图 3

　　扩散本身并不是坏事

　　创建信息子集对于生成报表来说是一个好办法。它可以让商业用户创建自己的报表，从不同的角度查看数据，而不需要经常麻烦信息系统部门的员工帮忙协助获取数据。这确实是件好事，因此创建“数据口袋”本身并没有什么好与坏之分。不过它确实带来了一系列挑战：

　　1. 如果执行团队没有认识到安全性在保护数据上要比控制系统访问更重要的话，他们就不会因为建立起来的新服务器和信息子系统没有安全防护或者定期审核而感到不安。

　　2. 随着数据在数据中心的扩散，安全性会逐渐低于安全评估、风险扫描以及政策兼容性审核的要求。这一系列情况会导致数据更容易受到攻击。

　　3. 最小特权的概念和相关内容在新的服务器中被代替为简单的只读模式。

　　对付不受控制的数据扩散的第一步是与是与实施团队进行交流。如果他们不了解信息安全的中心任务是数据保护，也许他们根本无法做好这份工作。

　　当他们了解到这一切都是与数据有关，而不是与系统有关后，就该对现有的处理过程和策略进行审查了。审查过程必须包括所有技术团队的参与，并且整个审查过程都要围绕确保数据受到保护这个原则进行。