什么是数据安全最主要的威胁与实践
发布时间:2022-02-10 10:25:07 所属栏目:安全 来源:互联网
导读:数据安全一直都很重要。但由于目前的疫情危机,越来越多的人开始远程工作,云计算的使用量也随之飙升,未经授权访问数据的机会比以往任何时候都要多。 黑客们正在利用这一点。例如,国际刑警组织(Interpol)和美国商会(U.S. Chamber of Commerce)都报告称,自
|
数据安全一直都很重要。但由于目前的疫情危机,越来越多的人开始远程工作,云计算的使用量也随之飙升,未经授权访问数据的机会比以往任何时候都要多。 黑客们正在利用这一点。例如,国际刑警组织(Interpol)和美国商会(U.S. Chamber of Commerce)都报告称,自疫情开始以来,网络攻击的发生率大幅增加。因此,无论组织做什么,如果它处理个人身份数据(PII),提高数据安全性是2022年及以后的绝对必须。以下是关于组织数据安全的信息,包括最常见的威胁、法律遵从性要求和最佳实践。 一 为什么数据安全很重要;数据安全至关重要,因为数据泄露可能会对组织产生严重影响。首先,这通常意味着财务上的损失,根据IBM和波耐蒙研究所的数据,2020年平均数据泄露的损失为386万美元:与数据泄露相关的最大一部分直接成本来自业务损失。然而,71%的首席营销官认为,违约的最大影响是它将影响品牌资产和品牌价值。根据品牌评估机构Interbrand的说法,一个品牌的价值很大一部分来自“这个品牌在购买决策中所扮演的角色”。换句话说,强大的品牌资产实际上可以提高客户为你的产品或服务付费的意愿。但这也意味着糟糕的品牌资产可能会产生相反的效果。研究表明,65%到80%的消费者会对泄露他们数据的公司失去信任,这对品牌资产是一个重大打击,数据泄露的潜在影响可能会影响未来几年的品牌。信任缺失对品牌形象的实际影响很大程度上取决于违约的细节,以及它如何影响客户等等。但无论如何,失去信任会对你的业务产生持续多年的影响。 二 数据安全、数据保护、数据隐私;数据安全常常与类似的术语如“数据保护”和“数据隐私”相混淆,因为它们都是指保护数据的方法。然而,这些术语之间的区别在于首先保护数据的原因,以及这样做的方法:数据安全指的是保护数据免受未经授权的访问或使用,这些访问或使用可能导致数据暴露、删除或损坏。数据安全的一个例子是,如果你的数据被攻破,可以使用加密来防止黑客使用。数据保护是指对数据进行备份或复制,以防止意外删除或丢失。数据保护的一个例子是创建数据备份,这样即使数据损坏或者自然灾害破坏了服务器,也不会永远丢失数据。数据隐私指的是关于如何处理数据的监管问题、通知问题和使用许可问题等。数据隐私的一个例子是,通过使用Cookies获得网站访问者的数据收集同意。 三 数据安全合规和法规;大多数国家都有公司必须遵守的严格的数据安全规定。违反这些规定的后果可能导致巨额罚款。不幸的是,法规遵从性通常很难把握,因为需求会因国家而变化,或者在一些国家,如美国,需求会因地区而变化,并且与正在处理的数据类型有关。因此,你能做的最好的事情之一就是确保你身边有知识渊博的顾问,他们可以帮助你了解法律要求。然而,以下是一些可能影响您的组织的最重要和影响最广泛的数据治理规则。 (1)《中华人民共和国数据安全法》 《数据安全法》2021年9月1日起正式施行,明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。 (2)《中华人民共和国个人信息保护法》 《中华人民共和国个人信息保护法》,自2021年11月1日起施行。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。 (3)通用数据保护监管(GDPR) GDPR是欧盟的数据保护和隐私法。它于2016年通过并于2018年实施,以保护消费者,并统一有关国内和国际企业数据管理的规定。GDPR要求任何处理个人数据的组织实施“适当的技术和组织措施”来保护该数据(包括获得个人存储和使用该数据的同意)。这意味着在收集用户数据时需要征得用户的同意,在数据被破坏时将数据匿名化以保护用户,并遵循在数据被破坏时通知用户的具体指导原则。 (4)健康保险流通与责任法案(HIPAA) HIPAA是美国关于电子保护健康信息(ePHI)的数据安全和保护法。该法案于1996年通过,旨在控制和现代化个人健康数据管理,包括欺诈和盗窃保护标准,保险公司如何利用它向个人收取服务费用,等等。对于任何处理ePHI的公司,HIPAA都需要特定的技术、物理和管理保障。违规者可被处以10年监禁,罚款从10万美元到25万美元不等。 (5)萨班斯-奥克斯利法案(SOX) 萨班斯-奥克斯利法案于2002年通过,旨在更好地保护公司投资者免受欺诈性金融活动的伤害。它是为了应对一些著名的公司会计丑闻(例如安然公司)而设立的,旨在增加对不准确或不完整的财务报告(包括篡改财务数据以某种方式呈现)的惩罚。它还包括有关管理企业财务信息获取的规定。SOX主要适用于上市公司及其披露财务信息的方式。但也有一些因素同样适用于私营企业——例如,伪造财务记录或报复举报金融犯罪的员工。 (6)联邦信息安全管理法(FISMA) FISMA于2002年通过,以标准化美国联邦机构处理数据的方式。它要求任何联邦机构(以及任何作为分包商/服务提供商的私营企业)遵守严格的信息安全政策(FIPS 200)和审计程序,以确保它们得到遵守。 四 数据安全的最大威胁 当人们想到数据安全的威胁时,首先想到的往往是黑客入侵您的服务器。但现实是,数据安全的最大威胁往往来自内部,是员工不安全行为的结果。 例如,IBM和波耐蒙研究所(The Ponemon Institute)在2020年研究了数据泄露的根本原因,发现最主要的两个原因是泄露凭证,通常是由于弱密码和云配置错误,让公众可以访问敏感数据;数据泄露的另一个主要原因(网络钓鱼诈骗)也是正确的员工培训可以防止的事情。IBM的研究表明,教员工如何发现网络钓鱼邮件和其他社会工程攻击将有助于减少17%的数据泄露。所有这些都说明,虽然像防火墙这样的技术对于保护您的数据免受安全威胁很重要,但您的团队的警惕可能更重要。 五 数据安全技术的类型 有几种不同的技术可以用来保护数据。尽可能多地使用这些技术,以确保所有潜在的访问点都是安全的。 (1)身份验证 身份验证是验证用户的登录凭证(密码、生物特征识别等)以确保它确实是他们的过程。它是数据安全策略中最重要的部分之一,因为它是防止未经授权访问敏感信息的第一线防御。 身份验证在概念上很简单,但从技术的角度来看,很难得到正确的规模。然而,像单点登录(SSO)、多因素身份验证(MFA)和破解密码检测等新技术使得在不牺牲用户体验的情况下更容易确保身份验证过程的安全性。 (2)加密 数据加密用一种算法来打乱敏感信息,因此如果没有解密所需的特定信息(加密密钥),就无法读取这些信息。这是一个非常重要的数据安全工具,因为它可以确保即使有人未经授权访问你的信息,他们也无法使用它。您应该始终确保您的加密密钥被安全存储,并将访问它们的权限限制在尽可能少的人。 (3)令牌化 令牌化类似于加密。然而,令牌化不是用算法打乱数据,而是用随机字符替换数据。然后,与原始数据(“令牌”)的关系存储在一个单独的受保护的数据库表中。 (4)数据屏蔽 数据掩蔽不会将数据转换为中间形式,而是通过使用代理字符“掩蔽”数据字符来实现。一旦它被送到目的地,软件就会把它倒转过来。 (5)物理访问控制 数据访问控制也是数据安全策略的重要组成部分。数字访问控制通常是通过身份验证程序(并限制访问数据的授权用户的数量)进行管理的,而物理访问控制则管理对数据所在物理位置(数据中心或内部服务器室)的访问。 物理访问管理控制包括保护措施,如钥匙卡,生物认证措施,如指纹识别和视网膜扫描,以及安全人员。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐