企业需要在应用程序开发时保证数据安全
2009-08-27 安全在线
Ponemon学会最近的一项调查强调,许多应用程序测试者和开发者在使用真正的生产数据的时候都没有做好适当的保障措施,专家表示,现在是时候作出一些改变了。
有些时候披露客户的数据并不需要什么外来的黑客,往往在应用程序开发过程本身就会出现问题。
根据Ponemon学会最近的调查,那是因为许多企业在开发过程中使用生产数据的时候都没有做好适当的保障措施。专家表示,这是因为企业低估了内部威胁的可能性;其他方面,公司很容易在一些容易的环节上出错。
"企业会使用一些客户的数据,那是因为对于开发者来说他们很容易在测试过程中复制一个数据库的拷贝。这会花费大多数的精力来对隐私数据进行加密或者创建一个虚假的测试数据库。"Forrester研究机构分析师Mike Gualtieri说。
他的观点得到了Ponemon调查的证实,Ponemon调查的重点对象为美国和英国的应用程序开发者和测试者。在调查中,美国总共701个受访的人中有71%的人表示,在开发和测试过程中,他们既没有相应的数据保护政策,也没有保证数据的安全,这是一个严重的问题,因为80%的人都使用的是真实的数据。
通常情况下,企业根本不考虑内部的威胁他们而是会考虑外部黑客攻击,因此Gartner的分析师Joseph Feiman指出,这就是人们疏忽的地方。
"如果一个内部人员、员工,攻击企业,这就是所谓的最容易保守的秘密。"他说,"企业不希望损失他们的声誉。因此他们必须提高内部攻击的警惕意识。"
开发者当然会有一些使用真实数据的充分理由。分析师表示,毕竟这样做节省了时间和复杂性。
"由于系统复杂性和相互依赖性的提升,对于开发团队来说越来越难建立现实的有代表性意义的测试数据。"Forrester一分析师David West解释道:"只有在用更少的人更快地交付功能的时候这些复杂性才会出现。这三个原因是缺乏有法律知识和相关数据的人。随着时间的推移,数据结构已经发展到如下的程度:原标签和定义是错误的,或者至少有的时候是错误的。"
他说:"最后的结果是开发团队只希望得到真正的数据,用于生产的数据。"
尽管如此,通过一些技术企业仍可以减少威胁,如数据屏蔽技术。尽管在过去5年间,数据屏蔽技术的采用已经得到了提升,但是分析师表示,大多数的企业仍没有采用这一技术。这是因为人们不能决定对什么数据进行屏蔽,以及屏蔽多少数据。超过三分之二的美国受访者告诉Ponemon学会他们在测试数据之前不会对数据进行屏蔽和掩盖。
不过Gualtieri则争辩道,企业没有借口在开发过程中不对数据进行加密或掩盖。
"我最近看到一个在线旅游预订公司并没有对数百名酒店客户的信用卡号码进行加密。"他说,"我告诉CEO他们必须马上解决这个问题。应用开发的商店在加密过程中面临的最大的困难是持续提供加密和解密的数据或制作密钥。最好的方式是不要让开发者做这件事情。无论在数据库还是数据访问层中都应该实现自动化。例如,如果他们编写Java程序你可以使用Spring framework对命名字段进行自动化的加密。这种方式其实开发人员不必牢记。"