引言：近年來的頻繁曝出的數據泄露事件令人不得不思考，機構是否把安全投入投到了正確的地方。

最近的一份數據泄露報告顯示，95%的數據泄露事件其動機均為獲取物質利益或商業間諜行為。于是一個疑問就此產生，我們為什么要把很多的資源和精力投入到保護網絡邊界，而不是防止數據泄露或篡改方面呢?信息安全是否需要一種新的方法來關注數據本身的安全問題?

企業花費大量的資金用于保持企業的安全邊界，以防范網絡攻擊和內部威脅。Gartner的報告顯示，全球在信息安全方面的投入2014年將達到711億美元，較2013年增長7.9%。2015年將繼續增長8.2%，達到769億美元。

這些花費的大部分都用于加強傳統的安全防護邊界，但越來越多的安全事件表明，這種投入方向的效果很差。索尼影業就是一個例子，其數量繁多的安全工具和產品服務，也未能阻止黑客盜走其高度敏感的數據。

對于想要獲取物質利益的黑客來說，攻擊的首要目標是數據。因此，如果能保證數據不被盜取或不被篡改，就可以在防止網絡入侵方面少花一些資源和精力。遺憾的是，現實情況許多機構都未將數據保護視為重點。

一份調查了5000名高級IT經理的報告顯示，全球35%的機構并沒有對其數據進行加密。而近年來，所有發生的信息泄露事件，如果泄露信息的這些企業全部都對其數據進行加密的話，至少有一半的泄露事件可以避免。

這就是為什么越來越多的管理標準和行業標準，如COBIT 5、PCI DSS 3.0、FISMA等，強制要求數據完整性。那么，如果數據是網絡攻擊的最終目標，采取何種數據完整性戰略，才能夠最有效的保護機構的敏感數據資產呢?

數據完整性的目標是在數據作者的認可下，確保數據的正確性、完整性、完全性、健康性和合規性。在IT安全的安全環境下，其目標是防止數據庫中的數據遭到意外、故意和未授權的移除、插入、修改或破壞。因此，最佳數據安全實踐的基礎應該如下：

第一步，按業務需求分類保護數據。如分成“公開”、“內部”、“秘密”和“絕密”等類別。數據分類常常被棄用是因為，需要手工維護數據不斷變化的類別狀態。但如今新興的大數據風險管理系統都有著所謂的動態分組功能，允許簡單的拖放操作重新分類，并可將改變分發到所有相關節點。

數據分類之后就是數據加密。加密技術在最近幾年來有著良好的發展，消除了早期在性能和部署方面的障礙。機構應該確保把加密機制正確地實施到所有敏感數據，無論數據在哪里保存，也不管數據如何傳輸。

訪問控制是許多安全項目的最薄弱點，這是因為實施者必須平衡數據可用性與未授權數據的使用(如盜用、泄露、篡改和破壞)。另一方面，黑客通常的目標是特權用戶，因為這些人的賬戶是入侵整個網絡的橋頭堡。因此，要嚴格執行界定良好的訪問控制政策并持續監控訪問路徑，以確保訪問控制策略的正常執行。此為保證數據完整性的基本要素。一套能夠評估風險態勢、可視化結果和合理安排基于業務關鍵性的補救措施的大數據風險管理系統，可以給企業的數據保護工作帶來很大的幫助。

最后，機構應該保護數據的傳輸安全性。這方面最危險的案例就是黑客在股票市場的數據公開發布前，對其進行操縱。

D1Net評論：

對于信息安全工作而言，想達到百分百的安全是不可能的。然而，增加了數據完整性措施的安全防護機制，將極大的降低數據大規模泄露的可能。

(原文作者：王小瑞）