甚至很難對它定位、識別和分類信息。一旦HR的數據終結在電子郵件中,意外的轉發給錯誤的人,它就沒有存儲在數據庫原始數據的良好結構了。它在從數據庫到一個未授權的用戶的收件箱的傳輸過程中,也被復制了好幾次。
事實上,在大數據時代,非結構化的數據不斷的發生變化,數據終結在你沒有預期的地方,特別是因特網提供了一個令人難以置信的由擅長傳輸非結構化數據的計算機組成的大型網絡。大量的金錢和精力投入到去建設社交網絡(SNS),文件共享和協助服務,點對點的應用。點對點提供了無數種將非結構化數據在幾秒鐘內發布給數十億的用戶。所以我們經常聽到關于數據丟失的例子就不足為奇,現在我們創造了這么多令人驚訝的方法允許信息簡單的離開我們保護的邊界,我們的網絡控制用來阻止攻擊者范圍受我們保護的數據不再足以讓它安全了。
因此,企業高層管理者要充分意識到大數據時代非結構化數據帶來的安全風險和沖擊,并提前準備好相應的措施來應對它。
多層面數據防泄露保護非結構化數據
非結構化數據通常需要以如下幾種方式進行泄露管控:
監控:被動的監控和報告網絡流量和其他通信通道的信息例如文件拷貝到附加的存儲。
發現:掃描本地或者遠程數據存儲和在數據存儲庫或者在終端上分類消息。
捕獲:存儲重新構建的網絡會話為以后的分析和分類/政策細化。
防護/阻塞:基于信息從監控和發現組件防護數據傳輸,要么通過阻斷一個網絡會話,或者通過一個本地代理去停止信息流。
針對以上需要,可以應用數據防泄露進行有效的防控。數據防泄露(也稱DLP)指的是一個相對較新的一組技術設計去監控,發現和保護數據。你可能還聽到這種技術成為數據泄露防護—有時它也稱為“保護”這個詞代替“防護”。在任何情況下,DLP像一個你“數據的防火墻”。有各種各樣DLP的解決方案在市場上,通常能夠使用如下三種類型來分別在不同的層面保護非結構化數據:
網絡DLP 通常一個網絡應用程序在主要的網絡周圍(大多數情況是在企業的組織網絡和互聯網之間)作為一個網關。網絡DLP監控通過網關的流量試圖去探測敏感的數據或者做點相關的事情,通常會阻止它離開網絡。
存儲DLP軟件要么運行在一個應用程序上或者直接在文件服務器上,執行像網路DLP一樣的功能。存儲DLP掃描存儲系統去發現敏感數據。當找到的時候,它可以刪掉它,把它隔離或者簡單的通知管理員。
終端的DLP軟件運行在終端系統上監控操作系統活動和應用程序,觀察內存和網絡流量去探測敏感信息不恰當的使用。
并且,網絡、存儲和終端的DLP經常一起使用作為一個綜合DLP解決方案去滿足非結構數據的安全管控需求。
京公網安備 11010502049343號