我們正處在云服務呈現(xiàn)出高速增長的趨勢，虛擬化也即將成為最新標準的時代中。這就帶來了客戶保存在公司網(wǎng)絡內(nèi)部數(shù)據(jù)變得愈來愈多的現(xiàn)實問題，因此，在網(wǎng)管對配置進行調(diào)整時，可能就會導致個人信息安全會受到影響情況的出現(xiàn)。

實際上，Dimension Data在2009年發(fā)布的一份調(diào)查報告中就已經(jīng)指出：在亞太地區(qū)，每臺運行中的網(wǎng)絡設備里平均存在了29項配置方面的問題或者違反策略要求的行為。該信息服務公司進一步補充說，大部分安全漏洞都是由于網(wǎng)絡配置錯誤造成的，這導致黑客進行的攻擊很容易獲得成功。

因此，記者采訪了信息安全方面的專家，請他們就在處理公共數(shù)據(jù)系統(tǒng)的設計和配置方面經(jīng)常出現(xiàn)的五大錯誤向大家進行說明。

缺乏深度安全保護措施

按照CA Technologies亞太區(qū)負責安全的副總裁維克·曼科迪的觀點，在設計和配置的時間，很多系統(tǒng)都沒有或者過于強調(diào)“深度防御”策略的不同方面。他進一步補充說，理想的系統(tǒng)配置標準中應該包含優(yōu)秀的深度防御模式。

在電子郵件中，曼科迪進行了詳細的解釋說明。他認為外層配置中應該包含防火墻、網(wǎng)絡訪問控制和主機訪問控制等功能;并進一步指出，所有類型的連接都應該被分級并集中進行管理，并保證各等級之間不會出現(xiàn)交叉的情況。

按照他的建議，“公司可以利用現(xiàn)有保護技術(shù)來預防數(shù)據(jù)丟失問題的出現(xiàn)，因此，系統(tǒng)將需要提醒使用者對數(shù)據(jù)進行加密處理，并依靠數(shù)字版權(quán)管理技術(shù)進行保護。”

埃森哲Asean技術(shù)群組董事總經(jīng)理特倫特·梅伯里補充說：“多因子保護模式不僅僅屬于系統(tǒng)插件，而是必不可少的組成部分。”

忽視數(shù)據(jù)訪問模式的建設

惠普公司區(qū)域董事兼ArcSight布道者黃如瑩的建議是，公司應該重新審視數(shù)據(jù)保存方面的工作流程和方法，確保將機密類第三方記錄信息保存在瞬態(tài)系統(tǒng)和通道中。

他進一步解釋說：由于云計算逐步普及，信息技術(shù)變得日益移動和消費化，這給現(xiàn)有安全模式帶來了極大壓力，讓很多公司都面臨著如何才能保證數(shù)據(jù)安全的挑戰(zhàn)。黃指出，在當前情況下，公司不應該將永久保存客戶數(shù)據(jù)作為關(guān)注重點。

在電子郵件中，他作出了詳細的說明：“在傳統(tǒng)安全模式已經(jīng)不能夠提供足夠保障的環(huán)境中，'即用'企業(yè)需要采用新模式來對現(xiàn)在和將來面臨的風險問題進行管理。”他進一步指出：“企業(yè)需要部署全面解決方案，包括用戶、網(wǎng)絡、數(shù)據(jù)中心和應用在內(nèi)的所有部分都需要被考慮到，這就需要通過基礎設施來提供完全的可視性和關(guān)鍵策略。”

BMC公司亞太區(qū)首席技術(shù)官兼全球創(chuàng)新和孵化實驗室主任蘇哈斯·科爾卡也指出：公司往往過于關(guān)注技術(shù)方面的問題，而忘記了所謂的3P——員工、流程和策略——對于安全系統(tǒng)設計來說，也是同等重要的。

沒有認識到基礎設施復雜性帶來的新問題

CA Technologies亞太區(qū)負責服務保障的副總裁斯蒂芬·邁爾斯也指出，傳統(tǒng)事件自動化處理工具只能在先前的靜態(tài)數(shù)據(jù)環(huán)境下工作，而無法支持現(xiàn)有的云服務和虛擬化環(huán)境。

在電子郵件中，邁爾斯指出服務需要由多項關(guān)鍵部分組成的，如果供應商無法了解單獨部分的具體情況，實際工作就會受到影響。

他解釋說，對于網(wǎng)絡托管公司和服務供應商來說，認識到需要通過動態(tài)實時模式來對基礎設施進行管理才是關(guān)鍵。只有這樣，才能保證所有服務組件都受到有效控制，并且可以實現(xiàn)統(tǒng)一管理，避免在服務質(zhì)量方面出現(xiàn)問題。

對于如何對復雜的基礎設施進行簡化這一問題，邁爾斯給出的建議是：采用合理的模型，對基礎設施進行分析和優(yōu)化;這樣的話，托管公司和服務提供商就可以讓自己的服務變得更具吸引力。

他補充說：“服務管理必須被當作戰(zhàn)略工具而不是信息收集方法來對待。”

忽視建立數(shù)據(jù)架構(gòu)的重要性

按照梅伯里的觀點，很多公司僅僅關(guān)注到系統(tǒng)設計和實施方面的技術(shù)問題，而忽略了建立正確數(shù)據(jù)管理流程的重要性。

他指出，對于系統(tǒng)設計來說，數(shù)據(jù)架構(gòu)屬于其中的關(guān)鍵因素。并進一步補充說，所有類型的數(shù)據(jù)都應該被考慮到，在建立規(guī)則和策略的時間應該保證數(shù)據(jù)可以被安全訪問。

無法理解數(shù)據(jù)生命周期的概念

梅伯里指出：“對于企業(yè)來說，必須對‘數(shù)據(jù)生命周期’這一概念有著深入的認識和足夠的理解，以確保端到端數(shù)據(jù)可以獲得恰當有效的管理。”

他解釋說：對于公司信息資產(chǎn)管理來說，認識到從“源到目標”的生命周期是很重要的。公司應該將對數(shù)據(jù)源的認識，從遵循業(yè)務規(guī)則的“記錄系統(tǒng)”提高到確保數(shù)據(jù)在應用中獲得正確使用。并進一步補充說，公司還應該對數(shù)據(jù)的最終用途進行監(jiān)控。

科爾卡還補充說：對于公司來說，如果對數(shù)據(jù)生命周期有著到位的理解，就可以為數(shù)據(jù)收集、使用、刪除和保留等方面建立正確策略帶來極大的幫助。