在整个生命周期中保护数据

他说：“控制非结构化数据的利用是极具挑战性的，因为一旦数据超出数据库，控制就无法正常工作。”

集中式数据库安全管理和审计是第一步。但是组织还应在其他方面保护数据的安全性和完整性。

“您必须查看数据保护的谁，什么，何时，何时何地以及如何使用它，他们在处理它，何时以及如何访问它，如何使用，何时使用它返回，以及如何安全地存储和存档。分析师和用户说，没有整体方法可以保护信息从摇篮到坟墓的保护 - 也就是说，它可以将台式机，数据库，网络以及远程用户和业务合作伙伴转移到备份中，然后将其放在备份和存储中。那些解决数据生命周期保护问题的企业正在以与组织本身一样独特的方式这样做。

检查数据生命周期保护

其中之一是总部位于休斯顿的哈里伯顿（Halliburton），它于2003年开始研究数据生命周期保护。微软还有其他500强财富，哈里伯顿的高管开始询问如何控制组织的大量信息资源。他们质疑该公司拥有多少信息，居住的地方以及所使用的信息。

他们很快意识到了任务的复杂性。“数据远远超出了数据库，尤其是当您查看文档和内容管理时。它不仅属于内部用户的管理，而且如何分离从网络访问的文档和文件或在E中发送的文件的控件-邮件？”Halliburton首席信息安全官Mark Johnson问。

此后，Halliburton团队研究了各种用于电子邮件，台式机和的数据保护工具贮存。这些包括Symantec的Enterprise Vault电子邮件存储归档软件（由于Veritas的收购而获得）和Microsoft的权利管理服务，该服务在Office应用程序和交换中对桌面上的受保护信息进行加密，以及文件和打印服务器。

但是哈里伯顿决定不实施其评估的任何工具。约翰逊说，这些工具还不够全面，需要过多的密集自定义开发以将其集成到其企业基础设施中，并呼吁对员工进行广泛的再培训和教育。

取而代之的是，哈里伯顿（Halliburton）采取了临时步骤来调试外部公司以监视组织网络并确定需要保护哪些信息 - 主要是知识产权，客户和营销信息。然后，他们将这些信息源隔离到了严重的LAN段，在那里他们监视了其中的内容，以确定异常用户的行为。此外，他们正在安装数字取证工具，以帮助他们在用户计算机中搜索智力性违规行为。

“这是黑暗中的镜头，您可以在不违反员工隐私的情况下搜索的事情有一个限制。但是，我们试图在确定受控工作组是否超出的东西方面发挥创造力，”全球IT战略家和哈利伯顿的建筑师。

数据的位置

Yankee Group高级分析师Chris Liebert说，像Halliburton一样，大多数组织都从数据集中化，数据库监视和网络审计开始，以寻求潜在的使用违规行为。她说：“从用户的角度来看，现在正在查看数据安全性 - 谁可以访问什么？他们从哪些设备访问数据 - 然后对此进行控制。”“因此，供应商正在使用网络技术，包括行为分析，数据包检查，交通分析传感器，启发式和相关性，以期待未经授权的用户行为。”

顾问和用户说，网络和数据库应用程序监视的最重要好处是了解企业对网络，应用程序以及其中所在的高危数据的了解。

卡内基·梅隆（Carnegie Mellon）的杰克逊（Jackson）补充说：“在结构化数据上审核数据库并不是什么新鲜事，但是问题是当您拥有如此庞大的环境时，如何在没有相关性的情况下合理地找出您关心的可审核数据。”

借助正确的网络，应用程序和用户信息，组织可以制定围绕加密，访问控制和监视规则的政策和程序。然后，他们使用监视和关联来寻找用户行为不当的迹象（例如，在计算机之前没有这样做时尝试下载大型客户文件）。

康涅狄格州斯坦福大学的Pitney Bowes工程与安全总监Dave Giambruno说，他在Intuitivelabs的OPX相关引擎中找到了圣杯。OPX相关，每天1.2亿次，所有报告来自网络设备和安全应用程序，包括Pitney Bowes引擎已经相关的报告，评估了应用程序漏洞的应用程序漏洞，Application Security的AppDetactive。

Giambruno说：“公司在孤岛中运行安全性，将网络，应用程序和数据安全性视为单独的地理位置。您需要对所有这些网络数据的组合视图。”“从信息生命周期的角度来看，您会在所有感兴趣的社区中获得清晰和管理风险 - 基础架构和应用团队以及业务单家本身，他们可以理解风险他们的数据并设置围绕他们的规则。”

数据的谁

Giambruno说，OPX的红色，黄色和绿色评级系统证明了受保护应用的状态足以满足监管机构。但是，监管机构正在重新审视指南，以超越谁授权获取数据，这是Verizon Business's Consulting Services的安全服务副总裁Chris Sharp表示。他说，很快，监管机构将需要知道存储数据的所有位置，谁与数据互动以及在整个生命周期中保护这些数据所采取的手段。其他顾问和IT高管同意。

克莱顿补充说：“数据保护不仅仅是保护网络和设备。”“数据完整性并保护数据免受未经授权的使用和破坏也是信息保护生命周期的一部分。”

这种数据完整性和保护级别主要发生在网络层上，两种方式：通过监视网络流量的行为，指示数据政策漏洞（例如，深夜上传到用户计算机）或检查出站受保护数据类型的数据包（例如SSN或CAD图纸）。

旧金山市网络经理Herb Tong说：“突然之间，我们看到一个用户在两个小时的时间内下载了10兆字节的点对点文件。我们知道这不是正常的。”旧金山市网络经理Herb Tong说。

PacketMotion的PacketSentry实时流量分析工具使TONG能够确定要传输的文件类型以及下载请求发出的IP地址。一旦获得此信息，他就会就这种情况联系部门主管。

旧金山的计算机游戏初创企业而不是异常的行为，而是依靠数据包检验方法来监视受保护的知识产权的出站传输。它使用Tablus的内容警报软件，该软件查找指定为保护的数据类型并可以自动发出警报，阻止传输或基于策略采取其他操作。

假阳性被标记和阻止合法数据，因为数据序列可能过于与受保护数据类型的数据相似，因此数据包检验技术，分析师和企业主管警告说，可能是一个问题。该公司运营副总裁马克·里佐（Mark Rizzo）表示，在过去两年中，永久性娱乐在过去两年中没有问题来扫描数据包流中的数据。

数据的如何

Rizzo在Tableus的内容前哨方面也没有任何问题，他用来扫描台式机。

他说：“当我进行了分布式扫描以获取处于危险的个人身份信息时，我惊讶于[内容Sentinel]在回收箱中发现的东西。”“从该扫描中，我能够改变有关人力资源如何存储和传输记录的政策。”

现在，Rizzo想要安装Tableus的桌面数据管理工具DT DT DT，以防止将标记为USB设备，CD燃烧器和打印服务器的信息传输（因此无法在组织中打印和执行）并禁止将此类信息复制到即时消息或电子邮件中。基于网络的技术无法防止这些动作。他正在等待该软件的下一个版本，该版本应支持他对Microsoft分布式文件系统的实施。该版本定于今年夏天进行。

其他企业还发现了这种新的产品，该产品有助于控制用户如何与桌面上的数据交互。例如，在俄亥俄州都柏林的员工福利管理公司（EBMC）使用液体机器的电子邮件控制来强制加密，到期和使用策略（例如印刷，复制，分发），该电子邮件包含EBMC之间发送的医疗数据Microsoft Exchange Server及其60个雇主合作伙伴。该公司运营副总裁蕾妮·哈斯（Renee Haas）表示，除了电子邮件控制外，EBMC还使用出站流量和数据库监控工具来保护数据。

液体机器产品管理副总裁Ed Gaudet说，为了保护受监管的数据以进行合规计划，与医疗相关的公司（例如EBMC）通常从电子邮件应用程序开始，因为这是大多数控件需要的位置。他说：“同样重要的是存储在电子表格和其他办公应用程序中的知识产权。”液体机器还提供企业权利管理软件，以通过在包括Office，Visio和CAD在内的应用程序中执行加密和使用策略来保护数据。

根据政策，一些初创企业（例如Blue Jungle）具有符合性的企业，使用端点上安装的Agent Technologies在台式机上使用所选文档上的信息使用规则，包括复制/向前/正向/打印和电子邮件。哈里伯顿的约翰逊说，这种执行对于围绕受监管的财务数据进行控制特别有用。但是，该系统并不适合他的外部用户群体，尤其是哈里伯顿（Halliburton）共享知识产权的成千上万供应商，顾问和承包商。

Verizon的Sharp说，在某些情况下，数据可能完全不可能在台式机上允许。他解释说，许多高端客户端仅允许数据库和桌面之间的临时会话，并每次用户会话限制时都会擦洗缓存。

数据的何时

最终数据需求保护是在存储和备份系统中。这意味着在电子邮件档案以及磁带，磁盘和在线备份系统中加密敏感信息。并见面保留数据法规洋基集团研究总监汤姆·德威尔（Tom Dwyer）说，这也意味着将信息存储在一定的时间内，对其恢复的速度进行控制，然后绘制数据类型，访问和保留期与数据相关联。。

他说，希望看到这种功能来自企业内容管理和存储管理供应商之间的合作伙伴关系，他指出了内容管理供应商Mobius管理系统与存储管理供应商之间的伙伴关系EMC。Atempo的LiveBackup，WYSDM软件的WYSDM用于备份和其他人在备份，存储和归档系统中也执行类似的数据保护功能。

显然，信息生命周期保护并不容易。如果监视和关联技术未正确实施，则有一些错误的阳性和信息过载的陷阱。加密会膨胀您的信息系统并给用户负担。（查看至少在数据存储中的存储加密标准IEEE P1619，以减轻膨胀。）只有一个技术供应商，Adobe，紧紧地控制桌面文件，但仅在其自己的文件类型上。然而，早期采用者说，是时候尝试从当今的开放企业的生命周期的角度来保护关键数据了。

拉德克利夫（Radcliff）是加利福尼亚州的自由作家。她可以接触到deb@radcliff.com。

<上一个故事：为身份管理奠定基础|下一个故事：商业交流使用自动变更管理>