企業(yè)需要通過(guò)重要而強(qiáng)大的步驟來(lái)確保以數(shù)據(jù)為中心的網(wǎng)絡(luò)安全。

[[321942]]

全球知名的投資者沃倫•巴菲特警告說(shuō)，網(wǎng)絡(luò)犯罪如今已經(jīng)成為人類面臨的“頭號(hào)問(wèn)題”。鑒于2019年發(fā)生的大量數(shù)據(jù)泄露事件，以數(shù)據(jù)為中心的安全應(yīng)該成為每個(gè)組織和每個(gè)人首要考慮的問(wèn)題。

以數(shù)據(jù)為中心的網(wǎng)絡(luò)安全是什么?

隨著當(dāng)今企業(yè)處理的高度敏感數(shù)據(jù)量的不斷增加，以數(shù)據(jù)為中心的安全實(shí)踐已經(jīng)超越了以前的做法。但是，以數(shù)據(jù)為中心的網(wǎng)絡(luò)安全是什么?傳統(tǒng)的網(wǎng)絡(luò)安全關(guān)注于保護(hù)數(shù)據(jù)的物理位置，如網(wǎng)絡(luò)、個(gè)人設(shè)備、服務(wù)器和應(yīng)用程序。以數(shù)據(jù)為中心的安全性側(cè)重于保護(hù)數(shù)據(jù)本身，而不管它是靜止的還是運(yùn)動(dòng)的(例如，通過(guò)網(wǎng)絡(luò)從一個(gè)存儲(chǔ)位置移動(dòng)到另一個(gè)存儲(chǔ)位置)。

確保以數(shù)據(jù)為中心的網(wǎng)絡(luò)安全

個(gè)人或組織如何從傳統(tǒng)的對(duì)數(shù)據(jù)物理位置的關(guān)注轉(zhuǎn)向?qū)?shù)據(jù)本身的關(guān)注?以下10個(gè)步驟有助于使企業(yè)以網(wǎng)絡(luò)安全數(shù)據(jù)為中心開(kāi)展業(yè)務(wù)。

1.超越法規(guī)要求

美國(guó)健康保險(xiǎn)可移植性和責(zé)任法案(HIPPA)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)、薩班斯-奧克斯利法案(SOX)和通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)都是很好的舉措。但是建議將遵循這些法規(guī)作為保護(hù)數(shù)據(jù)時(shí)應(yīng)努力的較低要求。人們應(yīng)該認(rèn)識(shí)到，定義如此廣泛的內(nèi)容具有挑戰(zhàn)性，并且可能很耗時(shí)。但是，創(chuàng)建一個(gè)包羅萬(wàn)象的安全系統(tǒng)將節(jié)省大量的工作量，并使企業(yè)能夠滿足不斷變化的需求。

2.識(shí)別敏感數(shù)據(jù)

企業(yè)可能需要處理許多不同類型的數(shù)據(jù)，因?yàn)椴⒎撬袛?shù)據(jù)都是敏感的。鑒于企業(yè)的安全性資源不是無(wú)限的，建議盡量減少花費(fèi)在非敏感數(shù)據(jù)上的時(shí)間。但是對(duì)于敏感數(shù)據(jù)，需要采取一些步驟，才能充分保護(hù)它們。這包括確定數(shù)據(jù)的類型、數(shù)據(jù)的位置以及所需的安全級(jí)別。這是制定最適合企業(yè)的安全策略所需的信息。

3.專注于加密

企業(yè)必須確保對(duì)靜態(tài)數(shù)據(jù)或存儲(chǔ)的數(shù)據(jù)進(jìn)行加密。例如，許多企業(yè)已經(jīng)使用HTTPS協(xié)議，但是其加密僅適用于設(shè)備之間的數(shù)據(jù)傳輸?在接收到數(shù)據(jù)之后，可能不會(huì)對(duì)數(shù)據(jù)進(jìn)行重新加密(并且數(shù)據(jù)也可能不是來(lái)自加密源)。這凸顯了網(wǎng)絡(luò)安全的另一個(gè)主要弱點(diǎn)：數(shù)據(jù)傳輸。企業(yè)應(yīng)該確保傳輸數(shù)據(jù)的通道是安全的，并且不能被惡意方“竊聽(tīng)”(例如通過(guò)使用VPN)。即使只是很小的加密失誤，也足以使他人訪問(wèn)未經(jīng)授權(quán)的數(shù)據(jù)。

4.盡可能實(shí)現(xiàn)自動(dòng)化

如果企業(yè)需要使用數(shù)據(jù)，則必須先對(duì)其進(jìn)行解密。然后，在完成之后，需要在存儲(chǔ)之前對(duì)其進(jìn)行重新加密。所有這些步驟都增加了工作量，因此，如果可以自動(dòng)執(zhí)行此類任務(wù)以及其他任務(wù)，則可以很大程度地降低人為錯(cuò)誤的可能性，因?yàn)槿藶殄e(cuò)誤會(huì)損害數(shù)據(jù)的安全性。例如，顯然不應(yīng)該基于擁有企業(yè)電子郵件地址之類的內(nèi)容來(lái)授予對(duì)掃描區(qū)域的訪問(wèn)權(quán)限。因此，身份管理軟件提供了諸如組和角色之類的功能。根據(jù)用戶的分配，將為他們提供適當(dāng)?shù)臄?shù)據(jù)訪問(wèn)權(quán)限，而無(wú)需任何人進(jìn)行精細(xì)管理。

5.保護(hù)數(shù)據(jù)而不是文件

訪問(wèn)控制應(yīng)遵循保護(hù)數(shù)據(jù)而不是文件的原則。傳統(tǒng)的安全性方法著重于鎖定給定類型的所有文件，而以數(shù)據(jù)為中心的模型應(yīng)著重于信息本身。否則，黑客可能會(huì)繞過(guò)文件系統(tǒng)并直接利用數(shù)據(jù)。

6.控制應(yīng)用程序訪問(wèn)

這一步驟似乎模糊了傳統(tǒng)網(wǎng)絡(luò)安全和以數(shù)據(jù)為中心的網(wǎng)絡(luò)安全之間的界限，但是建議強(qiáng)制執(zhí)行允許訪問(wèn)數(shù)據(jù)的特定應(yīng)用程序。例如，可以要求必須使用特定的應(yīng)用程序來(lái)打開(kāi)特定的文件類型。這有助于阻止用戶使用不安全、過(guò)時(shí)或其他惡意的應(yīng)用程序打開(kāi)受到保護(hù)的數(shù)據(jù)。

7.強(qiáng)調(diào)對(duì)風(fēng)險(xiǎn)點(diǎn)的保護(hù)

就像企業(yè)不應(yīng)該在非敏感的數(shù)據(jù)上花費(fèi)時(shí)間一樣，不要把資源浪費(fèi)在不太可能導(dǎo)致數(shù)據(jù)泄露的薄弱環(huán)節(jié)上。有很多地方可以應(yīng)用企業(yè)的網(wǎng)絡(luò)安全資源：數(shù)據(jù)訪問(wèn)、云平臺(tái)本身、數(shù)據(jù)傳輸?shù)那篮蛿?shù)字出口(如網(wǎng)站)。這個(gè)團(tuán)隊(duì)特別強(qiáng)調(diào)可靠的網(wǎng)站托管的重要性，這可以幫助確保企業(yè)的網(wǎng)站對(duì)其訪客是安全的。最終，了解哪些是弱點(diǎn)有助于企業(yè)將注意力集中在最危險(xiǎn)的領(lǐng)域。

8.監(jiān)控?cái)?shù)據(jù)

盡管對(duì)數(shù)據(jù)的持續(xù)監(jiān)視可能會(huì)變得更加昂貴，但收集有關(guān)其的可靠信息可以幫助企業(yè)制定安全性決策。它還可以為企業(yè)提供在發(fā)生數(shù)據(jù)泄露時(shí)解決問(wèn)題所需的知識(shí)。企業(yè)將能夠確定攻擊發(fā)生的時(shí)間和地點(diǎn)、攻擊的范圍、惡意攻擊者的成功程度等等。此外，隨著大數(shù)據(jù)的出現(xiàn)，企業(yè)可以使用收集到的信息來(lái)改進(jìn)實(shí)現(xiàn)的安全程序。

9.使用與設(shè)備無(wú)關(guān)的保護(hù)

數(shù)據(jù)可以存在很多地方，例如服務(wù)器、工作站、移動(dòng)設(shè)備、云計(jì)算環(huán)境，以及所有類型的應(yīng)用程序。企業(yè)應(yīng)盡可能爭(zhēng)取設(shè)備不可知的保護(hù)。雖然一開(kāi)始看起來(lái)很有挑戰(zhàn)性，但是找到一個(gè)與設(shè)備和平臺(tái)無(wú)關(guān)的解決方案意味著，當(dāng)企業(yè)意識(shí)到由于先前選擇的工具而導(dǎo)致整個(gè)團(tuán)隊(duì)都沒(méi)有受到保護(hù)時(shí)，以后需要填補(bǔ)的空白就更少了。

10.培訓(xùn)如何處理數(shù)據(jù)

企業(yè)增加安全保護(hù)層來(lái)保護(hù)自己的數(shù)據(jù)，意味著使用數(shù)據(jù)更具挑戰(zhàn)性。因此，工作人員很容易為避開(kāi)看似不必要的步驟辯護(hù)。建議企業(yè)培訓(xùn)自己的員工如何正確處理數(shù)據(jù)，以及采用這些步驟是必不可少的原因。這種培訓(xùn)不會(huì)使任務(wù)變得更簡(jiǎn)單或更省時(shí)，但它確實(shí)提醒人們，可能要實(shí)現(xiàn)任何策略或協(xié)議都有其原因。盡管強(qiáng)調(diào)使用自動(dòng)化技術(shù)，用戶仍然是所有安全程序的重要組成部分。

結(jié)論

隨著漏洞風(fēng)險(xiǎn)的增加，以及保護(hù)用戶安全的重要性的增加，以數(shù)據(jù)為中心的網(wǎng)絡(luò)安全應(yīng)該是企業(yè)在開(kāi)發(fā)其安全程序時(shí)使用的范例。與其將重點(diǎn)放在物理存儲(chǔ)機(jī)制上，不如將重點(diǎn)放在數(shù)據(jù)上，這樣就可以使用復(fù)雜完善的措施，增加對(duì)所有相關(guān)方的保護(hù)。