安全永远是相对的 (安全永远是相对的,永远没有一劳永逸的安全防护措施)

数据安全似乎已经成了2011年信息安全的主要命题之一，Websense在其2010年安全威胁报告就已经指出：“2010年发生的主要攻击都有共同的目标：窃取数据”，其中还包括轰动一时的“极光（Aurora）和超级工厂病毒（StuxNET)等。

而1月份爆发的“雷诺间谍案”则又为企业需警惕员工泄露内部核心数据敲响了一记警钟。据法国方面的新闻报道称，雷诺两名高管涉嫌盗窃和倒卖关乎雷诺未来发展的电动车资料。同时还有知情人爆出，雷诺与其合作伙伴为电动汽车项目投入了40亿欧元，此事将可能危及雷诺汽车未来的发展和数千人的就业。而同时，法国政府还是雷诺汽车15%股份的持有者，这一事实让此次泄漏事件的最终损失变得愈加难以估计。在此，我们且不论此次泄露事件爆出的背后是否有着更多的商业竞争和政治因素，但其直指了一旦企业的核心数据泄漏将为企业带来危险的后果。

众所周知，数据泄露一般经由三中途径造成，一是内部员工恶意窃取数据，二是内部员工无意间将数据外泄，三是外部威胁（如有组织的黑客犯罪集团及恶意软件等）。但在今天，无论是网络犯罪者，或者企业员工都清楚地意识到企业中的某些数据就是一种有形的价值资产，获取企业的敏感数据就等同于获得了现金。在这种直接利益引发的诱惑，我们不难预测在2011年甚至更远的将来，数据泄漏问题只会越演越烈。

如果威胁已经无法避免，那么企业应如何面对各种途径造成数据泄露问题呢？随着企业逐渐对数据安全重视，市场中各种类型的数据安全产品和解决方案也在各自为营，企业安全相关工作人员需要准确判断自身数据安全需求，并正确认识数据安全解决方案的特点，才能为企业做出最佳的数据安全产品选择，和最符合成本利益投资。对于数据安全我们需要了解：

安全是相对的，安全风险永远不可能等于0

用户有时候对数据安全的应用希望能够追求尽善尽美，倾向于把所以认知到的数据安全问题项都罗列出来，并希望这些数据安全问题能全部解决。但安全和威胁一直都是博弈存在的，此长彼消。作为安全厂商和企业我们共同的目标是要做到让数据安风险趋于0，而不是过于追求大而全的单款方案。在选择数据安全产品时，企业进行更多理性判断，诸如，什么情况下适合用怎样数据安全技术来对此类问题进行控制，而什么情况下我们需要借助数据安全工具将企业数据泄漏风险到最低，当然这个最低是业企业所能接受的，这样企业才能正确衡量投入多少资本进行安全防护是合理的，从而收到高的安全投资回报。

数据安全问题其实也是一种风险管理的问题，我们应该先解决最为严重的数据泄露风险，对于无法回避的数据泄露风险应该采用规章制度或者其他转嫁方法来解决。

数据安全不单单为一个部门，而是为企业运营解决问题

为企业解决数据安全问题，最理想的做法是从企业业务风险大小出发，告之企业一旦数据泄露对其业务影响有多大，这种影响绝不是只对其 IT层面。如果企业的图纸和源代码等核心数据泄露，整体企业都必须为其承担风险，而风险程度对于每个企业是各不相同的。例如某厂商的一款芯片的相关核心技术提前泄漏，由于一款芯片的生命周期是18个月，那么泄漏一款芯片对企业就不仅仅是半年到一年的影响，而意味着未来18个月企业都很难翻身。这对企业来说不是简单的几十万的损失，而是几百万甚至更多的无法预估的损失。所以要把数据泄露放在企业运营层面看待，它不仅仅保护企业内部的一些流程，不是对企业IT架构有多重要，而是对企业有多重要。数据安全不单单为一个部门，而是为企业运营解决问题。

数据泄漏防护（DLP）解决方案远远大于访问控制或加解密

数据泄漏防护（DLP）解决方案是目前最为成熟和国外最主流的数据安全保护方案，它可以有效识别各种机密数据的内容，从而应对各种数据变形后的泄密事件。但目前国内推出的DLP解决方案大部分依托于访问控制，加解密的保护。但在国外比较成熟的DLP产品会更多关注数据的内容到底是什么，它会用更多的技术去分析企业正在泄露的数据是工资单、图纸还是源代码。而不是不管是源文件还是代码，统统在策略中定制的只要是机密，就加密。

加密和DLP其实是两个概念。一款成熟的DLP产品需要做到能够真正识别企业机密数据的内容，正确的认识企业的业务流程（谁可以把何种企业数据发送到哪里？）以梳理出合理的业务流程保证敏感数据正确的流动，此外，还需针对主要的HTTP/s、 SMTP和USB等不同的业务渠道进行保护，并可以施以统一的策略管理和部署。

单纯通过加密和访问限制来对数据安全防护是非常局限的。进行加密之后文件从技术上讲内容被改变了，数据可能受到影响。此外，加密也可能会成为一种伪装，因为加密决策是由人来制定的。所以如果企业没有审计制度，就无法保证决策外的机密文件及其里面的内容是否没有被泄漏的。而这时，企业就会需要另寻专业的DLP技术来审计分析，外传文件中是否含有源代码等重要内容，因为审计部门靠人工是很难发现文件中是否有组合源代码的。并且，大范围内的加解密也会影响业务效率，尤其是对于上GB的文件来说。但一款专业的DLP方案能判断出真正是机密的内容，从而阻止外传，降低安全效率的损耗，缩小范围，提升效率。

但是，通常DLP解决方案无法解决数据已经泄漏到公司外部的情况，因此，企业可以采用加密、数字水印等技术来进行补充保护。

Web是当今数据泄露的主要通道

在Websense安全实验室针对2010年威胁的研究报告中就指出：52% 的数据泄露攻击通过Web实现。因为各种现代混合攻击都是通过将电子邮件威胁与Web攻击组合来破解企业安全防护组建的软肋。而另一方通过分析各种案例，我们不难发现由于员工的无意识或者疏忽造成的数据泄露事件最为频繁。企业内部员工可能因为无心之过，例如，在互联网上通过 Web 邮件网站将数据发送到自己的邮箱（如 gmail 和 hotmail），或是通过在线应用程序甚至Web2.0社交网络发帖等行为，无意识将机密数据送到图谋不轨的人的手里。面向未来的数据安全解决方案需要能与保护Web的Web安全网关相集成，做到一方面可帮助企业将将业务扩展到各Web 2.0网站，同时还能保护和防止恶意威胁并防范任何故意或意外导致数据及机密信息泄露。

总体来讲，无论是静态、动态或使用中的数据，其价值都不容忽视。而一次数据泄露所带来的损失可能比数据本身价值大得多。除了制定严格的数据保护法规和政策外，越来越多的政府开始着手实行对数据泄露方处以罚款的措施。所以，从2011年企业起，企业应该更加强调和重视数据安全的应用。

【编辑推荐】

汽车防滑链的安装方法

防滑链一般是由钢链或橡胶链制成，原理简单，易于安装，实用性很强。按照结构可以把防滑链分为两种：一种是已经接成罩状的防滑链；另一种是交叉安装的几根单独的防滑链，它比较简单便宜，但安装不如前者方便。安装防滑链这是一个大多数人在生活中可能永远不会用到的技能课程。但作为居住在寒冷气候中的你们，它是非常有用的。听起来它可能会使人感到畏缩，但其实安装和拆卸链条是一个非常快的过程，即使在严寒的天气中完成。用15—30分钟的时间，在专家的指导下，您马上就能在冬天安全、可靠的行驶了。您需要的东西一副链条 (适合您轮胎尺寸的)一副工作用手套步骤一：准备好您的车子最好您能在车道或一些相对安全的场所来安装和拆卸链条。当然，当您必须在途中安装或拆卸时，务必要是在路边安全和平坦的路段上。不管在哪里，要确保在车前和车后给您自己留出至少10英尺的空地，可以让您有足够的空间移动链条。同时在您的手触碰到轮胎附近的任何地方前，请确保已启动您的停车制动，已避免发生意外。用木块支起车胎做为附加保护措施，倒是个不错的注意。最后，但同样重要的是，清理掉您车胎上多余的雪。步骤二：开始安装链条首先，确认您的车子是靠前轮还是后轮驱动的，因为链条必须钩住在起主要作用的那组轮胎上。当您知道了您需要在哪组轮胎上应用链条时，尽可能的把轮胎周围的雪清理掉，弄出一个平坦的表面。把链条在车子底下铺开，将连在地面上的每一个链的第一个档靠在轮胎上。确认链条布满颗粒的一面朝地，这是链条起最大牵引力的部分。步骤三：使链条咬紧（或脱离）如果您是一辆后轮驱动的车子，你就要将链条倒退着咬紧。如果是前轮的，就要向前推动。检查确认每一个轮胎是否都固定住了链条，每一面都搭接了一股齿轮。然后上车，发动引擎，慢慢地，小心地带着链条将车向前或倒退2英尺左右。步骤四：固定链条一旦您的轮胎直角地安置在了链条上，就拉掉搭接在轮胎顶部的端口。每一端都必须是一个完全吻合整个链条齿轮的装置。先给自己留1至2寸的余地，然后通过链条链环的两个对边把装置栓紧。步骤五：保护链条链条的每个橡胶环都有4个金属钩均匀的分布在周围。在轮胎的轮毂罩边上每个金属钩都以十字形的方式交叉固定。这可以确保您的链条不会滑落。步骤七：启动现在链条应该已经安全装好了，能给您在积雪的道路上提供牵引力。然而，不要以为您的链条能保证您在恶劣的驾车环境中飞速行驶。慢慢启动，注意车子发出的声音，那可能是提醒您链条松了或轮胎没有安装好（质疑一下链条问题）。无论它们的使用是多么的安全，将装有链条的轮胎在时速40英里行驶都是不明智的。步骤八：拆卸链条坏天气不会一直持续下去，所以当不再下雪的时候，就应该将您车子上的链条拆卸掉了。不管在任何情况下，都不要带着链条在不积雪的路面上行驶，那会严重损坏您的轮胎。拆卸链条要比安装简单地多。只要按相反的步骤做，卸下链条，然后把它们储存在干燥的地方留待下一个冬天使用。在防滑链的使用中要注意以下几个方面：(1)最好在出行之前安好防滑链，而不要在遇到冰雪路面之后再安装，因为临时停车安装防滑链比提前安装麻烦，也不利于安全。安装、拆卸前要将车辆停放在安全地带。如在繁忙的路上，需要设置必要的交通警示标志。 (2)不要在瘪胎情况下安装防滑链。 (3)防滑链也有尺寸限制，分别适合不同的轮毂尺寸和胎宽，注意选择与车轮尺寸相配的防滑链。 (4)安装防滑链后，行驶速度一般不要超过50Km／小时，行车时,避免急刹车、急前进、急转弯和连续空转的行为。 (5)在非冰雪路面行车时,避免行走在带有利刃的物质及不好行车的干燥路面,当车辆驶入无需使用防滑链的路面时请及时卸去防滑链。 (6)防滑链不是为拖车、牵引车设计的。

如何解决电子商务的安全问题？

电子商务是互联网应用的重要趋势之一，也是国际金融贸易中越来越重要的经营模式之一，以后会逐渐地成为我们经济生活中一个重要的部分，安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题，下面将就电子商务发展中的几个热点问题，谈谈个人的看法。一、怎么看待安全与发展的关系谈到安全与发展两者之间的关系时，许多人都会认为安全更重要，而实际上在信息化发展的过程中，发展自始至终都应是放在第一位的，因为没有发展安全就无从谈起，没有发展就是最大的不安全。从国内外的情况来看，电子商务发展的速度太快，致使其安全技术和安全管理跟不上，这是一个越来越突出的问题。电子商务的快速发展需要业界，特别是信息安全业快速地作出反应，否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家，就连美国这样的发达国家，电子商务在很多领域还是没有像其它传统的商务那样发达，一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈的努力，不要因为安全问题而制约了电子商务的发展。二、如何看待电子商务的安全问题在正确看待电子商务的安全问题时，有几个观念值得注意：其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。作为一个经营者，应该综合考虑这些因素；作为安全技术的提供者，在研发技术时也要考虑到这些因素。其四，安全是发展的、动态的。今天安全明天就不一定很安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全。三、社会上对电子商务的需求有哪些电子商务是用电子化的方式实现传统商务的模式或者说对传统商务的革命，它的发展需要以下几个必备的条件。其一，对电子商务的发展要有广泛的认同。无论是现在的银行、证券也好还是传统的物物交换，社会认同是交易得以实现的基础。对电子商务的发展也必须有广泛的认同。其二，电子商务的交易模式不能被假冒。也就是说必须要有足够的安全保障。其三，能真正节省开支。人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本，如果我们引进电子商务不但不能减少成本，反而会使成本增加，就不会得到社会的认同。其四，要求方便易用，这一点十分重要。目前我国电子商务发展的发展过程中最致命就是使用不方便。其五，要能满足社会大众的商业心态。它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”)，原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的，所以发展电子商务时也要考虑这个问题，否则用户就没有选择，其发展就会受到阻碍。社会对电子商务安全的需求简单归纳起来主要有以下几点：1.信息要求真实和完整。因为无论中国人还是外国人，都会觉得“隔山买牛”是一件心里没底的事情，因此都希望电子商务上的信息是真实的、完整的。 2.所有交易不能够抵赖，否则，生意就没法做了。这不但需要用道德和法律进行约束，更需要相关技术进行保障。如果总是发生扯皮或纠纷，再好的电子商务也会因此而黄掉。 3.支付和交易必须是安全而可靠的。目前，如何保障支付和交易的安全可靠是一个全球性问题，电子商务要有大的发展，就必须管好这些瓶颈。 4.用户或商家的身份在网络上能够被准确地识别。如果不能准确识别交易双方的身份，发生纠纷时就无法进行有效的仲裁。 5.能够保护个人隐私。对个人隐私的保护现在越来越受到重视，以前我们可能不太看重这个问题。越是开放，越是信息化，个人隐私越重要。四、对电子商务现状的看法现在，电子商务网站的经营很热闹，但其实也很艰难。根据我们了解的情况，我国的电子商务虽然收益不佳的现状有望改观，但技术和管理方面的问题还依然存在，安全隐患仍令人担忧。从技术上看：首先是数据传输的速度太慢；第二是没有安全、可靠的结账方式，这严重制约着电子商务的发展；第三是IT技术的发展速度太快，商务模式的形成和人们使用习惯的养成都需要一定的时间，虽然技术不断发展，但社会对技术的认同是有阶段的，这使得用户和经营者都难以消化，难以跟上这种快速发展的步伐；第四是难以及时处理用户的有关问题，开通一个网站，如果一段时间以后用户的反馈多了，网络的速度就会慢下来，这也许是线路本身的问题，但也存在技术处理的问题，目前尚没有解决的良策。第五是在安全保障上，难以防范现在的网络犯罪，特别是黑客的攻击。从管理上看，存在的主要问题有：1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多；2)电子商务网站的经营收益远低于预期，使有网络泡沫之虞；3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的，在造势上不无奢华，但在收效上却无殷实，不充分考虑中国人的商业行为和方式，恐怕是难以成功的。 4)网站运营成本太高。由于运行成本居高不下，再好的商业模式也不堪重负。 5)收费困难。除BtoB稍好一点外，BtoC电子商务一直没有找到方便可行的收费方式。从安全上看，电子商务的隐患，令人担忧，主要表现在：1.网络信息安全在全球还没有形成一个完整的体系，我国也不例外。虽然有关电子商务安全的产品数量不少，但真正通过认证的却相当少。近两年，有将近20家有关电子商务安全的产品申请认证，但最后通过的非常少，这主要是因为不少安全措施是从网上“down”下来的，另外，不少电子商务安全技术的厂商对网络技术很熟悉，但是对安全技术普通了解得较少，因而他们很难开发出真正实用的、安全性足用的安全技术和产品。 2.安全技术的强度普遍不够。国外有关电子商务的安全技术，虽然其结构或加密技术等都不错，但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制，因此强度普遍不够。这种技术用在B-to-C方面还勉强可行，但用在B-to-B上就显然不够。 3.电子商务网站的安全管理存在很大隐患，普遍难以经受黑客的攻击。这个问题应当引起高度重视，国内电子商务网站被攻击的事件较少并不表示是牢不可破，而是网站本身很小，没有多少可攻的价值。 4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域，这些因素的存在必将影响我国电子商务进一步的发展。五、关于面向社会服务的CA中心现在大家都在关注CA中心，从国外的发展看，认证应该是第三方的，政府干预最好少一些，只需作些必要的引导。在我国，最大的问题是多人过早地把CA认证看作是一种产业，把它当作生意来做，而过少地考虑到应该担负的责任。其实，面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力，以及责任和义务是否很明确，一旦证书出了问题，各方的责任是否清楚；其次是看技术能力和运行条件，CA要为社会服务，能否保证安全可信，运转有效；这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时，如果认证的周期太长，别人已经成交了，你这里还堵着，那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入，是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之，CA中心能否提供安全可靠的服务，不能仅凭自身的宣传，而是要通过“国家信息安全认证”。到目前为止已经通过认证的只有一家，还有其它几家也正在审查之中。主要的问题不在于能否发出证书，而在于能否保障证书的使用者的利益。六、如何看待电子商务网站受到的攻击刚才我们提到过黑客的问题，黑客的威力到底有多大？目前，我国网站所受到黑客的攻击，还不能与美国的相提并论，因为我们的用户数、规模和级别还是处在很初级的阶段。如果遇到类似于DDOS的攻击时应该引起注意，但不必很惊慌，因为在目前的情况下，一个电子商务网站停一两天所受的损失不是很大，毕竟业务量和交易额都还不大。从以往遭遇过的攻击中我们可以得到以下几点启示：1.纯技术难以防范原始攻击方式。如果我们按照西方人的思维方式去思考，不断的追求和更新安全技术，防火墙可以做得非常强，但如果黑客不去窃取信息或数据，而只是去阻塞网站，这种非常野蛮的攻击方式用单纯的技术是很难解决的，而要靠管理或其它的方法去防范。美国电子商务网站遭受那么大规模的攻击，虽然有技术方面的原因，但总的看来还是一个管理的问题，这里的管理包括网站的经营者要如何防止自己的网站被攻击，上网的用户如何保证自己的机器不会无辜地被别人利用，现在网上的安全补丁很多，但很少有人真正用它或不知道怎么去用。所以，在信息化发展的初期，管理比技术显得更为重要。 2.病毒比一般攻击更可怕。现在的病毒(包括恶性代码)破坏性越来越大。现在电子商务上的交易都是非时间敏感性的项目，所以时效性并不太突出，可怕的是病毒对数据的破坏。 3.从目前的情况看，危及电子商务的首先是病毒或恶意代码；然后是内部人员滥用计算资源，对此国外强调的比较多，国内强调的比较少，随着技术人员流动性增大，道德也有待提高；第三是黑客攻击；第四是用户数据的泄漏；第五是假冒的交易。七、关于电子商务需要的安全技术与产品目前，国内市场需要较大的网络安全产品还是防火墙，从国内外采购的数量来看，防火墙均居于首位的；其次是通信保密设备；第三是现在电子商务里面应用最多的客户机服务器中的安全模式；第四是局域网或广域网上的安全技术；第五是web安全技术；第六是灾难恢复技术，从银行和金融界的一些情况看，大家对这方面的重视还不够，普遍的电子商务网站对灾难恢复考虑得都不是很好，这也是迫切需要的。八、制约我国电子商务发展的主要因素制约我国电子商务的因素主要有：其一是商业信息化程度太低；其二是交易过程不规范；其三是信用制度不健全；其四是技术发展太快，没有一定的稳定过程；其五是出现问题后客户去找谁负责。由于有关电子商务的立法和管理刚刚开始，有人开玩笑说“电子商务目前是个‘三无’行业：无法可依、无安全可言、无规可循”，当然这只有一定的道理，我国政府对电子商务的管理已经报上议事日程，各个部门都在抓紧制定推进电子商务的政策。九、加快电子商务发展的建议对电子商务发展的建议简单地讲是“两高一低”，即：1)不断提高服务的安全性，否则会制约电子商务的发展；成为发展的瓶颈；2)提高通讯的速度，否则电子商务就成了纯粹的电子广告而无法将商场搬到里面，许多东西我们无法看到，也更谈不上交易；3)降低成本，这不仅仅是降低硬件成本，特别是要降低通讯成本。因为电子商务发展的目的本来就是为了降低交易成本，交易成本反而高了就不正常。许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意，打个电话许多货就发过来了，用不着去识别身份什么的。电子商务安全管理的基本趋势似乎可用：“谁经营、谁负责”六个字来概括，也可以说是谁管理谁负责。这就强调业界要自律，要对安全问题承担责任。