網(wǎng)絡(luò)安全是一個(gè)不斷變化的目標(biāo)，企業(yè)可能每天都要面對(duì)久經(jīng)考驗(yàn)的真實(shí)威脅和對(duì)手。從勒索軟件攻擊和惡意內(nèi)部人員到意外濫用和民族國(guó)家行為者，網(wǎng)絡(luò)威脅有多種形式。

企業(yè)必須從源頭保護(hù)有價(jià)值的數(shù)據(jù)以防止泄露。但是，由于數(shù)據(jù)是跨用戶、網(wǎng)絡(luò)、云平臺(tái)和設(shè)備創(chuàng)建和駐留的，因此需要付出大量的時(shí)間和精力來保護(hù)它。幸運(yùn)的是，可以使用一些技術(shù)、框架和程序來幫助確保其安全性。

企業(yè)可以遵循以下10項(xiàng)數(shù)據(jù)安全最佳實(shí)踐，以幫助保護(hù)其信息的安全。

1、對(duì)所有企業(yè)數(shù)據(jù)進(jìn)行編目

為了保護(hù)數(shù)據(jù)，需要了解存在哪些數(shù)據(jù)至關(guān)重要。數(shù)據(jù)流經(jīng)并保留在由數(shù)據(jù)中心、網(wǎng)絡(luò)附加存儲(chǔ)、桌面設(shè)備、移動(dòng)和遠(yuǎn)程用戶、云計(jì)算服務(wù)器和應(yīng)用程序組成的分布式網(wǎng)絡(luò)中。安全團(tuán)隊(duì)必須了解這些數(shù)據(jù)是如何創(chuàng)建、使用、存儲(chǔ)和銷毀的。

第一步是創(chuàng)建和維護(hù)一個(gè)全面的數(shù)據(jù)清單。所有數(shù)據(jù)(從普通數(shù)據(jù)到敏感數(shù)據(jù))都必須進(jìn)行分類。如果不執(zhí)行和維護(hù)這一盡職調(diào)查，可能導(dǎo)致某些數(shù)據(jù)不受保護(hù)且易受攻擊。

企業(yè)創(chuàng)建、存儲(chǔ)和使用的大量數(shù)據(jù)使了解數(shù)據(jù)操作成為一項(xiàng)艱巨的任務(wù)。需要考慮使用數(shù)據(jù)發(fā)現(xiàn)工具使該過程實(shí)現(xiàn)自動(dòng)化。這些自動(dòng)化工具使用各種方法(爬蟲、探查器和分類器)來查找和識(shí)別結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。

2、了解數(shù)據(jù)使用情況

數(shù)據(jù)并不是靜態(tài)實(shí)體，它隨著應(yīng)用程序的使用而移動(dòng)。數(shù)據(jù)可以是動(dòng)態(tài)的、靜止的或正在使用的。為了正確保護(hù)數(shù)據(jù)，了解數(shù)據(jù)的不同狀態(tài)以及數(shù)據(jù)如何在模式之間轉(zhuǎn)換非常重要。了解數(shù)據(jù)傳輸、處理和存儲(chǔ)的方式和時(shí)間有助于更好地了解所需的保護(hù)。未正確識(shí)別數(shù)據(jù)狀態(tài)將會(huì)導(dǎo)致安全性不足。

3、對(duì)數(shù)據(jù)進(jìn)行分類

并非所有數(shù)據(jù)都具有相同的值。例如，個(gè)人身份信息(PII)和財(cái)務(wù)記錄比技術(shù)白皮書更有價(jià)值。

在盤點(diǎn)數(shù)據(jù)并了解其用途之后，需要為數(shù)據(jù)賦予價(jià)值，對(duì)其進(jìn)行分類和標(biāo)記。分類標(biāo)簽使企業(yè)能夠根據(jù)應(yīng)用的價(jià)值保護(hù)數(shù)據(jù)。使用的分類術(shù)語(yǔ)是根據(jù)企業(yè)的需求確定的，但數(shù)據(jù)通常分為四類：

(1)公開(免費(fèi)提供);

(2)內(nèi)部(留在企業(yè)內(nèi)部);

(3)敏感(合規(guī)的數(shù)據(jù)，要求保護(hù));

(4)保密(不合規(guī)的數(shù)據(jù)，如果泄露則造成損害)。

一致且適當(dāng)?shù)臄?shù)據(jù)分類還有助于確定應(yīng)在何時(shí)何地存儲(chǔ)數(shù)據(jù)、如何保護(hù)數(shù)據(jù)以及誰(shuí)有權(quán)訪問數(shù)據(jù)。它還改進(jìn)了合規(guī)性報(bào)告。

許多數(shù)據(jù)發(fā)現(xiàn)工具可以根據(jù)數(shù)據(jù)分類策略對(duì)數(shù)據(jù)進(jìn)行分類和標(biāo)記。這些工具還可以強(qiáng)制執(zhí)行分類策略來控制用戶訪問，并避免將其存儲(chǔ)在不安全的位置。

4、使用數(shù)據(jù)屏蔽

防止數(shù)據(jù)丟失的強(qiáng)大武器是使網(wǎng)絡(luò)攻擊者無法使用所竊取的信息。保密工具可以提供這一功能。

數(shù)據(jù)屏蔽使用戶能夠基于真實(shí)數(shù)據(jù)對(duì)功能格式化的數(shù)據(jù)執(zhí)行任務(wù)，所有這些都不需要或暴露實(shí)際數(shù)據(jù)。數(shù)據(jù)屏蔽技術(shù)包括加密、字符混洗和字符或單詞替換。最流行的技術(shù)之一是標(biāo)記化，它采用功能齊全的虛擬數(shù)據(jù)代替真實(shí)值。真實(shí)數(shù)據(jù)(例如采用功能齊全的虛擬數(shù)據(jù)代替真實(shí)值或信用卡號(hào))位于強(qiáng)化的中心位置，其訪問權(quán)限僅限于所需用戶。

5、使用數(shù)據(jù)加密

數(shù)據(jù)加密使用加密算法和密鑰來確保只有預(yù)期的實(shí)體才能讀取數(shù)據(jù)。加密用于存儲(chǔ)在驅(qū)動(dòng)器上、應(yīng)用程序內(nèi)或傳輸中的數(shù)據(jù)。它在操作系統(tǒng)、應(yīng)用程序和云平臺(tái)以及獨(dú)立軟件程序中廣泛可用。

如果加密數(shù)據(jù)被網(wǎng)絡(luò)攻擊者竊取，則無法讀取，因此網(wǎng)絡(luò)攻擊者無法從數(shù)據(jù)中獲得任何價(jià)值。加密被認(rèn)為是一種非常有效的方法，以至于許多法規(guī)都將其作為安全港來限制數(shù)據(jù)泄露后的責(zé)任。加密不應(yīng)被視為數(shù)據(jù)安全的靈丹妙藥，但它是保護(hù)有價(jià)值信息的最佳方式之一。

6、實(shí)施強(qiáng)大的訪問控制

具有價(jià)值或受監(jiān)管的數(shù)據(jù)，只能提供給需要訪問才能完成工作的人員。此外，還要建立強(qiáng)大的訪問控制機(jī)制，以確定哪些實(shí)體能夠訪問哪些數(shù)據(jù)，并管理和定期審查這些實(shí)體的權(quán)限。

授權(quán)和訪問控制范圍從密碼和審計(jì)日志到多因素身份驗(yàn)證、特權(quán)訪問管理和強(qiáng)制訪問控制。無論使用哪種機(jī)制，都要確保它根據(jù)最小特權(quán)原則驗(yàn)證實(shí)體并授予訪問權(quán)限。強(qiáng)大的訪問控制需要全面監(jiān)控和審核，以快速識(shí)別異常或?yàn)E用行為。

7、創(chuàng)建數(shù)據(jù)收集和保留策略

數(shù)據(jù)收集和保留策略是一個(gè)不受歡迎的主題，但它們的存在是有原因的。數(shù)據(jù)收集和保留策略建立了與數(shù)據(jù)管理和保護(hù)相關(guān)的規(guī)范。這些政策制定了以下規(guī)則：

• 收集了哪些數(shù)據(jù);
• 何時(shí)以及如何保留;
• 哪些數(shù)據(jù)必須加密;
• 誰(shuí)有權(quán)訪問信息。

應(yīng)該清除不符合數(shù)據(jù)使用和保留策略的數(shù)據(jù)。除了支持內(nèi)部運(yùn)營(yíng)之外，政策還支持遵守GDPR和CCPA等法規(guī)。

8、進(jìn)行安全意識(shí)培訓(xùn)

與網(wǎng)絡(luò)安全一樣，數(shù)據(jù)保護(hù)也是一項(xiàng)團(tuán)隊(duì)工作。向有權(quán)訪問數(shù)據(jù)的員工和用戶宣傳數(shù)據(jù)安全的重要性。讓他們討論在數(shù)據(jù)安全中的作用，以及用戶應(yīng)該收集和存儲(chǔ)哪些數(shù)據(jù)以及不應(yīng)該共享哪些數(shù)據(jù)。

知情和授權(quán)的員工更有可能支持安全工作，而不是通過試圖繞過控制來破壞它們。最接近數(shù)據(jù)管理工作的人員也可以通過識(shí)別可能表示潛在問題的異常來提供有價(jià)值的支持。

9、備份數(shù)據(jù)

可用性和完整性對(duì)于安全性與機(jī)密性一樣重要。數(shù)據(jù)備份提供了這些功能。備份是駐留在不同位置的數(shù)據(jù)的副本。如果工作副本不可用、被刪除或損壞，備份使數(shù)據(jù)檢索成為可能。

按計(jì)劃進(jìn)行備份。它們可以是完整的數(shù)據(jù)復(fù)制，也可以是僅保存數(shù)據(jù)更改的增量備份。因此務(wù)必保護(hù)任何備份，因?yàn)樗鼈円部赡艹蔀榫W(wǎng)絡(luò)攻擊的目標(biāo)。

10、使用數(shù)據(jù)丟失防護(hù)(DLP)

數(shù)據(jù)丟失防護(hù)(DLP)平臺(tái)是任何數(shù)據(jù)安全策略的關(guān)鍵要素。數(shù)據(jù)丟失防護(hù)(DLP)由自動(dòng)跟蹤敏感數(shù)據(jù)的技術(shù)、產(chǎn)品和技術(shù)組成。其保護(hù)使用規(guī)則來審查電子通信和數(shù)據(jù)傳輸。它們可以防止數(shù)據(jù)離開企業(yè)網(wǎng)絡(luò)或被路由到不在策略范圍內(nèi)的內(nèi)部資源。數(shù)據(jù)丟失防護(hù)(DLP)還可用于防止企業(yè)數(shù)據(jù)被傳輸?shù)轿唇?jīng)驗(yàn)證的實(shí)體或通過非法轉(zhuǎn)移方法進(jìn)行傳輸。

結(jié)語(yǔ)

數(shù)據(jù)安全事件不是憑空發(fā)生的，它要求這些最佳實(shí)踐不能作為獨(dú)立的活動(dòng)使用，而是作為企業(yè)縱深防御戰(zhàn)略的一部分。企業(yè)應(yīng)該采用這些組件中的大多數(shù)(如果不是全部)的組合來創(chuàng)建高效的數(shù)據(jù)安全程序。