識別和分類最敏感的數(shù)據(jù)
在企業(yè)的服務器傳輸任何數(shù)據(jù)之前,應該評估它對業(yè)務的影響。掃描和分類數(shù)據(jù)的軟件非常適合這項任務,它可以讓數(shù)據(jù)管理人員看到哪些文件需要移動到一個更安全的位置,還可以給有風險的文件打上標簽,這樣員工在處理這些文件時就可以格外小心。
始終進行備份
備份重要數(shù)據(jù)的重要性再怎么強調(diào)也不為過。數(shù)據(jù)在傳輸過程中可能會出現(xiàn)問題,或者可能會遇到硬件故障,因此企業(yè)要在適當?shù)牡胤綄?shù)據(jù)進行備份,可以確保這不會影響業(yè)務運營。
企業(yè)應該將關鍵數(shù)據(jù)以多種形式存儲在多個位置,其物理存儲介質(zhì)包括固態(tài)硬盤、SD卡和U盤,企業(yè)需要采取措施加密數(shù)據(jù)并保持硬盤的物理安全。
云存儲由于易于訪問和方便而受到歡迎,企業(yè)可以安全地將業(yè)務數(shù)據(jù)保存在加密存儲中。此外,授權用戶可以輕松檢測和防止加密的云計算數(shù)據(jù)被盜。即使網(wǎng)絡攻擊者真的竊取了數(shù)據(jù),他們可能也無法利用這些數(shù)據(jù)做任何事情。
建立文件訪問層次結構
企業(yè)的數(shù)據(jù)具有分層結構,使用類似的方法進行數(shù)據(jù)訪問同樣有效。建立定義每個用戶的許可級別和相關特權的協(xié)議非常重要。
最基本的形式包括限制某些用戶完全訪問文件。一種更微妙的方法可以讓用戶查看文件,但不能刪除它們。企業(yè)還可以設置文件和項目的截止日期。在完成之后,訪問就會受到限制。
在企業(yè)的運營過程中,有很多新員工入職,也有一些員工離職。隨著時間的推移,許多人在企業(yè)中扮演不同的角色。文件訪問系統(tǒng)必須與此類事件保持同步,以便及時發(fā)布、撤銷和更改許可。
部署密碼管理系統(tǒng)
如果企業(yè)的密碼容易受到攻擊和竊取,那么采用的安全措施就毫無價值。密碼被盜可能導致企業(yè)的損失高達數(shù)百萬美元。相比之下,采用企業(yè)級密碼管理器的費用可以忽略不計。
方便和附加的安全性和可問責性使密碼管理器成為一種理想的選擇,企業(yè)員工喜歡采用,這是因為采用生成的一個強大的密碼比幾十個登錄密碼更容易記住。它們也使管理員更容易重置和更新密碼,以這種方式生成的密碼都是唯一且強大的密碼。即使在最糟糕的情況下,也會使網(wǎng)絡攻擊者對員工操作某個方面的訪問受到限制。
密碼管理在許多級別上顯著提高了數(shù)據(jù)和憑據(jù)的安全性。例如禁用離職員工的主密碼會使他們完全無法訪問。這樣一來,任何人都不會浪費時間來追蹤舊的憑證。
密碼管理器還可以提供關于每日登錄量的信息,或者顯示哪些用戶還沒有激活密碼。
利用數(shù)據(jù)保護服務
數(shù)據(jù)傳輸包括將文件從企業(yè)的網(wǎng)絡發(fā)送到另一個網(wǎng)絡。此類傳輸包含的文件是敏感的,因此事先對其進行加密是常態(tài)。最簡單的方法是使用數(shù)據(jù)保護服務,它們會自動加密和跟蹤傳輸?shù)膬?nèi)容。
有些公司只提供數(shù)據(jù)傳輸服務。其他的軟件更有吸引力,因為它們提供了其他功能,可以幫助精簡企業(yè)的軟件套件。這些服務可能包括自動文件轉換、電子郵件安全或審計,他們還可能會檢查文件是否符合GDPR法規(guī)等隱私法規(guī)。
保存日志并對文件傳輸進行審核
了解誰在何時訪問了文件有助于加強安全性。例如,偶爾傳輸?shù)奈募赡苁菒阂獾?。在這種情況下,審核可以發(fā)現(xiàn)文件在傳輸過程中遇到的隱患,這可能會防止它們在未來成為問題。
日志包含發(fā)送方和接收方憑證以及發(fā)送時間。它有幾個目的,日志有助于滿足合規(guī)性需求,增加安全層,并導致更高效的審核。
對員工進行安全培訓
文件共享有助于日常工作的順利進行,它也可能帶來風險。使用流行的協(xié)作和第三方應用程序來共享文件和通信是很誘人的。一些員工沒有意識到相關的陷阱和風險,可能會危及企業(yè)的業(yè)務安全。
企業(yè)需要建立一個安全培訓制度,向員工傳授有關文件傳輸實踐的知識。這個制定應該強調(diào)個人責任對于維持高安全標準至關重要。然而,這樣的訓練應該是有趣的。
結論
確保在線傳輸過程中的數(shù)據(jù)安全是企業(yè)的首要任務。網(wǎng)絡攻擊的數(shù)量正在增加,但企業(yè)并非無能為力。將有效的安全實踐落實到位為成功傳輸數(shù)據(jù)奠定了基礎。簡化這些程序,并對員工不遵守這些程序面臨的風險進行教育,可以保證這一點。
認真處理數(shù)據(jù)傳輸安全的業(yè)務表明了完整性,企業(yè)將其安全工作透明地傳達給員工和客戶可以建立信任,并使良好的實踐可持續(xù)。
關于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號