保护数据在其生命周期

“控制非结构化数据的利用率是非常具有挑战性的,因为一旦这些数据从数据库中,控制不工作,”他说。

集中的数据库安全管理和审计是一个很好的第一步。但组织也应该保护数据的安全性和完整性在其他点。

“你看谁,什么,当数据在哪里以及如何保护:谁在使用它,他们在做什么,当和他们是如何访问它时,它是如何被使用的,回来的时候,和它是如何安全地存储和存档,”加里·克莱顿解释道,隐私法规遵循集团的首席执行官,在达拉斯数据隐私咨询公司。不存在全面的方法来保护信息从摇篮到坟墓,遍历桌面,数据库,网络,远程用户和业务合作伙伴,然后休息在备份和存储、分析师和用户说。企业解决问题的数据生命周期保护这样的方式组织本身一样独特。

检查数据生命周期的保护

其中一个是位于休斯顿的哈里伯顿公司,在2003年开始看数据生命周期的保护。根据宣传的数据泄漏微软和其他财富500强的年代,哈里伯顿公司的高管开始问如何控制组织的庞大的信息资源。他们质疑多少信息公司,在那里居住和使用。

他们很快意识到任务的复杂性。“数据远远超出数据库,特别是当你在看文档和内容管理。它不仅属于管理内部用户,但是你分离控制文件和文件从互联网或发送电子邮件访问?”问马克·约翰逊在哈里伯顿首席信息安全官。

哈里伯顿的团队已经研究了多种数据保护工具,电子邮件、桌面和存储。这些包括赛门铁克的企业库的电子邮件存储归档软件(因为Veritas收购)和微软的版权管理服务,加密保护信息在办公室桌面应用程序和交换,以及文件和打印服务器。

但哈里伯顿公司决定不实现任何工具的评估。它发现所需的工具还不够全面,过于密集的定制开发融入其企业的基础设施,并呼吁广泛的培训和教育员工,约翰逊说。

相反,哈里伯顿公司委托外部公司采取了临时措施监控组织网络和确定哪些信息需要保护——主要是知识产权,客户和市场信息。然后他们孤立这些信息源LAN网段路程,他们监控进出的确定anomalous-user行为。此外,他们正在安装数字取证工具,包住,帮助他们寻找用户电脑中侵犯知识产权。

“这是瞎猜的,有限制的东西你可以搜索没有侵犯员工的隐私。但是我们试图创新决定如果东西之外的控制工作组、“艾琳·巴克斯顿说,全球分析师和架构师哈里伯顿。

数据的地方

像哈里伯顿,大多数组织从数据集中、数据库监控和网络审计寻找潜在违规使用,高级Yankee Group分析师Chris Liebert说。“数据安全现在正在看着从用户的角度来看,谁有权访问什么?他们访问的是什么设备的数据,然后将控制,”她说。“所以供应商使用的是网络技术,包括行为分析、数据包检测,流量分析传感器、启发式和相关注意授权的用户行为”。

网络和数据库应用程序的最重要好处监控是了解一个企业收益的网络、应用程序和风险数据安置,顾问和用户说。

“审计数据库结构化数据并不新鲜,但问题是当你有如此大的环境中,如何合理地找出可审计的数据你关心的帮助没有相关性,”卡内基梅隆大学杰克逊补充道。

正确的网络、应用程序和用户信息,组织可以开发政策和程序加密、访问控制和监控规则。然后他们使用监控和相关性寻找用户不当行为的迹象(例如,试图下载大客户文件当计算机之前没有这样做)。

工程和安全主管戴夫•Giambruno Pitney Bowes,康涅狄格州,在斯坦福德说,他找到了圣杯IntuitiveLabs OPX相关的引擎。OPX关联,每天1.2亿次,所有报告来自网络设备和安全应用,包括已经相关报道Pitney Bowes引擎脆弱性评估应用程序,应用程序安全性的AppDetective。

”公司在筒仓安全运行,观察网络、应用程序和数据安全作为单独的区域。你需要一个组合视图的网络数据在驱动你的风险,”Giambruno说。”从一个信息生命周期的角度,得到清晰、管理风险的上下文中所有感兴趣的社区基础设施和应用程序团队,以及业务部主人自己,他们可以理解的风险数据和设置规则。”

世界卫生组织的数据

OPX的红色、黄色和绿色评级系统证明保护应用程序的状态足以满足监管机构,Giambruno说。但监管机构正在回顾指南去超越授权访问数据,认为克里斯•夏普安全服务的副总裁Verizon业务的咨询服务。不久,他说,监管机构将需要知道所有的数据存储的地方,谁是与数据和交互手段采取保护数据在其生命周期。其他顾问和高管同意。

“数据保护是保护网络和设备多,”克莱顿补充道。“保护数据完整性和数据未经授权使用和破坏也是信息保护生命周期的一部分。”

这种级别的数据完整性和保护主要发生在网络层,在两个方面:通过监控网络流量行为表明数据政策漏洞(如大文件上传到用户计算机深夜),或通过检查出站数据包为受保护的数据类型(如SSNs或CAD图纸)。

“说,突然,我们看到一个用户下载10 mb的点对点文件在两小时内。草说:“我们知道这是不正常的,网络管理器的旧金山。

PacketMotion PacketSentry实时流量分析工具使通转移文件类型来确定和下载请求的IP地址上散发出来。一旦通这一信息,他接触的部门主管。

反常行为,而是永久的娱乐,电脑游戏启动在旧金山,依赖于数据包检测方法来监控出站传输保护知识产权。它使用Tablus内容报警软件,查找数据类型指定为保护和自动可以发出一个警报,块传输或者采取其他行动基于政策。

假阳性,合法的数据标记和封锁,因为数据序列可能太接近于一个受保护的数据类型,可以是一个问题与数据包检测技术,分析人士和企业高管警告。但永久娱乐没有这样的问题在过去的两年里在包使用内容报警扫描输出数据流,马克Rizzo说,在公司业务的副总裁。

的数据如何

里索也没有遇到任何问题与Tablus内容哨兵,他使用扫描桌面。

“当我跑一个分布式扫描高危的个人身份信息,我很惊讶(内容前哨)回收垃圾箱中,”他说。“从扫描,我能够改变政策对人力资源存储和传输记录。”

现在Rizzo想安装内容报警DT, Tablus的桌面数据管理工具,以防止信息标记为私有的转移到USB设备,光盘燃烧器和打印服务器(因此它不能印刷和实施的组织),禁止复制这些信息即时消息或电子邮件。基于网络的技术不能防止这些行动。他等待软件的下一个版本,它应该支持他的微软分布式文件系统的实现。定于今年夏天发布。

其他企业也发现这种新型的产品,帮助控制用户如何与数据在桌面进行交互。例如,员工福利管理公司(EBMC),液体在都柏林,俄亥俄州,使用机器的邮件控制执行加密、过期和使用政策(如打印,复制,分发)发送电子邮件包含医疗数据EBMC Microsoft Exchange服务器及其60雇主之间的合作伙伴。除了邮件控制,EBMC使用出站交通安全数据和数据库监控工具,蕾妮·哈斯说,在公司业务的副总裁。

保护监管数据遵从性计划,医疗公司,如EBMC,经常从电子邮件应用程序,因为大多数的控制需要,负责产品管理的副总裁Ed Gaudet说液体的机器。”同样重要的是知识产权存储在电子表格和其他办公室应用程序,”他说。液体的机器还提供企业版权管理软件实施加密保护数据的应用程序,并使用政策包括办公室、Visio和CAD。

一些初创企业,如蓝色的丛林,兼容的企业,使用代理技术安装在端点执行信息资源开发利用规则选择的文件在桌面,包括复制/向前/印刷和电子邮件,根据政策。这个执行将控制在规范财务数据尤其有用,哈里伯顿公司的约翰逊说,他做了一个概念验证在蓝色丛林去年产品。但是该系统并不适合他的外部用户规模,特别是成千上万的供应商,顾问和承包商哈里伯顿与知识产权。

在某些情况下,数据可能太关键的可以在桌面,Verizon的夏普说。许多高端客户只允许之间的临时会话缓存数据库和桌面和擦洗每次用户会话超时,他解释说。

数据的时候

最后需要保护数据在存储和备份系统。这意味着加密敏感信息在电子邮件档案和磁带、磁盘和网络备份系统。和满足数据保留法规为一组,这也意味着存储信息的时间,将控制在多久可以恢复,然后映射什么类型的文档,访问和停留时间与数据相关联,扬基集团研究主管汤姆•德怀尔说。

看看这个功能的企业内容管理和存储管理的供应商之间的合作关系,他说,指向内容管理供应商莫比乌斯之间的伙伴关系管理系统和存储管理供应商EMC。照原速度的的LiveBackup WysDM软件的备份WysDM和其他人还在备份执行类似的数据保护功能,存储和存档系统。

显然,信息生命周期保护并不容易。假阳性有缺陷和信息过载如果不正确实现监测和相关技术。加密可以膨胀你的信息系统和用户的负担。(看storage-encryption标准IEEE P1619减轻肿胀,至少在数据存储)。只有一个技术供应商,Adobe,严格控制桌面文件,但只在它自己的文件类型。然而,早期的采用者说是时候来保护关键数据从生命周期的角度来看在当今开放的企业。

在加州雷德是一个自由撰稿人。她可以达成的deb@radcliff.com。

<以前的故事:设置身份管理的基础|下一个故事:商品交易所使用自动化的变更管理>