全球知名的投資者沃倫•巴菲特警告說,網(wǎng)絡犯罪如今已經成為人類面臨的“頭號問題”。鑒于2019年發(fā)生的大量數(shù)據(jù)泄露事件,以數(shù)據(jù)為中心的安全應該成為每個組織和每個人首要考慮的問題。
以數(shù)據(jù)為中心的網(wǎng)絡安全是什么?
隨著當今企業(yè)處理的高度敏感數(shù)據(jù)量的不斷增加,以數(shù)據(jù)為中心的安全實踐已經超越了以前的做法。但是,以數(shù)據(jù)為中心的網(wǎng)絡安全是什么?傳統(tǒng)的網(wǎng)絡安全關注于保護數(shù)據(jù)的物理位置,如網(wǎng)絡、個人設備、服務器和應用程序。以數(shù)據(jù)為中心的安全性側重于保護數(shù)據(jù)本身,而不管它是靜止的還是運動的(例如,通過網(wǎng)絡從一個存儲位置移動到另一個存儲位置)。
確保以數(shù)據(jù)為中心的網(wǎng)絡安全
個人或組織如何從傳統(tǒng)的對數(shù)據(jù)物理位置的關注轉向對數(shù)據(jù)本身的關注?以下10個步驟有助于使企業(yè)以網(wǎng)絡安全數(shù)據(jù)為中心開展業(yè)務。
1.超越法規(guī)要求
美國健康保險可移植性和責任法案(HIPPA)、支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)、薩班斯-奧克斯利法案(SOX)和通用數(shù)據(jù)保護法規(guī)(GDPR)都是很好的舉措。但是建議將遵循這些法規(guī)作為保護數(shù)據(jù)時應努力的最低要求。人們應該認識到,定義如此廣泛的內容具有挑戰(zhàn)性,并且可能很耗時。但是,創(chuàng)建一個包羅萬象的安全系統(tǒng)將節(jié)省大量的工作量,并使企業(yè)能夠滿足不斷變化的需求。
2.識別敏感數(shù)據(jù)
企業(yè)可能需要處理許多不同類型的數(shù)據(jù),因為并非所有數(shù)據(jù)都是敏感的。鑒于企業(yè)的安全性資源不是無限的,建議盡量減少花費在非敏感數(shù)據(jù)上的時間。但是對于敏感數(shù)據(jù),需要采取一些步驟,才能充分保護它們。這包括確定數(shù)據(jù)的類型、數(shù)據(jù)的位置以及所需的安全級別。這是制定最適合企業(yè)的安全策略所需的信息。
3.專注于加密
企業(yè)必須確保對靜態(tài)數(shù)據(jù)或存儲的數(shù)據(jù)進行加密。例如,許多企業(yè)已經使用HTTPS協(xié)議,但是其加密僅適用于設備之間的數(shù)據(jù)傳輸?在接收到數(shù)據(jù)之后,可能不會對數(shù)據(jù)進行重新加密(并且數(shù)據(jù)也可能不是來自加密源)。這凸顯了網(wǎng)絡安全的另一個主要弱點:數(shù)據(jù)傳輸。企業(yè)應該確保傳輸數(shù)據(jù)的通道是安全的,并且不能被惡意方“竊聽”(例如通過使用VPN)。即使只是很小的加密失誤,也足以使他人訪問未經授權的數(shù)據(jù)。
4.盡可能實現(xiàn)自動化
如果企業(yè)需要使用數(shù)據(jù),則必須先對其進行解密。然后,在完成之后,需要在存儲之前對其進行重新加密。所有這些步驟都增加了工作量,因此,如果可以自動執(zhí)行此類任務以及其他任務,則可以最大程度地降低人為錯誤的可能性,因為人為錯誤會損害數(shù)據(jù)的安全性。例如,顯然不應該基于擁有企業(yè)電子郵件地址之類的內容來授予對掃描區(qū)域的訪問權限。因此,身份管理軟件提供了諸如組和角色之類的功能。根據(jù)用戶的分配,將為他們提供適當?shù)臄?shù)據(jù)訪問權限,而無需任何人進行精細管理。
5.保護數(shù)據(jù)而不是文件
訪問控制應遵循保護數(shù)據(jù)而不是文件的原則。傳統(tǒng)的安全性方法著重于鎖定給定類型的所有文件,而以數(shù)據(jù)為中心的模型應著重于信息本身。否則,黑客可能會繞過文件系統(tǒng)并直接利用數(shù)據(jù)。
6.控制應用程序訪問
這一步驟似乎模糊了傳統(tǒng)網(wǎng)絡安全和以數(shù)據(jù)為中心的網(wǎng)絡安全之間的界限,但是建議強制執(zhí)行允許訪問數(shù)據(jù)的特定應用程序。例如,可以要求必須使用特定的應用程序來打開特定的文件類型。這有助于阻止用戶使用不安全、過時或其他惡意的應用程序打開受到保護的數(shù)據(jù)。
7.強調對風險點的保護
就像企業(yè)不應該在非敏感的數(shù)據(jù)上花費時間一樣,不要把資源浪費在不太可能導致數(shù)據(jù)泄露的薄弱環(huán)節(jié)上。有很多地方可以應用企業(yè)的網(wǎng)絡安全資源:數(shù)據(jù)訪問、云平臺本身、數(shù)據(jù)傳輸?shù)那篮蛿?shù)字出口(如網(wǎng)站)。這個團隊特別強調可靠的網(wǎng)站托管的重要性,這可以幫助確保企業(yè)的網(wǎng)站對其訪客是安全的。最終,了解哪些是弱點有助于企業(yè)將注意力集中在最危險的領域。
8.監(jiān)控數(shù)據(jù)
盡管對數(shù)據(jù)的持續(xù)監(jiān)視可能會變得更加昂貴,但收集有關其的可靠信息可以幫助企業(yè)制定安全性決策。它還可以為企業(yè)提供在發(fā)生數(shù)據(jù)泄露時解決問題所需的知識。企業(yè)將能夠確定攻擊發(fā)生的時間和地點、攻擊的范圍、惡意攻擊者的成功程度等等。此外,隨著大數(shù)據(jù)的出現(xiàn),企業(yè)可以使用收集到的信息來改進實現(xiàn)的安全程序。
9.使用與設備無關的保護
數(shù)據(jù)可以存在很多地方,例如服務器、工作站、移動設備、云計算環(huán)境,以及所有類型的應用程序。企業(yè)應盡可能爭取設備不可知的保護。雖然一開始看起來很有挑戰(zhàn)性,但是找到一個與設備和平臺無關的解決方案意味著,當企業(yè)意識到由于先前選擇的工具而導致整個團隊都沒有受到保護時,以后需要填補的空白就更少了。
10.培訓如何處理數(shù)據(jù)
企業(yè)增加安全保護層來保護自己的數(shù)據(jù),意味著使用數(shù)據(jù)更具挑戰(zhàn)性。因此,工作人員很容易為避開看似不必要的步驟辯護。建議企業(yè)培訓自己的員工如何正確處理數(shù)據(jù),以及采用這些步驟是必不可少的原因。這種培訓不會使任務變得更簡單或更省時,但它確實提醒人們,可能要實現(xiàn)任何策略或協(xié)議都有其原因。盡管強調使用自動化技術,用戶仍然是所有安全程序的重要組成部分。
結論
隨著漏洞風險的增加,以及保護用戶安全的重要性的增加,以數(shù)據(jù)為中心的網(wǎng)絡安全應該是企業(yè)在開發(fā)其安全程序時使用的范例。與其將重點放在物理存儲機制上,不如將重點放在數(shù)據(jù)上,這樣就可以使用復雜完善的措施,增加對所有相關方的保護。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號