企業(yè)必須從源頭保護(hù)有價值的數(shù)據(jù)以防止泄露。但是,由于數(shù)據(jù)是跨用戶、網(wǎng)絡(luò)、云平臺和設(shè)備創(chuàng)建和駐留的,因此需要付出大量的時間和精力來保護(hù)它。幸運的是,可以使用一些技術(shù)、框架和程序來幫助確保其安全性。
企業(yè)可以遵循以下10項數(shù)據(jù)安全最佳實踐,以幫助保護(hù)其信息的安全。
1.對所有企業(yè)數(shù)據(jù)進(jìn)行編目
為了保護(hù)數(shù)據(jù),需要了解存在哪些數(shù)據(jù)至關(guān)重要。數(shù)據(jù)流經(jīng)并保留在由數(shù)據(jù)中心、網(wǎng)絡(luò)附加存儲、桌面設(shè)備、移動和遠(yuǎn)程用戶、云計算服務(wù)器和應(yīng)用程序組成的分布式網(wǎng)絡(luò)中。安全團(tuán)隊必須了解這些數(shù)據(jù)是如何創(chuàng)建、使用、存儲和銷毀的。
第一步是創(chuàng)建和維護(hù)一個全面的數(shù)據(jù)清單。所有數(shù)據(jù)(從普通數(shù)據(jù)到敏感數(shù)據(jù))都必須進(jìn)行分類。如果不執(zhí)行和維護(hù)這一盡職調(diào)查,可能導(dǎo)致某些數(shù)據(jù)不受保護(hù)且易受攻擊。
企業(yè)創(chuàng)建、存儲和使用的大量數(shù)據(jù)使了解數(shù)據(jù)操作成為一項艱巨的任務(wù)。需要考慮使用數(shù)據(jù)發(fā)現(xiàn)工具使該過程實現(xiàn)自動化。這些自動化工具使用各種方法(爬蟲、探查器和分類器)來查找和識別結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。
2.了解數(shù)據(jù)使用情況
數(shù)據(jù)并不是靜態(tài)實體,它隨著應(yīng)用程序的使用而移動。數(shù)據(jù)可以是動態(tài)的、靜止的或正在使用的。為了正確保護(hù)數(shù)據(jù),了解數(shù)據(jù)的不同狀態(tài)以及數(shù)據(jù)如何在模式之間轉(zhuǎn)換非常重要。了解數(shù)據(jù)傳輸、處理和存儲的方式和時間有助于更好地了解所需的保護(hù)。未正確識別數(shù)據(jù)狀態(tài)將會導(dǎo)致安全性不足。
3.對數(shù)據(jù)進(jìn)行分類
并非所有數(shù)據(jù)都具有相同的值。例如,個人身份信息(PII)和財務(wù)記錄比技術(shù)白皮書更有價值。
在盤點數(shù)據(jù)并了解其用途之后,需要為數(shù)據(jù)賦予價值,對其進(jìn)行分類和標(biāo)記。分類標(biāo)簽使企業(yè)能夠根據(jù)應(yīng)用的價值保護(hù)數(shù)據(jù)。使用的分類術(shù)語是根據(jù)企業(yè)的需求確定的,但數(shù)據(jù)通常分為四類:
(1)公開(免費提供);
(2)內(nèi)部(留在企業(yè)內(nèi)部);
(3)敏感(合規(guī)的數(shù)據(jù),要求保護(hù));
(4)保密(不合規(guī)的數(shù)據(jù),如果泄露則造成損害)。
一致且適當(dāng)?shù)臄?shù)據(jù)分類還有助于確定應(yīng)在何時何地存儲數(shù)據(jù)、如何保護(hù)數(shù)據(jù)以及誰有權(quán)訪問數(shù)據(jù)。它還改進(jìn)了合規(guī)性報告。
許多數(shù)據(jù)發(fā)現(xiàn)工具可以根據(jù)數(shù)據(jù)分類策略對數(shù)據(jù)進(jìn)行分類和標(biāo)記。這些工具還可以強制執(zhí)行分類策略來控制用戶訪問,并避免將其存儲在不安全的位置。
4.使用數(shù)據(jù)屏蔽
防止數(shù)據(jù)丟失的強大武器是使網(wǎng)絡(luò)攻擊者無法使用所竊取的信息。保密工具可以提供這一功能。
數(shù)據(jù)屏蔽使用戶能夠基于真實數(shù)據(jù)對功能格式化的數(shù)據(jù)執(zhí)行任務(wù),所有這些都不需要或暴露實際數(shù)據(jù)。數(shù)據(jù)屏蔽技術(shù)包括加密、字符混洗和字符或單詞替換。最流行的技術(shù)之一是標(biāo)記化,它采用功能齊全的虛擬數(shù)據(jù)代替真實值。真實數(shù)據(jù)(例如采用功能齊全的虛擬數(shù)據(jù)代替真實值或信用卡號)位于強化的中心位置,其訪問權(quán)限僅限于所需用戶。
5.使用數(shù)據(jù)加密
數(shù)據(jù)加密使用加密算法和密鑰來確保只有預(yù)期的實體才能讀取數(shù)據(jù)。加密用于存儲在驅(qū)動器上、應(yīng)用程序內(nèi)或傳輸中的數(shù)據(jù)。它在操作系統(tǒng)、應(yīng)用程序和云平臺以及獨立軟件程序中廣泛可用。
如果加密數(shù)據(jù)被網(wǎng)絡(luò)攻擊者竊取,則無法讀取,因此網(wǎng)絡(luò)攻擊者無法從數(shù)據(jù)中獲得任何價值。加密被認(rèn)為是一種非常有效的方法,以至于許多法規(guī)都將其作為安全港來限制數(shù)據(jù)泄露后的責(zé)任。加密不應(yīng)被視為數(shù)據(jù)安全的靈丹妙藥,但它是保護(hù)有價值信息的最佳方式之一。
6.實施強大的訪問控制
具有價值或受監(jiān)管的數(shù)據(jù),只能提供給需要訪問才能完成工作的人員。此外,還要建立強大的訪問控制機制,以確定哪些實體能夠訪問哪些數(shù)據(jù),并管理和定期審查這些實體的權(quán)限。
授權(quán)和訪問控制范圍從密碼和審計日志到多因素身份驗證、特權(quán)訪問管理和強制訪問控制。無論使用哪種機制,都要確保它根據(jù)最小特權(quán)原則驗證實體并授予訪問權(quán)限。強大的訪問控制需要全面監(jiān)控和審核,以快速識別異?;驗E用行為。
7.創(chuàng)建數(shù)據(jù)收集和保留策略
數(shù)據(jù)收集和保留策略是一個不受歡迎的主題,但它們的存在是有原因的。數(shù)據(jù)收集和保留策略建立了與數(shù)據(jù)管理和保護(hù)相關(guān)的規(guī)范。這些政策制定了以下規(guī)則:
·收集了哪些數(shù)據(jù);
·何時以及如何保留;
·哪些數(shù)據(jù)必須加密;
·誰有權(quán)訪問信息。
應(yīng)該清除不符合數(shù)據(jù)使用和保留策略的數(shù)據(jù)。除了支持內(nèi)部運營之外,政策還支持遵守GDPR和CCPA等法規(guī)。
8.進(jìn)行安全意識培訓(xùn)
與網(wǎng)絡(luò)安全一樣,數(shù)據(jù)保護(hù)也是一項團(tuán)隊工作。向有權(quán)訪問數(shù)據(jù)的員工和用戶宣傳數(shù)據(jù)安全的重要性。讓他們討論在數(shù)據(jù)安全中的作用,以及用戶應(yīng)該收集和存儲哪些數(shù)據(jù)以及不應(yīng)該共享哪些數(shù)據(jù)。
知情和授權(quán)的員工更有可能支持安全工作,而不是通過試圖繞過控制來破壞它們。最接近數(shù)據(jù)管理工作的人員也可以通過識別可能表示潛在問題的異常來提供有價值的支持。
9.備份數(shù)據(jù)
可用性和完整性對??于安全性與機密性一樣重要。數(shù)據(jù)備份提供了這些功能。備份是駐留在不同位置的數(shù)據(jù)的副本。如果工作副本不可用、被刪除或損壞,備份使數(shù)據(jù)檢索成為可能。
按計劃進(jìn)行備份。它們可以是完整的數(shù)據(jù)復(fù)制,也可以是僅保存數(shù)據(jù)更改的增量備份。因此務(wù)必保護(hù)任何備份,因為它們也可能成為網(wǎng)絡(luò)攻擊的目標(biāo)。
10.使用數(shù)據(jù)丟失防護(hù)(DLP)
數(shù)據(jù)丟失防護(hù)(DLP)平臺是任何數(shù)據(jù)安全策略的關(guān)鍵要素。數(shù)據(jù)丟失防護(hù)(DLP)由自動跟蹤敏感數(shù)據(jù)的技術(shù)、產(chǎn)品和技術(shù)組成。其保護(hù)使用規(guī)則來審查電子通信和數(shù)據(jù)傳輸。它們可以防止數(shù)據(jù)離開企業(yè)網(wǎng)絡(luò)或被路由到不在策略范圍內(nèi)的內(nèi)部資源。數(shù)據(jù)丟失防護(hù)(DLP)還可用于防止企業(yè)數(shù)據(jù)被傳輸?shù)轿唇?jīng)驗證的實體或通過非法轉(zhuǎn)移方法進(jìn)行傳輸。
結(jié)語
數(shù)據(jù)安全事件不是憑空發(fā)生的,它要求這些最佳實踐不能作為獨立的活動使用,而是作為企業(yè)縱深防御戰(zhàn)略的一部分。企業(yè)應(yīng)該采用這些組件中的大多數(shù)(如果不是全部)的組合來創(chuàng)建高效的數(shù)據(jù)安全程序。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號