1、构筑以安全环境数据为中心的依靠卓越的安全基础规避隐蔽的数据漏洞埃森哲安全服务缺乏基本的数据安全防护是企业遭受数据泄露的重要原因。重新审视此类工作将为企业和高价值信息资产带来更佳的安全性。构筑以数据为中心的安全环境2引言让我们先来看看这些令人震惊的数字： 一家领先的信用报告机构泄露了超过1.4亿条客户记录， 其中包括社会安全号码、 出生日期和驾照信息等利用价值极高的个人身份识别数据。 一家领先的互联网服务提供商遭黑客入侵， 致使超过5亿名用户的帐户资料外泄， 其中包括姓名、 电子邮件地址、 电话号码、 出生日期、 密码信息等。 一家健康保险公司8千万名患者和雇员的记录遭窃， 姓名、 出生日期、

2、社会安全号码、 电子邮件地址、 就业信息和收入数据等信息或已流出。 两家领先的零售商当中， 分别有超过5千万和4千万个信用卡账户信息被盗。类似事件不胜枚举。 深究其背后的安全原因， 如果上述企业有效部署了以数据为中心的基本安全措施， 那么损失程度将大幅降低。如今， 对任何一家企业而言， 审视并实施以数据为中心的安全基础措施， 由此加强数据保护亟不可待。构筑以数据为中心的安全环境3重大数据泄露事件的共同特征我们从显而易见的事实开始剖析。 首先， 毫无疑问， 上述实例中的大规模数据泄露代价高昂任何一次严重事件不但会导致数千万、 乃至上亿美元的经济损失， 还将引发品牌和商誉的折损， 更将带来持续性的

3、财务和法律风险。 因此， 无论是对受害企业、 还是其合作伙伴抑或客户来说， 这份冲击都势必巨大而持久。不过， 即便是那些规模相对可控的日常数据泄露， 也有可能产生严重的财务和声誉影响。 据由埃森哲资助的Ponemon Institute所做的研究估算， 去年一年， 网络犯罪带给普通企业的平均损失上升了23%， 已高达1,170万美元。其次， 与日常泄露状况没能得到足够重视相似， 诸多数据泄露的受害企业仍未充分认识到： 数据是企业的命脉。 对于美国中情局、 英国军情六处和以色列摩萨德等情报组织而言， 数据丢失就意味着生命无法保障。 因此毋庸置疑， 保护数据是性命攸关的紧要任务。 就商业领域来看，

4、 尤其是在能源、 化工和医疗保健等行业中，数据丢失同样可能危及生命安全， 更会致使竞争优势的丧失以及品牌和声誉受损， 甚至是重大的法律和财务后果。 企业的运转需要、 也依赖于数据的安全处理，因此， 数据保护这一要务应当得到足够程度的关注、 重视和投入。 在数字时代， 数据即是价值。 与那些疏于防范的企业相比， 守护这份价值的机构必将获得更显著的优势。数据失窃受害企业的第三项共同特征是多种类型的安全漏洞并发存在。 我们面临的挑战并非在于， 犯罪分子是否利用受害企业无法修复的已知网站漏洞， 或是发起零日攻击； 真实的问题是， 必定会存在能够使得多达数千万、 乃至数亿条客户记录被窃取的多个流程和程序

5、缺陷， 并且泄漏情况持续数天、 数周或数月仍难以被察觉。构筑以数据为中心的安全环境4“加固” 企业 最具价值的 资产。综合思考上述特征， 我们建议企业采取这些行动： 一，井然有序地构建数据保护基本要素。 二， 为防范数据泄露并最大限度地减少其影响， 他们必须 “加固” 数据资产， 着手部署以数据为中心的卓越安全基础工作。构筑以数据为中心的安全环境5打造卓越安全基础明确高值资产这些数据可谓是企业 “皇冠上的宝石” 不仅对业务至关重要， 且处置失当会招致最严厉的监管处罚； 此外， 它们也是商业秘密和市场优势的关键组成部分。加固高值资产“加固” 高值资产意味着， 使不法分子在达到目的过程中遇到尽可能

6、多的困难并为此付出高昂成本， 同时尽力缩减对方一旦得手可能造成的损害。 这里是进一步的行动建议： 模拟攻击者心态。 他们最想得到什么？ 由此设计和执行威胁与漏洞检查程序，以及整体安全解决方案， 从根本上阻断其可能性。 考虑多种技术并用， 包括加密、 标记化、 微隔离、 权限分配与数字化职权管理、选择性校验、 数据加扰等等。 如果企业的高值资产位于陈旧系统中， 切勿尝试一次性加固所有资产。 与之相反， 应首要厘清所有的数据访问点及安全控制点并考虑添加新的保护措施， 直到完成对原有系统的迁移或更新改造。 如果现有系统无法得到适当加固， 则需设法限制访问权限并提升监控水平。 企业务必全力以赴， 实时