企业需要采取重要而有力的步骤来保护以数据为中心的网络。世界知名投资者沃伦巴菲特警告说,网络犯罪现在是人类的“头号问题”。鉴于2019年数据泄露的数量之多,以数据为中心的安全性应该成为每个组织和每个人的首要考虑。什么是以数据为中心的网络安全?随着当今企业处理的高度敏感数据量不断增加,以数据为中心的安全实践已经超越了以往的实践。但什么是以数据为中心的网络安全?传统的网络安全侧重于保护数据的物理位置,例如网络、个人设备、服务器和应用程序。以数据为中心的安全性侧重于保护数据本身,无论它是静止的还是运动的(例如,通过网络从一个存储位置移动到另一个存储位置)。确保以数据为中心的网络安全个人或组织如何才能从传统上关注数据的物理位置转变为关注数据本身?以下10个步骤可以帮助企业实现网络安全和以数据为中心。1.超越监管要求健康保险流通与责任法案(HIPPA)、支付卡行业数据安全标准(PCIDSS)、萨班斯-奥克斯利法案(SOX)和通用数据保护条例(GDPR)都非常重要。好举动。但是,建议将遵守这些法规作为努力保护数据的最低要求。人们应该意识到,定义如此广泛的内容具有挑战性,而且可能很耗时。但是,创建一个包罗万象的安全系统将节省大量工作并让企业满足不断变化的需求。2.识别敏感数据企业可能需要处理许多不同类型的数据,因为并非所有数据都是敏感的。鉴于企业的安全资源不是无限的,建议尽量减少花在非敏感数据上的时间。但是对于敏感数据,需要采取措施来充分保护它们。这包括确定数据类型、其位置和所需的安全级别。以下是您制定最适合您的业务的安全策略所需的信息。3.专注于加密企业必须确保静态或存储中的数据是加密的。比如很多企业已经使用了HTTPS协议,但是它的加密只适用于设备间的数据传输?数据在收到后可能不会重新加密(并且数据可能不是来自加密源)。这凸显了网络安全的另一个主要弱点:数据传输。企业应确保传输数据的通道是安全的,不能被恶意方“窃听”(例如使用VPN)。即使是很小的加密失误也足以允许对数据进行未经授权的访问。4、尽可能自动化企业需要使用数据,首先要解密。然后,完成后,需要在存储前重新加密。所有这些步骤都增加了工作量,因此如果像这样的任务和其他任务可以自动化,就可以大大减少可能危及数据安全的人为错误的可能性。例如,访问扫描区域显然不应该基于拥有诸如企业电子邮件地址之类的东西而被授予。因此,身份管理软件提供了组和角色等功能。根据用户的分配,他们将被赋予适当的数据访问权限,而无需任何人进行精细管理。5.保护数据而不是文件访问控制应遵循保护数据而不是文件的原则。传统的安全方法侧重于锁定给定类型的所有文件,而以数据为中心的模型应该侧重于信息本身。否则,黑客可以绕过文件系统并直接利用数据。6.控制应用程序访问这一步似乎模糊了传统网络安全和以数据为中心的网络安全之间的界限,但建议强制执行允许访问数据的特定应用程序。例如,您可以要求必须使用某些应用程序才能打开某些文件类型。这有助于防止用户使用不安全、过时或其他恶意应用程序打开受保护的数据。7.强调风险点的保护正如企业不应将时间花在非敏感数据上一样,不要将资源浪费在不太可能导致数据泄露的薄弱环节上。企业网络安全资源可以应用的地方很多:数据接入、云平台本身、数据传输通道、数字出口(如网站)。该团队特别强调可靠网络托管的重要性,这有助于确保企业网站对其访问者而言是安全的。最终,了解自己的弱点可以帮助您专注于风险最大的领域。8.监控数据虽然持续监控数据可能会变得更加昂贵,但收集有关数据的可靠信息可以帮助企业做出安全决策。如果发生数据泄露,它还可以为企业提供解决问题所需的知识。企业将能够确定攻击发生的时间和地点、攻击范围、恶意攻击者的成功程度等等。此外,随着大数据的出现,企业可以使用收集到的信息来改进他们实施的安全计划。9.使用独立于设备的保护数据可以存在于很多地方,比如服务器、工作站、移动设备、云计算环境,以及所有类型的应用程序。企业应尽可能争取与设备无关的保护。虽然一开始看起来很有挑战性,但找到一个与设备和平台无关的解决方案意味着以后当企业意识到他们的整个团队由于之前的工具选择而没有受到保护时,将会有更多的空白需要填补。不够。10.关于如何处理数据的培训企业增加了安全层来保护他们的数据,这意味着处理数据更具挑战性。因此,工人很容易证明避免看似不必要的步骤是合理的。建议企业对员工进行培训,让他们了解如何正确处理数据以及为什么必须采取这些步骤。这种培训不会使任务更容易或更省时,但它确实可以提醒人们,任何可能实施的策略或协议都是有原因的。尽管强调使用自动化技术,但用户仍然是任何安全程序的重要组成部分。结论随着漏洞风险的增加以及保护用户安全的重要性,以数据为中心的网络安全应该成为企业在开发安全程序时使用的范例。与关注物理存储机制不同,对数据的关注允许使用复杂和复杂的措施来加强对所有相关方的保护。
