企業(yè)需要在應(yīng)用程序開發(fā)時保證數(shù)據(jù)安全
Ponemon學(xué)會最近的一項調(diào)查強(qiáng)調(diào),許多應(yīng)用程序測試者和開發(fā)者在使用真正的生產(chǎn)數(shù)據(jù)的時候都沒有做好適當(dāng)?shù)谋U洗胧瑢<冶硎荆F(xiàn)在是時候作出一些改變了。
有些時候披露客戶的數(shù)據(jù)并不需要什么外來的黑客,往往在應(yīng)用程序開發(fā)過程本身就會出現(xiàn)問題。
根據(jù)Ponemon學(xué)會最近的調(diào)查,那是因?yàn)樵S多企業(yè)在開發(fā)過程中使用生產(chǎn)數(shù)據(jù)的時候都沒有做好適當(dāng)?shù)谋U洗胧<冶硎荆@是因?yàn)槠髽I(yè)低估了內(nèi)部威脅的可能性;其他方面,公司很容易在一些容易的環(huán)節(jié)上出錯。
"企業(yè)會使用一些客戶的數(shù)據(jù),那是因?yàn)閷τ陂_發(fā)者來說他們很容易在測試過程中復(fù)制一個數(shù)據(jù)庫的拷貝。這會花費(fèi)大多數(shù)的精力來對隱私數(shù)據(jù)進(jìn)行加密或者創(chuàng)建一個虛假的測試數(shù)據(jù)庫。"Forrester研究機(jī)構(gòu)分析師Mike Gualtieri說。
他的觀點(diǎn)得到了Ponemon調(diào)查的證實(shí),Ponemon調(diào)查的重點(diǎn)對象為美國和英國的應(yīng)用程序開發(fā)者和測試者。在調(diào)查中,美國總共701個受訪的人中有71%的人表示,在開發(fā)和測試過程中,他們既沒有相應(yīng)的數(shù)據(jù)保護(hù)政策,也沒有保證數(shù)據(jù)的安全,這是一個嚴(yán)重的問題,因?yàn)?0%的人都使用的是真實(shí)的數(shù)據(jù)。
通常情況下,企業(yè)根本不考慮內(nèi)部的威脅他們而是會考慮外部黑客攻擊,因此Gartner的分析師Joseph Feiman指出,這就是人們疏忽的地方。
"如果一個內(nèi)部人員、員工,攻擊企業(yè),這就是所謂的最容易保守的秘密。"他說,"企業(yè)不希望損失他們的聲譽(yù)。因此他們必須提高內(nèi)部攻擊的警惕意識。"
開發(fā)者當(dāng)然會有一些使用真實(shí)數(shù)據(jù)的充分理由。分析師表示,畢竟這樣做節(jié)省了時間和復(fù)雜性。
"由于系統(tǒng)復(fù)雜性和相互依賴性的提升,對于開發(fā)團(tuán)隊來說越來越難建立現(xiàn)實(shí)的有代表性意義的測試數(shù)據(jù)。"Forrester一分析師David West解釋道:"只有在用更少的人更快地交付功能的時候這些復(fù)雜性才會出現(xiàn)。這三個原因是缺乏有法律知識和相關(guān)數(shù)據(jù)的人。隨著時間的推移,數(shù)據(jù)結(jié)構(gòu)已經(jīng)發(fā)展到如下的程度:原標(biāo)簽和定義是錯誤的,或者至少有的時候是錯誤的。"
他說:"最后的結(jié)果是開發(fā)團(tuán)隊只希望得到真正的數(shù)據(jù),用于生產(chǎn)的數(shù)據(jù)。"
盡管如此,通過一些技術(shù)企業(yè)仍可以減少威脅,如數(shù)據(jù)屏蔽技術(shù)。盡管在過去5年間,數(shù)據(jù)屏蔽技術(shù)的采用已經(jīng)得到了提升,但是分析師表示,大多數(shù)的企業(yè)仍沒有采用這一技術(shù)。這是因?yàn)槿藗儾荒軟Q定對什么數(shù)據(jù)進(jìn)行屏蔽,以及屏蔽多少數(shù)據(jù)。超過三分之二的美國受訪者告訴Ponemon學(xué)會他們在測試數(shù)據(jù)之前不會對數(shù)據(jù)進(jìn)行屏蔽和掩蓋。
不過Gualtieri則爭辯道,企業(yè)沒有借口在開發(fā)過程中不對數(shù)據(jù)進(jìn)行加密或掩蓋。
"我最近看到一個在線旅游預(yù)訂公司并沒有對數(shù)百名酒店客戶的信用卡號碼進(jìn)行加密。"他說,"我告訴CEO他們必須馬上解決這個問題。應(yīng)用開發(fā)的商店在加密過程中面臨的最大的困難是持續(xù)提供加密和解密的數(shù)據(jù)或制作密鑰。最好的方式是不要讓開發(fā)者做這件事情。無論在數(shù)據(jù)庫還是數(shù)據(jù)訪問層中都應(yīng)該實(shí)現(xiàn)自動化。例如,如果他們編寫Java程序你可以使用Spring framework對命名字段進(jìn)行自動化的加密。這種方式其實(shí)開發(fā)人員不必牢記。"
