信息安全之: 7 大不可忽视的数据外泄风险
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

原文来自CIO网站文章:  Information Security: 7 Data Leaks You Can't Ignore
对所有财务机构来说,信息安全控制是日常运营中不可缺少的部分。当地信贷互助会的成员们期望他们的信息安全与在同一商场停车场且相隔几百英尺的大银行一样安全。唯一的区别是当地信贷互助会用于信息安全的预算同大银行数以百万计的预算相比要逊色许多。

 
有限的预算加上缺乏对安全措施的理解,很多信贷互助会求助于当地机构咨询公司,这些咨询公司经常推出低效而昂贵的安全计划,却没有给日益严峻的安全状况带来价值。

 
花钱让安全厂商来帮助你监控 IDS 和防火墙也许可以帮助你通过年度的审计(至少从目前而言),但是我怀疑这样的做法是一个行之有效的方案。每个信贷互助会需要有一个对信息安全有深刻理解的员工或者至少一个能够指导他们正确方向的厂商或咨询顾问。如果你完全把信息安全计划外包,你将无法平衡运营与安全的关系。

 
IT 与商业运营之间建立一个清晰和开放的沟通渠道,是一个行之有效的安全计划的关键所在。商务运营需要确信信息安全计划不过时又能给信贷互助会和它的成员提供一个合作的机会。需要毫不含糊地打破安全概念,公司才能理解。信息安全计划经理的主要职责是成为一个信息安全的推销员。他 / 她需要改变公司管理层思维方式并确保把安全与公司流程结合在一起。

 
我可以自豪的说在公司执行层的支持下, TruMark 财政信贷互助会已经成为信贷互助会信息安全的领导者。在去年的一年半时间里,我与我的员工在不断识别风险和评估产品以降低风险。我将与你们共享我们的成果,希望借此能提升行业内的信息安全状况使之比得上那些大银行甚至超过他们。

 
一个行之有效的安全计划并不意味着花费大量金钱。下面是数据从公司泄露的 7 个常用方法。我借此机会跟你分享我们实施的弥补措施,这些措施不仅提升了公司安全状况更是给外审人员留下了印象深刻,为信贷互助会的发展扫清了障碍。

 
7个不可忽视的数据外泄风险

 
数据外泄情形1

公司的敏感信息通过大容量 USB 存储设备如 IPOD ,数码相机或其他可移动介质而泄露。

补救方法:禁用所有大容量 USB 存储设备

购买硬件以及 300 个许可的大概费用为 5 万美元。
实施 Trigeo SIM 。当检测到 USB 驱动器,他们的 USB 卫士可以分离 USB 驱动器。他们的产品可以进行细粒度的配置,以允许那些在 USB 中包含软件许可或硬件狗使用。员工会收到弹出窗口提示 USB 设备将被禁用。 Trigeo 同样够配置成发送邮件到你想要的任何邮件地址。这只是他们产品众多特性里其中一个。

数据外泄情形2

敏感信息可以通过刻录 CD DVD 方式泄露。

补救措施:禁用所有刻录机并删除刻录软件

费用: 0

该方案有 3 层面

l  通过 AD 组策略禁用 Windows 自带刻录功能

l  卸载所有第三方刻录软件

l  把所有用户从本地管理员组里和超级用户组中移除(最佳实践)。这将禁止任何人不通过正常申请私自刻录信息到 CD 。这将阻止用户在没有提交正式请求而私自拷贝信息到 CD 。当在 Ticket 系统里收到合理请求光盘时,你可以通过 RDP 方式登录到他们的工作站,然后安装第三方软件。刻录完毕把软件卸载。另外一个更好的管理办法是把刻录功能指定给一小部分用户,消除因要求一个“标准”用户到一个受信员工(如主管)那里刻录信息带来的风险。
 
数据外泄情形3

笔记本丢失或失窃导致的敏感信息泄露。

补救措施:对所有笔记本硬盘加密

大致费用每个笔记本 200 美元

如果你已经部署了 PGP加密软件 的话,启用了磁盘加密,即使笔记本丢失或失窃,你也可以高枕无忧。

选用适当的软件试图破解加密的磁盘将不太可能。确保设置了复杂的口令,否则加密毫无意义。

 

数据外泄情形4

备份磁带的丢失或失窃导致的敏感信息泄露

补救措施:启用软件或硬件技术加密磁带

每个服务器大致费用: 800 美元

2 个层面

l   我们利用 Backup Exec 11d 自带加密选件。我曾听说工程师们关注基于软件加密技术的费用,但是我看不到用加密选件在备份一个 terabyte 数据时间花费上同基于软件加密所花时间有非常大的区别。然后这些磁带被送至 Iron Mountain (注:一家信息存储管理和数据保护服供应商),用于离线保存。

l   我们的核心处理系统使用 Neoscale( 注:一家企业存储安全解决方案供应商,已被nCipher收购),一个基于硬件的加密设备。尽管它具有杰出的传输率,但它的价格超出了小型信贷互助会可以承受的范围。
 
数据泄露情形5
通过互联网连接的敏感信息泄露
补救措施:用带屏蔽功能的内容包过滤
大致费用:取决于记录数量
对内部人员来说,这是可能是最简单的造成信息泄露的方法,不管是故意
的还是是无意的。
大部分企业没有认识到这种威胁,审计部门在他们的检查清单中很少提到。
每天财务机构的员工接触到大量的敏感数据。对他们而言,把这些敏感信息做成工作表,Word文档和Access数据库并将它附在邮件里发送给hotmail信箱,应该不是一件困难的事情。发往厂商的文件存在同样的问题。对发出去的敏感信息进行加密势在必行。不经加密用明文发送信息的做法将给企业以及它的成员带来极大风险,必须在传输中加以屏蔽。实施INSTRUSION公司的安全分接器(tap)设备。他们的产品易于安装、配置和管理。运行的原理也不复杂,先从核心处理系统中导出所有成员记录到一个带分隔符的文件,然后将该文件装载到INSTUSION设备中。在路由器和外部防火墙接口之间插入安全分接器。在到达路由器之前,所有外出数据包都将被检查。如果包含在互联网数据包的信息与成员记录相匹配,数据包传输将被拒绝。该设备能被配置成发送邮件通知事故响应小组成员。
 
信息泄露途径6

当一些捣乱设备(如无线路由器,笔记本,交换机和其他任何未授权设备)接入时发生的信息泄露。

补救措施:在交换机端口上启用 2 层访问控制

费用: 0

有多方面的方法来解决。

  • 所有未使用的交换机访问端口必须关闭,防止用户自由接入到交换机来获取 IP 地址。
  • 给公司每个人发送邮件要求所有电脑、打印机和其他设备开着,否则第二天将无法连接到网络。
  • 检查每个交换机访问端口,把“ down down ”(注:也就是端口和协议都为 down 状态)状态的端口关闭。

一旦消除所有未使用的端口,下一步是为每个访问端口启用动态 MAC 地址。

cisco 交换机上启用动态 MAC 地址的命令会因 Csico OS 版本不同能不同。

动态将当前得到的 MAC 地址绑定交换机端口绑定是关键,如果 MAC 改变了,与之绑定的端口将被关闭。下面是一个配置例子:


interface FastEthernet0/19
switchport access vlan 6
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0013.7476.f257
spanning-tree bpduguard enable

当启用端口安全时,注意当你用 ”show run” 命令时, MAC 地址成为那个端口配置的一部分。如果有一个 HUB 下面连接了 6 台设备,你可以配置交换机端口来接受最大 6 个地址(或多个)

所有只显示一个 MAC 地址端口应该启用 bpduguard ,这意味着一旦有交换机或路由器接入到该交换机端口,该端口将被关闭。这样可以阻止那些在你不知情的情况下偷偷把路由器、交换机、集线器接入交换机的家伙。

如果实施了 TriGeo Sim ,对这类事件设置通知是轻而易举的事情,你可以马上让事件响应小组参与其中。

 
信息泄露途径7
薄弱点被发现和利用时敏感信息的泄露。

风险缓解:每个月实施内网和外网***测试

每月大概花费: 1600 美元

 
需要注意的 3

  • 除非你知道问题存在,否则无法解决问题。我选择的薄弱点评估厂商是 Digital Defense 。无须下载你自己的测试工具因为他们涵盖了方方面面。他们会给你寄送预先配置好的设备,用于接入到你的内网。把设备放在生产服务器所在 VLAN ,对你核心网络可以无限制访问。你可以根据频度的需要设置你自己的内网和外网测试方案。细粒度的报告,包括了操作指南,如何规避发现的薄弱点。同样包括了遵从工具,可以帮助你达到审计部门的要求(如 GLBA, FFEIC, NCUA 法规)。这些报告可以打印出来并交给审计人员,充分显示出你通过勤奋得来的实践经验。
  • 部署 WSUS ,自动更新计算机和服务器。它是免费的。
  • 给计算机和服务器部署自动杀毒软件。我向大家推荐 Panda 杀毒软件。
 
整理了一些相关资源,供大家参考:
 
1.本文中提到的相关厂商
Backup Exec 大名鼎鼎的备份软件,已被SYMANTEC收购
Iron Mountain 一家信息存储管理和数据保护服供应商
 
 
2.相关术语
  • Trouble Ticket 系统也可以说是issue tracking system 或incident ticket system),是企业内用于收集、处理用户问题的软件。ticket通常在help desk中产生,也被称称之为case。
  • RDP (Remote Desktop Protocol) 远程桌面协议
  • PGP desktop有PGP出品的加密软件
  • GLBA (Gramm-Leach-Bliley ) 要求金融机构保护客户信息的安全性、完整性和保密性,并籍此实现美国金融服务业的现代化。
  • FFIEC (Federal Financial Institutions Examination Council ) 联邦金融机构研究委员会
 
 
4. 终端安全解决方案
(GFI 提供的Endpoint security)
(Centennial Software提供的方案)
(Symantec 提供的方案)