合作有助于改善數(shù)據(jù)安全性

觀點(diǎn)

加強(qiáng)與合作伙伴的交流，讓他們也參與到數(shù)據(jù)安全的工作中，將有助于防范安全事故的發(fā)生，就算不能防止，也可以盡量減少損失。合作對(duì)數(shù)據(jù)泄露來說總是件好事。

8月份是個(gè)不平靜的時(shí)期，因?yàn)樵谶@個(gè)月中，連續(xù)發(fā)生了幾起數(shù)據(jù)安全事故。先是加利福尼亞公共雇員退休系統(tǒng)泄露了44.5萬名退休員工的社會(huì)安全號(hào)碼；接著，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）在一個(gè)反壟斷訴訟中泄露了一些貿(mào)易機(jī)密；月底，安全專家又指出招聘網(wǎng)站Monster.com泄露了上萬名求職者的個(gè)人數(shù)據(jù)。

不過其中有一點(diǎn)稱得上幸運(yùn)的是，前兩起事故因?yàn)橛辛恕八恕钡膸椭玫搅瞬糠指纳啤?/p>

在雇員退休系統(tǒng)事故中，一名員工將一張包含有社會(huì)安全號(hào)碼以及姓名和地址的光盤寄給了負(fù)責(zé)印刷和郵遞這44.5萬份小冊(cè)子的公司。幸運(yùn)的是，這家印刷廠有檢測(cè)社會(huì)安全號(hào)碼的軟件，因而沒有印刷這些數(shù)據(jù)。本來事故就可以避免了，但可惜加利福尼亞退休系統(tǒng)的工作人員在很多人的社會(huì)安全號(hào)碼前加了零，逃過了軟件的檢測(cè)，所以有部分社會(huì)安全號(hào)碼被印在了地址欄上。

FTC事件的問題是出在一份法律文件中。FTC試圖制止有機(jī)食品商店Whole Foods收購(gòu)其競(jìng)爭(zhēng)對(duì)手Wild Oats。這份文件是FTC訴訟的一部分，上傳到了聯(lián)邦法院的在線數(shù)據(jù)庫中。FTC本來是對(duì)這部分?jǐn)?shù)據(jù)進(jìn)行過重新編輯的，將那些需要隱藏的信息，如Whole Foods和供應(yīng)商使用的避免沃爾瑪削減價(jià)格的策略等全部涂黑，避免被公眾看到而泄露。

但是被涂黑的信息通過簡(jiǎn)單的剪切和粘貼就可以很容易地恢復(fù)。幸運(yùn)的是，法院的員工發(fā)現(xiàn)了這個(gè)問題，撤銷了這個(gè)文件；不幸的是，在此之前，美聯(lián)社已經(jīng)下載了這份文件，并刊登了出來。

盡管這些合作伙伴沒能避免加利福尼亞公共雇員退休系統(tǒng)和FTC泄露機(jī)密，但他們努力了，至少能減少一點(diǎn)點(diǎn)信息泄露的影響，這就很好了。深度防衛(wèi)不應(yīng)該只是組織內(nèi)部的事情。能夠幫助預(yù)防不當(dāng)披露的合作伙伴越多，對(duì)各個(gè)組織的發(fā)展就越好，對(duì)其顧客也是如此。

當(dāng)然，組織內(nèi)部的基本數(shù)據(jù)安全是不可替代的。這就是為什么FTC正在調(diào)查員工為何沒能正確地隱藏文檔，加利福尼亞公共雇員退休系統(tǒng)也正在設(shè)法取消社會(huì)安全號(hào)碼的使用。

還有Monster.com，其合作伙伴——使用Monster尋找雇員的招聘和人力資源人員——的電腦首先受到攻擊。攻擊者使用他們盜取的Monster登錄賬號(hào)，搜集求職者的簡(jiǎn)歷，獲取姓名、地址、電話號(hào)碼和電子郵件地址，然后用這些數(shù)據(jù)欺騙求職者下載惡意軟件。賽門鐵克的安全分析師Amado Hidalgo透露，總共有幾十萬人的160萬項(xiàng)記錄被盜。

雖然作為專業(yè)招聘網(wǎng)站，Monster已經(jīng)盡了最大努力監(jiān)測(cè)不當(dāng)行為，但是如果合作伙伴向襲擊者敞開大門，要想監(jiān)測(cè)到就很困難了。因此Monster說，無論如何，他們不能再依賴別人來保證安全了。

其實(shí)這大可不必如此悲觀。我們可以跟合作伙伴交流，研究他們?nèi)绾沃С治覀冊(cè)诎踩矫娴墓ぷ鳎缓蠊膭?lì)他們繼續(xù)這樣做。我們也可以讓他們加入各種事故的事后分析。

通過讓這些合作伙伴加入我們的安全工作，我們可以增加一點(diǎn)防御深度。正如加利福尼亞公共雇員退休系統(tǒng)和FTC的例子一樣，盡管他們不能防止事故發(fā)生。但總會(huì)有一定幫助的。如果你不想因數(shù)據(jù)安全事故登上報(bào)紙的頭版頭條，就需要利用一切有可能的幫助。