网络安全是一个不断变化的目标,组织每天都可能面临久经考验的真实威胁和对手。网络威胁有多种形式,从勒索软件攻击和恶意内部人员到意外滥用和民族国家行为者。企业必须从源头保护有价值的数据,防止泄露。然而,由于数据是跨用户、网络、云和设备创建和驻留的,因此需要花费大量时间和精力来保护它。幸运的是,有一些技术、框架和程序可以帮助确保它的安全。以下是企业可以遵循的10条数据安全最佳实践,以帮助确保其信息安全。1.对所有企业数据进行编目为了保护数据,了解存在哪些数据至关重要。数据流经并驻留在由数据中心、网络附加存储、桌面设备、移动和远程用户、云计算服务器和应用程序组成的分布式网络中。安全团队必须了解这些数据是如何创建、使用、存储和销毁的。第一步是创建和维护全面的数据清单。所有数据(从普通数据到敏感数据)都必须进行分类。未能执行和维护这种尽职调查可能会导致某些数据不受保护和易受攻击。企业创建、存储和使用的大量数据使理解数据操作成为一项艰巨的任务。考虑使用数据发现工具来自动执行此过程。这些自动化工具使用各种方法(爬虫、剖析器和分类器)来查找和识别结构化和非结构化数据。2.了解数据使用数据不是静态实体,它会随着应用程序的使用而移动。数据可以是动态的、静止的或正在使用的。要正确保护数据,了解数据的不同状态以及数据如何在模式之间转换非常重要。了解数据传输、处理和存储的方式和时间有助于更好地了解所需的保护措施。未能正确识别数据状态将导致安全性不足。3.对数据进行分类并不是所有的数据都具有相同的值。例如,个人身份信息(PII)和财务记录比技术白皮书更有价值。在清点数据并了解其用途后,您需要为其分配价值、对其进行分类和标记。分类标签使企业能够根据应用程序的价值保护数据。使用的分类术语由业务需求决定,但数据通常分为四类:(1)公共(免费提供);(2)内部(保留在业务范围内);(3)敏感(数据合规,需要保护);(4)保密性(不合规数据,泄露造成损害)。一致且适当的数据分类还有助于确定何时何地存储数据、如何保护数据以及谁有权访问数据。它还改进了合规性报告。许多数据发现工具可以根据数据分类策略对数据进行分类和标记。这些工具还可以实施分类策略来控制用户访问并避免将它们存储在不安全的位置。4.使用数据掩码防止数据丢失的一个有力武器是让被盗信息无法被网络攻击者使用。安全工具可以提供此功能。数据屏蔽使用户能够根据真实数据对功能格式化的数据执行任务,所有这些都不需要或暴露实际数据。数据屏蔽技术包括加密、字符改组以及字符或单词替换。最流行的技术之一是标记化,它用功能齐全的虚拟数据代替真实值。真实数据(例如代替真实值或信用卡号的全功能虚拟数据)驻留在强化的中央位置,访问仅限于需要它的用户。5.使用数据加密数据加密使用加密算法和密钥来确保只有预期的实体才能读取数据。加密用于存储在驱动器上、应用程序内或传输中的数据。它在操作系统、应用程序和云平台以及独立软件程序中广泛可用。如果加密数据被网络攻击者窃取,则无法读取,因此网络攻击者无法从数据中获取任何价值。加密被认为是一种有效的方法,以至于许多法规将其用作安全港以限制数据泄露后的责任。加密不应被视为数据安全的灵丹妙药,但它是保护有价值信息的最佳方式之一。6.实施强有力的访问控制。有价值或受监管的数据仅供需要访问以完成工作的人员使用。此外,建立强大的访问控制以确定哪些实体可以访问哪些数据,并管理和定期审查这些实体的权限。授权和访问控制范围从密码和审计日志到多因素身份验证、特权访问管理和强制访问控制。无论使用哪种机制,都要确保它根据最小特权原则对实体进行身份验证并授予访问权限。强大的访问控制需要全面的监控和审计,以快速识别异常或滥用行为。7.创建数据收集和保留策略数据收集和保留策略是一个不受欢迎的主题,但它们存在是有原因的。数据收集和保留政策建立了与数据管理和保护相关的实践。这些政策规定了以下方面的规则:收集哪些数据;何时以及如何保留;哪些数据必须加密;以及谁有权访问这些信息。不符合数据使用和保留政策的数据应该被清除。除了支持内部运营外,政策还支持遵守GDPR和CCPA等法规。8.进行安全意识培训与网络安全一样,数据保护需要团队合作。向有权访问数据的员工和用户宣传数据安全的重要性。让他们讨论他们在数据安全方面的作用以及用户应该收集和存储哪些数据以及不应共享哪些数据。知情和授权的员工更有可能支持安全工作,而不是通过试图绕过控制来破坏安全工作。那些最接近数据管理工作的人也可以通过识别可能表明潜在问题的异常来提供有价值的支持。9.备份数据的可用性和完整性对??于安全性与保密性同样重要。数据备份提供了这些功能。备份是驻留在不同位置的数据副本。如果工作副本变得不可用、被删除或损坏,则备份可以检索数据。按计划进行备份。它们可以是完整的数据副本或仅保存数据更改的增量备份。因此,保护??所有备份非常重要,因为它们也可能成为网络攻击的目标。10.使用数据丢失防护(DLP)数据丢失防护(DLP)平台是任何数据安全策略的关键要素。数据丢失防护(DLP)由自动跟踪敏感数据的技术、产品和技术组成。其受保护使用规则检查电子通信和数据传输。它们防止数据离开公司网络或被路由到策略未涵盖的内部资源。数据丢失防护(DLP)还可用于防止公司数据被传输到未经身份验证的实体或通过非法传输方法传输。结论数据安全事件不会凭空发生,它要求这些最佳实践不能作为独立的活动使用,而是作为企业纵深防御策略的一部分。组织应该结合使用大多数(如果不是全部)这些组件来创建有效的数据安全程序。
