企业资产所面临的主要威胁是盗窃、服务中断、物理损坏、系统和环境完整性受损以及未授权的访问。实际损失取决于更换被盗项的成本、对生产率的负面影响、对声誉和客户信心的负面影响、可能需要引入的顾问费用以及恢复丢失的数据和生产水平的成本。很多时候,公司只是制定他们硬件的库存清单,并植入了风险分析,以确定如果设备被盗或销毁,对公司造成成本的损失估值。然而,设备内所保存的信息可能比设备本身更有价值,所以还需要适当的恢复机制和植入了更加现实的风险评估及公正的成本评估的流程。让我们来看一些我们可以使用的控制措施,以减少我们的数据及其所在介质的风险。1静态的数据:这种情况下保护数据的简单且普遍的解决方案就是:加密。运动中的数据:运动的数据(无论是否在我们的保护网络之内)最佳的保护是强加密(TLS、IPSec);保护运动中的数据的另一种方法是在关键节点之间使用信任的信道。虚拟专用网(VPN)经常用于在远程用户和公司资源之间提供安全的连接。使用中的数据:使用中的数据是指驻留在主存储设备中数据的术语,例如易失性存储器(例如RAM)、存储器高速缓存或CPU寄存器。各种独立的研究人员已经证明了对于由多个进程共享存储器的有效侧信道攻击的存在性。侧信道攻击利用的是密码系统泄漏的信息。那么,我们如何保护我们使用中的数据呢?目前,我们可以通过确保软件测试这类攻击来归结此问题。显然,这是一个棘手的命题,因为很难识别和测试每一个可能的软件缺陷。尽管如此,我们将在第8章中看到,安全开发实践必须是我们安全努力环节的关键组成部分。2数据所有者(也称为信息所有者)通常是一名管理人员,他负责管理某个业务部门,对特定信息子集的保护和应用负最终责任。数据所有者具有“应尽关注”职责,因此,如果由于任何疏忽行为导致数据讹误或泄漏,那么他必须承担责任。数据所有者决定其负责的数据的分类,如果公司需要,那么还应改变数据的分类。他还负责确保实施必要的安全控制,定义每种分类的安全需求和备份需求,批准任何泄漏活动,保证应用适当的访问权限,以及定义用户访问准则。数据所有者有权准许访问请求,也可以选择将这一职权委托给业务部门经理。同时,数据所有者还要处理与其所负责数据有关的安全违规行为,以对数据进行保护。如果数据所有者工作繁忙,那么可以将数据保护机制的日常维护工作委托给数据看管员完成。3这些任务涵盖了介质的整个生命周期,并且是介质上所保存信息的完整生命周期的一...
