根据Forrester相关报告,当前,保护企业的信息资产是企业安全计划所面临的头等问题:数据安全性(90%)最常被IT安全性企业视为重要或非常重要的问题,其次是应用安全性(86%)。
事实也正是如此。就国内而言,信息安全事件近年来时有发生,仅电信行业,就屡有某运营商增值服务客户信息为竞争对手掌握,或充值卡数据为合作伙伴人员篡改并牟利等真实事件发生。围绕企业应如何应对这一日益严重的问题,记者近日走访甲骨文信息安全专家刘松,进行了一番探讨。
通信世界:目前企业的信息安全状况是怎样的?这种状况的主要根源是什么?
|刘松|研究显示,对于企业而言,目前80%的风险来自于内部安全。而96%的内部安全问题又是因非蓄意行为、失误造成的。这些问题难解决之处在于:其一,往往不容易暴露出来;其二,通常也没有很好的技术手段去根除。
不过说到底,在内部信息安全这一块,技术门槛不高,只要企业想做,总会有一定办法去尽量预防、控制、解决。高的是认知门槛,IT技术人员不愿自己受一些工具、技术约束,不会主动提出这种安全需求和建议;而有权力为企业内部信息安全部署一套有效方案的高层又不知道有这种需求。
通信世界:既然80%的风险来自内部,那么在所有的内部风险中,哪一种又是最具威胁性的?是误操作、跨权限操作还是什么?
|刘松|我觉得最大的威胁还是来自于企业内部人员基于利益考虑的越权操作,这在国内也是大家比较关注的一个话题。如果是IT技术人员的误操作造成了数据的损失,以现在的技术水平采用一些类似Recall的倒回技术就能恢复。而如果一些具有很大权限的人蓄意通过自己的权限谋取不当利益,而企业对其权限的限定又不够,他就有了谋取利益的可能,所以会对企业造成很大的损失。此外对于政府机构、与国计民生密切相关的部门来说,典型的如社保和税务部门,更会造成一些影响较大的、很具敏感性的社会事件。
通信世界:目前电信运营商在信息安全方面做得如何?
|刘松|其实在信息安全方面,电信行业在国内已经走在前面,4A安全规范也在规划和准备。不过他们一般还是更注重硬件与网络、容灾备份、应用安全等方面,而在很关键的数据库安全方面虽然有行动,但相对还是慢一些,他们会担心如果要做数据库安全,前期会有大量工作需要实施。
这里也有个制度性障碍—企业的信息安全需要设置专门高层来负责和控制,但可惜目前包括电信行业在内的国内多数领域都没有。
通信世界:甲骨文的信息安全产品和解决方案与现在主要的安全厂商有什么不同?
|刘松|我们的安全关注于后端,而不是前端桌面。我们解决企业内部服务器内容与应用的安全问题,也就是说保护“最后一公里”的安全。其中主要有三部分:数据安全、身份管理和合规。
通信世界:您想循着怎样的思路来利用这三部分帮助企业做信息安全的管理?
|刘松|我们有相对比较全面的从上到下的一套企业安全解决方案,如果实施的话,当然最理想的情况是客户有专门的高层领导和专门部门负责,最好的办法当然是客户将企业安全性立项,然后逐级向下推动,这样就能一次性解决管理规范和流程的问题。
通信世界:国内企业的现实情况能够实现这种“理想化”吗?
|刘松|这个还得视乎具体情况,如果是上市企业相对会好一些。国内信息安全市场发展得比国外要慢一些,然而国内安全事故发生的速度相对来说就快很多。主要问题在于信息管理层的观念还需要继续解放,国内管理层本来对IT的认知就不太深入,所以也就不像国外管理层对信息安全及其技术比较了解,这可能与社会、文化和体制有关。国内企业管理层在数据库安全、身份管理和合规等信息安全方面的观念还需要继续解放,因为涉及到企业内控、风险管理、法规遵从等提高企业竞争力和安全的问题。
当然,为了解决实际问题,对于国内企业,我们也有一种自下而上的办法,第一步可以为企业先部署审计功能,因为这一功能与数据库呈弱相关性,可部署于异构数据库环境,部署实施相对更容易,且由于国家相关法规要求,许多企业都有审计需求,这一功能也更易被接受。
甲骨文信息安全解决方案
◆ Oracle数据库安全性解决方案
加密和屏蔽:Oracle Advanced Security提供了透明的数据加密技术和密钥生命周期管理,可高效加密所有应用数据,无需更改基础架构且易于实施;Oracle安全备份提供了最快且安全的Oracle 数据库磁带备份,还可以利用低成本的云计算存储,通过综合管理有效降低成本并简化磁带备份与恢复的复杂性;Oracle数据屏蔽通过遮蔽规则将机密、敏感的数据信息用实际的临时资料替换,进而保护敏感数据。
访问控制:对数据库、应用程序和数据的访问需要从数据库中实施复杂访问控制。Oracle Database Vault提供的强大功能适合于满足当前和今后的访问控制要求,能够消除对内部威胁的担忧并且很好地满足合规性要求,可用于降低与全球各地具体法规相关的总体风险。
监视:其功能主要包括收集并整合审计数据、检测及预防内部威胁、简化合规性报告、集中的审计策略管理等。此外针对数据的监控,Oracle数据库安全性解决方案还提供了Total Recall功能。
◆ Oracle身份管理解决方案
访问管理:通过实施Oracle访问管理器、Oracle自适应访问管理器和Oracle企业一次性登陆,用户能够通过同步或一次性登录,实施强大的安全策略,帮助集中安全系统。Oracle授权服务器为所有企业应用程序提供集中的、基于标准的策略管理和分布式策略增强,这会创造一个更加安全的企业环境,并提高企业统一实施策略的能力,从而更轻松地满足合规要求。
身份管理:Oracle身份管理器是高度灵活和可扩展的企业身份管理系统,可以集中控制用户账户的生命周期和企业内部资源的访问权限,可与最常见部署的企业应用程序和基础结构技术进行随去随用集成。Oracle角色管理器为企业角色生命周期管理、多维组织和关系管理提供全面的功能集,通过使用角色来抽取资源和权限,实现细粒度的访问控制,使业务用户可以根据业务策略定义用户访问权限,并可以在业务条款中审核用户的访问权限。