今朝企业已进进全新的大年夜数据期间。在高带宽、移动的、收集环境中工作和糊口的我们，会产生大年夜量的数据，这些都成为大年夜数据的来历，而这些信息很少存在于统一个处所。在几微秒中，信息就可以够发布给世界各地的良多人。企业的高管门(包含CEO、CIO、CSO等)都必需面对因为大年夜数据带来的风险和安然挑战，并打算好若何往应对他们。本文将会商若何对待非布局化数据相对传统的布局化数据带来的安然风险和挑战和多层面防护编制。

　　辨认非布局化数据与布局化数据安然呵护的差别

　　信息凡是被回类为布局化情势的或非布局化情势的。不合的类型有不合的呵护编制。举个例子来讲，非布局化的Excel电子数据表实际上包含布局化的数据。在经典的术语中，布局化的数据是指数据合适某种严格的数据模型和限制的模型。好比，模型可以定义一个营业流程节制信息流颠末一些面向办事的架构(SOA)系统，或也可定义数据如安在内存的一个数组中存储。可是对大年夜大都IT和数据库治理专家来讲，布局化数据是驻留在数据库中，并基于数据库架构和相干数据库法则被组织的信息。而作为一个安然专家来讲，这就意味着两个首要的工作：

　　数据库驻留在数据中间，周围是物理安然举措措施(包含砖墙、金属柜子等)、收集防火墙和其他安然办法，承诺你可以或许节制对数据的拜候。

　　数据本身的布局化编制凡是承诺对数据的简单分类。举个例子，你能在数据库中辨认一个特定的人的医疗记实和利用响应的安然节制。

　　所以，因为你知道布局化数据是甚么样的和它驻留在哪里，你有严格的节制机制来决定谁能拜候它。对布局化数据定义和利用安然节制相对简单，要么利用布局内置的特点或专门为特定布局设计的第三方东西便可完成节制。

　　而在比拟之下，非布局化数据的治理和安然加倍坚苦。非布局化数据能在任何处所、以任何格局、在任何设备上存在，并且在大年夜数据期间可以或许超越任何收集。举个例子申明非布局化数据的利用复杂性，一个病人的记实从数据库中被提掏出来显示在一个网页上，从网页拷贝到数据表格中，附在电子邮件中，然后发送到别的一个收集的邮箱中。

　　并且，非布局化的数据没有严格的格局。当然，我们的Word文档，电子邮件等合适定义它们内部布局的尺度;但是，它们此中包含的数据几近没有限制。好比上面列举的阿谁病人记实的例子，假定一个用户改变内容后把它从网页上拷贝到数据表格中，可能删除某些字段和标题问题。因为这个信息从一种格局改变成了别的一种格局，它原始的机构被有效的改变了。

　　呵护存储成布局化的数据和信息是相对简单的。可是跟着一个信息从布局化的情势移改变成非布局化的时辰，这个环境就会变得很是的复杂。考虑如许一个例子，良多阐发人士的陈述表白在当前的企业组织中，80%或超越80%的电子信息长短布局化的，还有非布局化数据增加的速度是布局化数据的10到20倍。也考虑一下媒体上的新闻文章不竭夸大年夜常识产权的盗取、信息的不测丢掉、数据的歹意利用等，最核心的标题问题就长短布局化的数据。在2010年，全球总的非布局化的数据估计大年夜概有100万PB(1048576000000GB)，被觉得将以每年25%的速度增加。我们明显需要往理解我们若何呵护非布局化数据的安然。

　　非布局化数据需安然呵护的“三态”

　　非布局化的数据在任何给定的时候老是处在三种状况中的一种：非利用、传输中、利用中。非利用也就是在存储设备中;它可能在传输中意味着它从一个处所被拷贝到另外一个处所。或，它可能在利用中(被一些利用法度打开着)。好比一个PDF文件，它可能存储在一个USB设备上，不在利用状况;统一个PDF文件可能从USB设备拷贝，并附在电子邮件中发送到因特网上。PDF从USB设备上被拷贝，经由过程良多州到电子邮件办事器，经由过程收集从发件箱到收件箱。最后，收件人收到邮件并打开PDF文件，在阿谁时刻非布局化数据处于利用状况(驻留在内存中)，在一个利用法度的节制下(例如Adobe Reader浏览器)，并被闪现给可以交互的用户。

　　布局化数据转化为非布局化数据带来风险

　　基于上面三种状况的描述，可以加倍具体地会商今朝对呵护非布局化数据的挑战。假定企业组织有一个HR的利用法度，它包含一个保护每个员工信息的数据库，包含他们的年度工资、之前的规律处罚信息、小我数据(例如家庭地址和社会安然号码)等。犹如大年夜大都现代的HR利用法度一样，它是基于网页的，所以当一个认证的用户运行一个报表的时辰，报表是从布局化的数据库过渡到非布局化的数据，以HTML的格局传递给网页浏览器。用户利用法度可以或许很等闲从浏览器的拷贝和粘贴这个信息到电子邮箱信息和经由过程其他编制转发。当这个信息一旦添加到邮件正文中，它掉往了与原始的利用法度所有布局和联系关系。用户可能也会选择只拷贝和粘贴一部门信息，更改一部门信息，或在原始的信息中添加一些新的内容。收到用户发的电子邮件的人可能会拷贝和粘贴数据到电子表格。这些电子表格信息可能被用来成立一个图示的信息，利用的原始的一些文本信息在图形上作为标签。犹如这个环境所示，布局化信息很快就被三种状况的改变而转化成了非布局化数据，这些布局化数据从之前的数据库中改变并重构、存储在较小的数据格局中，它们包含电子邮件，文档，图片，视频等等。

　　企业可能已很好的定义了安然模型往节制拜候HR的利用法度和包含HR信息的数据库。但是，信息需要传递给对成心义的人们或利用法度。假定它经由过程收集传输了，企业和用户能肯定拜候收集是安然的，但是，当信息达到用户时，它可以或许被转换成数千种不合的格局，发送给各类各样的利用法度和收集。每个信息存在的处所可以或许有呵护的，它可能利用拜候节制对共享文件和节制对数据驻留(内容)的处所和收集的拜候;但是，你的非布局化信息可能在任何处所被终结，是以很难对它呵护。事实上，乃至很难对它定位、辨认和分类信息。一旦HR的数据终结在电子邮件中，不测的转发给弊端的人，它就没有存储在数据库原始数据的杰出布局了。它在从数据库到一个未授权的用户的收件箱的传输过程中，也被复制了好几回。

　　事实上，在大年夜数据期间，非布局化的数据不竭的产生改变，数据终结在你没有预期的处所，出格是因特网供给了一个令人难以置信的由善于传输非布局化数据的计较机构成的大年夜型收集。大年夜量的金钱和精力投进到往扶植社交收集(SNS)，文件共享和协助办事，点对点的利用。点对点供给了无数种将非布局化数据在几秒钟内发布给数十亿的用户。所以我们常常听到关于数据丢掉的例子就层见迭出，此刻我们创作发现了这么多令人诧异的编制承诺信息简单的分开我们呵护的鸿沟，我们的收集节制用来禁止报复打击者范围受我们呵护的数据不再足以让它安然了。

　　是以，企业高层治理者要充分意想到大年夜数据期间非布局化数据带来的安然风险和冲击，并提早预备好响应的办法来应对它。

　　多层面数据防泄漏呵护非布局化数据

　　非布局化数据凡是需要以以下几种编制进行泄漏管控：

　　监控：被动的监控和陈述收集流量和其他通信通道的信息例如文件拷贝到附加的存储。

　　发现：扫描本地或长途数据存储和在数据存储库或在终端上分类动静。

　　捕获：存储从头构建的收集会话为今后的阐发和分类/政策细化。

　　防护/梗阻：基于信息从监控和发现组件防护数据传输，要么经由过程阻断一个收集会话，或经由过程一个本地代办署理往遏制信息流。

　　针对以上需要，可以利用数据防泄漏进行有效的防控。数据防泄漏(也称DLP)指的是一个相对较新的一组手艺设计往监控，发现和呵护数据。你可能还听到这类手艺成为数据泄漏防护—有时它也称为“呵护”这个词代替“防护”。在任何环境下，DLP像一个你“数据的防火墙”。有各类各样DLP的解决方案在市场上，凡是可以或许利用以下三种类型来别离在不合的层面呵护非布局化数据：

　　收集DLP 凡是一个收集利用法度在首要的收集周围(大年夜大都环境是在企业的组织收集和互联网之间)作为一个网关。收集DLP监控经由过程网关的流量试图往探测敏感的数据或做点相干的工作，凡是会禁止它分开收集。

　　存储DLP软件要么运行在一个利用法度上或直接在文件办事器上，履行像网路DLP一样的功能。存储DLP扫描存储系统往发现敏感数据。当找到的时辰，它可以删掉落它，把它隔离或简单的通知治理员。

　　终端的DLP软件运行在终端系统上监控把持系统勾当和利用法度，不雅察内存和收集流量往探测敏感信息不得当的利用。

　　并且，收集、存储和终端的DLP常常一路利用作为一个综合DLP解决方案往知足非布局数据的安然管控需求。