【IT168专稿】最近几个月发生的事件表明，仅仅跟上隐私和安全条例的发展并不意味着你就不会遭遇数据破坏。企业需要更加认真和更富创造性地对数据的管理和保护问题进行思考，并且以后这将比法规遵从更加重要，Voltage的Mark Bower写到。

    在如此一个经济不景气时期思考这些问题具有特别的意义：恶劣的市场状况，企业消减开支、精简那些心怀不满的员工给渴望在全球数据系统领域得到尊重的黑社会发起有组织有预谋的攻击制造了完美的条件。

    今天的我们正不得不面对如下的问题：记录的数据被破坏，强度和规模都有所增加的抢劫行动，以及专业黑客购买和销售的整套攻击技术和系统的漏洞信息。如果你读到消息称数千万美元被支付网络侵吞，要知道这其实并不罕见。

    实际上，我们可以假设多重犯罪分子要想盗窃我们的身份有众多方式的选择。这些给我们带来的损失就是：数十亿美元的金额赔偿，品牌和名誉损害导致的不计其数的损失，呈螺旋上升趋势的审计费用，以及绞尽脑汁解决这些问题时人们的头痛。

    数据破坏事件比仅仅遵守保密规定的花费要昂贵得多，因为规定永远都是在威胁已经发现后才被人们制定出来的，并可能演变成为能被利用的企业弱点。企业、付款处理机构、业务流程外包商，甚至非盈利组织都必须采取积极主动的对策才应对这些问题，或者，他们现在就必须去付诸行动。

    挑战1：通过流程进行保护

    Data privacy compliance（数据隐私规则）并不是一成不变的固定条款。尽管直到现在，全面的安全措施高昂的价格仍不能让人们接受，但是非常好的的保护措施往往需要全面的保护。然而，最近规模扩大的企业中出现了一个新的数据保护的模式：一个“数据为中心”的办法，它从捕获时刻开始并贯穿整个生命周期，是真正端到端的保护，并对现有系统没有重大的破坏。这样的数据保护方法让系统可有效地抵御从外部到内部威胁，并且还大大降低了成本。

    传统保护数据的方法通常强加了很大的负担，并且迫使人们改变应用程序和系统。例如，大多数企业或交易处理机构在现有系统上已经投入了大量的资金，并且大量的规定的数据可能需要留在原有的IT平台和网络上。举例来说，在应用程序环境中，系统存在着固有的复杂性和多样性，这意味着用传统的方法对数据进行加密需要IT基础设施的一次整体“大修”。更糟糕的是，静止数据加密（在实时的IT系统中少有静止数据）无法阻止（那些我们在今天越来越频繁地看到的）瞬间发生的攻击。

    拿金融交易处理环境作为一个例子来说，在传统的加密方式中加密数据和对社会安全号（SSN）或信用卡号进行加密同样简单，会影响应用层社会安全号或信用卡领域的每个地方。由于从加密数据处理的变化，传统的方法将会对用户体验以及交易的反应时间产生影响。

    tokenization或“data vaults”（原始数据的一个别名，指向真实数据，或者可产生真实数据的二级数据库）等其他的传统方法，只是简单地将问题转移到了另一个地方，同时还造成了更多的负担。例如，敏感数据的更多储存需求和业务连续性管理方面的巨大复杂性。再次，这并不现实，特别是在这样一个艰苦的市场环境下。

    但是，好消息是出现了一些新的方法可以尽量减少这种影响。例如AES格式保留加密（AES Format-Preserving Encryption）和Stateless密钥管理等技术可以让加密更新过程更简单和更具成本效益地融入到原有的应用环境中。

    当然，数据加密也有其负面：一些规章制度给处理加密数据带来了法律以及其他方面的挑战。例如，目前支付卡行业数据安全标准（PCI）等规定和一些地方性法规（2010年内华达州和马萨诸塞州新颁布的法律）特别提出要对数据进行加密，而且还有一些规定需要数据的快速恢复程序，如电子发现（例如，美国证券交易委员会17A-4条）。

    这就是为什么以数据为中心的保护方法必须考虑到数据的整个信息生命周期；如，一些业务流程可能会强加于已没有实际用途的数据上。如果不对这些数据进行销毁，只会对特定的交易的数据的日常用途造成妨碍。

    在数据仓库技术中这变得至关重要。例如，Stateless Key Management就是以数据为中心的保护办法。当与强用户认证系统相结合的时候（如Identity Management Infrastructure），电子监管准入成为自然过程，而不是在被禁止使用，这让调查过程的复杂性猛然增多。以前的密钥在fly和数据恢复过程中还将有用武之地，并且在高审计访问和验证管理策略的控制之中。