數(shù)據(jù)安全是以符合組織風(fēng)險策略的方式保護(hù)數(shù)字?jǐn)?shù)據(jù)免遭未經(jīng)授權(quán)的訪問�����、使用或泄露�����。它還包括保護(hù)數(shù)據(jù)免受干擾���、篡改或破壞。 數(shù)據(jù)是每個組織的命脈����,對公司的成功至關(guān)重要,因此數(shù)據(jù)保護(hù)對于各種規(guī)模的組織來說都是一個關(guān)鍵問題����。數(shù)據(jù)安全是維護(hù)組織數(shù)據(jù)的保密性、完整性和可用性的關(guān)鍵所在��。通過實(shí)施強(qiáng)有力的數(shù)據(jù)安全措施���,組織能夠助力保護(hù)其寶貴資產(chǎn)�����,并維持客戶對公司品牌的信任��。
談及保護(hù)數(shù)據(jù)這一話題時�,數(shù)據(jù)安全和數(shù)據(jù)隱私這兩個概念有時會被混淆或互換使用。它們是不同的概念�����,但彼此協(xié)同發(fā)揮作用��。為了更好地理解它們是如何協(xié)同工作的����,將它們連同數(shù)據(jù)保護(hù)一起進(jìn)行定義會有所幫助。
數(shù)字化轉(zhuǎn)型促使各組織重新思考自身的運(yùn)營方式以及與客戶互動的方式����。相應(yīng)地,由此導(dǎo)致的數(shù)據(jù)呈指數(shù)級增長����,這使得數(shù)據(jù)安全變得勢在必行,各公司紛紛采用相關(guān)工具和做法�����,以更好地確保其數(shù)據(jù)的安全性和完整性,防止數(shù)據(jù)落入不法之徒手中�。
近年來,隨著遠(yuǎn)程辦公的廣泛應(yīng)用�����、技術(shù)體系的不斷擴(kuò)大以及預(yù)算方面的考量(這些情況常常導(dǎo)致安全團(tuán)隊(duì)負(fù)擔(dān)過重且人手不足)��,數(shù)據(jù)安全變得愈發(fā)關(guān)鍵���。此外,合規(guī)要求也進(jìn)一步凸顯了確保良好的數(shù)據(jù)安全實(shí)踐的重要性�����,因?yàn)榈貐^(qū)性和全球性的合規(guī)指令范圍一直在不斷更新和擴(kuò)展�����。
數(shù)據(jù)安全的益處
一個組織的數(shù)據(jù)有助于推動公司的業(yè)績�,助力創(chuàng)新以及開發(fā)新產(chǎn)品和服務(wù),把握新的市場機(jī)遇�,并提供高質(zhì)量的客戶服務(wù)。鑒于其重要性 —— 以及公司數(shù)據(jù)面臨諸多威脅的現(xiàn)實(shí)情況 —— 各組織需要采用良好的數(shù)據(jù)安全實(shí)踐做法。
1. 保障信息安全����。
數(shù)據(jù)安全可確保公司數(shù)據(jù)的安全。這是一種良好的商業(yè)實(shí)踐��,并且表明一個組織是妥善處理機(jī)密信息和客戶數(shù)據(jù)的盡責(zé)管理者�����。
2. 維持品牌信任�����。
客戶需要確信組織能夠保障他們的數(shù)據(jù)安全���。如果一個組織曾經(jīng)歷過數(shù)據(jù)泄露事件����,而消費(fèi)者對自己的個人信息在該組織手中的安全性感到擔(dān)憂����,他們就會拒絕提供信息。事實(shí)上����,60% 的美國消費(fèi)者不太愿意與曾遭受數(shù)據(jù)泄露的品牌合作�����,并且在2023年��,90% 的消費(fèi)者認(rèn)為供應(yīng)商糟糕的安全狀況會對他們的生活產(chǎn)生負(fù)面影響�����。
3. 獲得競爭優(yōu)勢��。
保護(hù)公司信息是運(yùn)營業(yè)務(wù)并打造競爭優(yōu)勢的關(guān)鍵部分。實(shí)際上���,21% 的消費(fèi)者表示�����,在供應(yīng)商發(fā)生數(shù)據(jù)泄露事件后�,他們會轉(zhuǎn)而選擇競爭品牌���。樹立保障客戶數(shù)據(jù)安全的良好聲譽(yù)���,不僅有助于公司維系現(xiàn)有的客戶群體���,還有助于吸引那些想遠(yuǎn)離曾發(fā)生數(shù)據(jù)泄露的競爭品牌的新客戶。
4. 避免財(cái)務(wù)損失��。
據(jù)估算�,2023年全球每次數(shù)據(jù)泄露事件平均造成445萬美元的損失,人們對與數(shù)據(jù)泄露相關(guān)的成本愈發(fā)擔(dān)憂��。通過投資數(shù)據(jù)安全��,企業(yè)能夠降低財(cái)務(wù)損失的風(fēng)險�����,例如支付贖金的成本����、因業(yè)務(wù)運(yùn)營中斷而損失的收入、事件響應(yīng)費(fèi)用��、法律費(fèi)用以及監(jiān)管罰款等�。
組織數(shù)據(jù)面臨的威脅
在當(dāng)今數(shù)字化世界中,網(wǎng)絡(luò)攻擊的威脅始終存在�����。公司不斷面臨大量可能危及數(shù)據(jù)安全并導(dǎo)致財(cái)務(wù)損失的網(wǎng)絡(luò)攻擊。而且�����,公司需要擔(dān)憂的不只是外部威脅��,諸如員工疏忽或惡意行為者等內(nèi)部威脅也可能導(dǎo)致數(shù)據(jù)泄露及其他安全問題��。公司數(shù)據(jù)面臨的諸多威脅包括:
1. 意外泄露——
在使用公司數(shù)據(jù)的過程中�,只需一個小意外,比如點(diǎn)擊惡意電子郵件附件��、丟失設(shè)備或者人為失誤��,就可能引發(fā)重大問題�。
2. 社會工程學(xué)攻擊——
社會工程學(xué)攻擊是一種常見威脅�,在數(shù)據(jù)泄露事件中占比達(dá)74%。它之所以是一種常用手段��,是因?yàn)閷τ诰W(wǎng)絡(luò)犯罪分子來說���,說服毫無防備的員工采取期望的行動往往比入侵公司網(wǎng)絡(luò)更容易����。
3. 內(nèi)部威脅——
內(nèi)部威脅通常來自當(dāng)前或以往的員工、承包商或合作伙伴�,他們擁有對公司網(wǎng)絡(luò)的授權(quán)訪問權(quán)限。內(nèi)部人員可能并無惡意���,只是因疏忽意外泄露了數(shù)據(jù)����。他們也可能通過濫用特權(quán)訪問權(quán)限構(gòu)成惡意威脅��,出于諸如間諜活動��、詐騙��、竊取知識產(chǎn)權(quán)或蓄意破壞等目的惡意行事�����。
4. 惡意軟件——
惡意軟件是指任何旨在對計(jì)算機(jī)����、網(wǎng)絡(luò)或服務(wù)器造成損害的程序或代碼。惡意軟件包含許多子類��,如勒索軟件、木馬病毒���、間諜軟件�����、病毒以及任何其他以惡意方式利用軟件進(jìn)行攻擊的類型�。
5. 勒索軟件——
勒索軟件是數(shù)據(jù)面臨的一種主要且日益嚴(yán)重的威脅�,在2022年的數(shù)據(jù)泄露事件中占比達(dá)25%。網(wǎng)絡(luò)犯罪分子利用勒索軟件攻擊來感染設(shè)備并加密數(shù)據(jù)���。然后����,攻擊者威脅要公開數(shù)據(jù)�����,除非組織支付贖金以獲取解密密鑰���。
6. 云數(shù)據(jù)存儲——
隨著組織利用云計(jì)算的優(yōu)勢,數(shù)據(jù)會被轉(zhuǎn)移并存儲在云端���。采用云計(jì)算擴(kuò)大了受攻擊面�����,若云數(shù)據(jù)未受保護(hù)����,就會給對手可乘之機(jī)。
數(shù)據(jù)安全解決方案的關(guān)鍵組件
威脅行為者的攻擊速度��、數(shù)量和復(fù)雜程度�����,再加上快速擴(kuò)大的攻擊面���,意味著各組織需要落實(shí)強(qiáng)有力的安全措施�,以盡可能保障其數(shù)據(jù)的安全���。以下是各組織可以實(shí)施的十個關(guān)鍵的數(shù)據(jù)安全組件�,用以改善其安全狀況并保護(hù)高價值及敏感數(shù)據(jù)���。
1. 訪問控制�����。
數(shù)據(jù)訪問控制有助于規(guī)范組織內(nèi)員工對文件的訪問權(quán)限�,便于信息技術(shù)團(tuán)隊(duì)管理哪些人員可以訪問哪些數(shù)據(jù)。應(yīng)用最小特權(quán)原則(POLP)是訪問控制的最佳實(shí)踐方法���,即員工僅擁有執(zhí)行特定工作或任務(wù)所需的最低限度的數(shù)據(jù)訪問權(quán)限�����,僅此而已���。
2. 云數(shù)據(jù)安全。
云安全是一系列技術(shù)���、政策�����、服務(wù)以及安全控制措施的集合����,旨在保護(hù)組織在云計(jì)算系統(tǒng)中的敏感數(shù)據(jù)、應(yīng)用程序和運(yùn)行環(huán)境���。云安全應(yīng)當(dāng)成為組織網(wǎng)絡(luò)安全戰(zhàn)略不可或缺的一部分,以確??缭骗h(huán)境的數(shù)據(jù)隱私和保護(hù)。
3. 數(shù)據(jù)丟失防護(hù)(DLP)�。
數(shù)據(jù)丟失防護(hù)是一種整體安全策略,側(cè)重于在數(shù)據(jù)使用�、傳輸和存儲過程中檢測并防止數(shù)據(jù)丟失、泄露或誤用�。數(shù)據(jù)丟失防護(hù)也是企業(yè)對關(guān)鍵業(yè)務(wù)信息進(jìn)行分類并確保公司數(shù)據(jù)政策符合相關(guān)法規(guī)要求的一種方式。
4. 電子郵件安全�����。
電子郵件安全對于保護(hù)組織的數(shù)字信息至關(guān)重要���。它是保護(hù)公司電子郵件賬戶��、內(nèi)容以及通信免遭未經(jīng)授權(quán)的訪問�、丟失或破壞的過程���。這有助于保護(hù)數(shù)據(jù)免受諸如網(wǎng)絡(luò)釣魚和黑客攻擊等惡意攻擊�。電子郵件安全還有助于確保電子郵件安全送達(dá),并且機(jī)密信息不會泄露給未經(jīng)授權(quán)的人員��。
5. 密鑰管理��。
密鑰管理通過對加密密鑰的生成���、交換���、存儲、刪除和更新進(jìn)行管理��,來保障密鑰的安全性����。這能確保敏感數(shù)據(jù)的安全,防止未經(jīng)授權(quán)的訪問��。密鑰管理還能確保所有用戶在正確的時間有權(quán)訪問正確的密鑰����。這有助于組織掌控自身的數(shù)據(jù),確保只有經(jīng)授權(quán)的人員能夠訪問數(shù)據(jù)�。通過密鑰管理,公司還可以追蹤誰在何時訪問了哪些密鑰�����。
6. 治理、風(fēng)險與合規(guī)(GRC)�����。
治理�����、風(fēng)險與合規(guī)是公司用于在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的同時管理風(fēng)險并滿足相關(guān)監(jiān)管要求的一組政策和流程�����。治理�、風(fēng)險與合規(guī)有助于公司的信息技術(shù)團(tuán)隊(duì)與業(yè)務(wù)目標(biāo)保持一致���,并確保所有利益相關(guān)者清楚各自的責(zé)任���。落實(shí)治理、風(fēng)險與合規(guī)����,公司可以確保遵循行業(yè)最佳實(shí)踐和合規(guī)要求����,同時將運(yùn)營相關(guān)風(fēng)險降至最低���。
密碼安全規(guī)范
密碼安全規(guī)范有助于保護(hù)公司的賬戶和數(shù)據(jù)免遭網(wǎng)絡(luò)犯罪分子的侵害�����。它涉及選擇����、管理并保持良好的密碼使用習(xí)慣��,以保護(hù)組織的賬戶和數(shù)據(jù)��。為確保最大限度的安全���,對所有在線賬戶使用獨(dú)特且強(qiáng)度高的密碼非常重要��,這樣一來�,即便一個密碼被泄露�,其他密碼仍能保持安全。
1. 身份驗(yàn)證與授權(quán)�����。
身份驗(yàn)證與授權(quán)用于控制對計(jì)算機(jī)資源的訪問。通過使用身份驗(yàn)證與授權(quán)工具����,組織能夠確保只有經(jīng)授權(quán)的用戶可以訪問他們所需的資源,同時保護(hù)數(shù)據(jù)免遭誤用或被盜�。它們還有助于監(jiān)控用戶活動,并確保符合組織的政策和程序���。
2. 零信任。
簡單來說�����,零信任就是 “不信任任何人�,始終進(jìn)行驗(yàn)證”。這一安全框架要求所有用戶����,無論身處組織網(wǎng)絡(luò)內(nèi)部還是外部,在被授予或繼續(xù)保有對應(yīng)用程序和數(shù)據(jù)的訪問權(quán)限之前�����,都必須經(jīng)過身份驗(yàn)證、授權(quán)��,并持續(xù)驗(yàn)證其安全配置和狀態(tài)�����。零信任假定不存在傳統(tǒng)的網(wǎng)絡(luò)邊界 —— 網(wǎng)絡(luò)可以是本地部署的�����、位于云端的���,或者二者兼具��,并且資源和工作人員可以位于任何地方���。
常見的數(shù)據(jù)安全類型
數(shù)據(jù)安全技術(shù)都直接與組織的數(shù)據(jù)相關(guān),以幫助組織理解三個關(guān)鍵方面:
(1)知曉數(shù)據(jù)存儲位置以及哪些數(shù)據(jù)是敏感數(shù)據(jù)����;
(2)控制數(shù)據(jù)移動,并使用以數(shù)據(jù)為中心的控制措施��,無論數(shù)據(jù)存儲在何處都能對其進(jìn)行保護(hù)��;
(3)啟用最小特權(quán)訪問和使用方式,以最大程度地保護(hù)數(shù)據(jù)����。
一些最常見的數(shù)據(jù)安全類型包括加密、數(shù)據(jù)掩碼�����、數(shù)據(jù)擦除和數(shù)據(jù)彈性恢復(fù)�����。
1. 加密����。
加密通過轉(zhuǎn)換信息來隱藏信息�����,使其看起來像是隨機(jī)數(shù)據(jù) —— 就像密碼一樣 —— 掩蓋了其真實(shí)含義����。加密利用高級算法對數(shù)據(jù)進(jìn)行編碼,對于沒有密鑰的任何用戶來說�����,這些數(shù)據(jù)毫無意義。授權(quán)用戶利用密鑰對數(shù)據(jù)進(jìn)行解碼���,將隱藏的信息轉(zhuǎn)換回可讀格式�。
2. 數(shù)據(jù)掩碼��。
數(shù)據(jù)掩碼使組織能夠通過將敏感信息變得難以辨認(rèn)但仍可使用的方式來保護(hù)并保持其隱私性�。數(shù)據(jù)掩碼通過模糊和替換特定字母或數(shù)字來隱藏?cái)?shù)據(jù),這使得數(shù)據(jù)對攻擊者毫無用處��,但授權(quán)人員仍可使用��。
3. 數(shù)據(jù)擦除��。
當(dāng)組織不再需要某一特定數(shù)據(jù)集時��,數(shù)據(jù)擦除可確保數(shù)據(jù)從系統(tǒng)中永久刪除�����。通過覆蓋存儲設(shè)備上的數(shù)據(jù)���,使數(shù)據(jù)無法恢復(fù)��,從而實(shí)現(xiàn)數(shù)據(jù)清理����。
4. 數(shù)據(jù)彈性恢復(fù)。
數(shù)據(jù)彈性恢復(fù)是創(chuàng)建數(shù)字?jǐn)?shù)據(jù)和其他業(yè)務(wù)信息備份副本的過程��,這樣一來���,組織就可以在數(shù)據(jù)因損壞�����、刪除或在數(shù)據(jù)泄露過程中被盜的情況下恢復(fù)數(shù)據(jù)����。數(shù)據(jù)備份對于組織的彈性恢復(fù)至關(guān)重要����,使其能夠在自然災(zāi)害或網(wǎng)絡(luò)攻擊期間快速恢復(fù)����。
數(shù)據(jù)安全最佳實(shí)踐
數(shù)據(jù)安全市場涵蓋了廣泛的技術(shù)和最佳實(shí)踐,用于在數(shù)字?jǐn)?shù)據(jù)的整個生命周期中對其進(jìn)行保護(hù)。這個生命周期從數(shù)據(jù)創(chuàng)建延伸到數(shù)據(jù)銷毀��,包括硬件�����、軟件����、技術(shù)和平臺的不同層面。它還包括組織的運(yùn)營政策和程序��。以下是一些最常見的數(shù)據(jù)安全最佳實(shí)踐:
1. 身份驗(yàn)證:
遵循身份和訪問管理程序�����,例如使用多因素身份驗(yàn)證(MFA)來確認(rèn)每個用戶的身份�����,防止數(shù)據(jù)被未經(jīng)授權(quán)訪問�����。
2. 執(zhí)行最小特權(quán)原則(POLP):
也被稱為 “最小特權(quán)訪問” 原則�����,POLP通過僅向那些需要數(shù)據(jù)來開展工作的人員提供訪問權(quán)限,確保數(shù)據(jù)免受未經(jīng)授權(quán)用戶的訪問�����。否則����,將拒絕訪問。
3. 定期備份數(shù)據(jù):
數(shù)據(jù)備份是數(shù)據(jù)安全的一個重要組成部分�����,以確保你擁有數(shù)據(jù)副本�����,從而能夠在盡量少受干擾的情況下繼續(xù)正常運(yùn)營�����。這可以確保數(shù)據(jù)不會丟失����。
4. 實(shí)施端點(diǎn)安全:
組織應(yīng)該實(shí)施一個全面的解決方案,通過檢測和響應(yīng)能力來保護(hù)端點(diǎn)��,以降低風(fēng)險并防止可能危及數(shù)據(jù)的網(wǎng)絡(luò)攻擊�����。
5. 培訓(xùn)員工:
如果員工和其他利益相關(guān)者不清楚政策內(nèi)容或者不了解需要遵循的最佳實(shí)踐來確保自身受到保護(hù)��,那么強(qiáng)大的安全策略也毫無用處����。實(shí)施網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃,讓員工了解對手試圖獲取數(shù)據(jù)的最常見方式�����,以及數(shù)據(jù)丟失可能對組織和他們個人生活產(chǎn)生的負(fù)面影響���。
6. 制定明確的政策:
員工應(yīng)該能夠理解并遵守安全政策��,包括在發(fā)生事件時每個用戶的角色�����,以及每個用戶可以訪問哪些類型的數(shù)據(jù)��、資源�����。
7. 保護(hù)所有連接設(shè)備:
筆記本電腦和手機(jī)是對手獲取敏感數(shù)據(jù)最常見的攻擊途徑����。此外,許多物聯(lián)網(wǎng)(IoT)設(shè)備也可能連接到你的網(wǎng)絡(luò)����,如打印機(jī)、攝像頭��、藍(lán)牙設(shè)備等���。保護(hù)物聯(lián)網(wǎng)設(shè)備是數(shù)據(jù)安全的重要組成部分��。
8. 加強(qiáng)物理和云安全:
無論你的數(shù)據(jù)是存儲在本地還是云端�����,都需要足夠的安全措施來保護(hù)數(shù)據(jù)免受對手侵害�����。物理保護(hù)包括防止入侵者��,以及防火���、防水和防范自然災(zāi)害。如果數(shù)據(jù)存儲在云端�,要落實(shí)云安全措施。
保障數(shù)據(jù)安全的關(guān)鍵框架
在過去幾十年間���,全球及地區(qū)性的數(shù)據(jù)保護(hù)法規(guī)陸續(xù)出臺�,旨在解決因收集的個人數(shù)據(jù)呈指數(shù)級增長而引發(fā)的隱私問題�。
以下是一些組織在考慮合規(guī)要求背景下的數(shù)據(jù)安全問題時應(yīng)參考的主要數(shù)據(jù)隱私法規(guī):
1.《通用數(shù)據(jù)保護(hù)條例》(GDPR)
2. ISO/IEC 27001標(biāo)準(zhǔn)
3.《加利福尼亞消費(fèi)者隱私法》(CCPA)
4.《健康保險流通與責(zé)任法案》(HIPAA)
5.《薩班斯 - 奧克斯利法案》(SOX)
6.《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI DSS)
本文轉(zhuǎn)載自 雪獸軟件
?
?
大
中
小
來源:陽泉市自來水有限責(zé)任公司
