数据安全的定义
数据安全有助于在其整个生命周期中保护敏感数据,了解用户活动和数据的上下文,并防止未经授权使用数据或丢失数据。
在这个网络安全威胁和内部风险不断增加的时代,数据安全的重要性不容小觑。了解拥有的数据类型、防止未经授权使用数据,以及识别并减轻与数据相关的风险,这些都很有必要。与数据安全相结合,数据安全管理可指导你的组织使用精心编写的策略和程序来规划、组织和控制数据安全活动。
数据安全的类型
为使数据安全发挥效力,它必须考虑数据集的敏感性和组织的法规合规性要求。有助于防止数据泄露、满足法规要求,以及防止声誉受损的数据安全类型包括:
需要保护的数据类型
信用卡失窃或身份被盗用的任何人对有效数据保护都会有更深切的体会。恶意黑客不断策划窃取个人信息并进行勒索、出售或实施进一步欺骗的方法。此外,在职和离职员工通常是数据丢失的原因,因此组织有必要实现内部风险管理。
每个行业对要保护的内容以及保护方法都有自己的要求,但需要保护的常见数据类型包括:
- 有关你的员工和客户的个人信息。
- 信用卡号、银行信息和公司财务报表等财务数据。
- 健康信息,例如接受的服务、诊断和检查结果。
- 商业机密和专利等知识产权。
- 供应链信息和生产流程等业务运营数据。
数据安全威胁
在工作场所和家里,你可以通过 Internet 访问帐户、进行通信,以及共享和使用信息。各种类型的 网络攻击 和内部风险可能会使你共享的信息面临风险。
数据泄露
数据泄漏是指有意或无意地将数据从组织内部传输到外部收件者。此行为可以使用电子邮件、Internet 以及笔记本电脑和便携式存储设备等设备来完成。此外,文件和文档被带出工作场所也是一种数据泄露形式。
疏忽
疏忽是指员工故意违反安全策略但并未试图对公司造成损害。例如,他们可能会与无权访问的同事共享敏感数据,或通过不安全的无线连接登录公司资源。另一个示例是,允许某人在不出示徽章的情况下进入建筑物。
欺诈
欺诈是由想要利用在线匿名性和实时可访问性的老练用户实施的。他们可能会使用遭入侵的帐户和被盗的信用卡号来创建交易。组织可能成为保修欺诈、退款欺诈或经销商欺诈的受害者。
盗窃
盗窃是一种内部威胁,会导致数据、金钱或知识产权被盗。此行为是为谋取个人私利而损害组织利益。例如,受信任的供应商可以在暗网上出售客户的社会安全号码或使用有关客户的内部信息来开展自己的业务。
自然灾害
自然灾害在来临前并不总是会发出预警,因此,为以防万一,明智的做法是提前做好准备以帮助保护你的数据。无论是飓风、地震、洪水还是其他形式的破坏,对数据进行异地备份都将有助于你实现业务连续性计划。
数据安全技术
数据安全技术是更完整的数据安全策略的关键组成部分。可通过各种数据丢失防护解决方案来检测内部和外部活动、标记可疑或有风险的数据共享行为以及控制对敏感数据的访问。实施此类数据安全技术可以帮助防止敏感数据泄露。
数据加密。对静态数据或传输中的数据使用加密(将数据转换为代码),这样即使未经授权的用户可以访问文件所在的位置,也无法查看文件的内容。
用户身份验证和授权。验证用户凭据并确保正确地分配和应用访问特权。基于角色的访问控制有助于组织仅将访问权授予需要的人。
内部风险检测。识别可能表明内部风险或威胁的活动。了解数据使用的上下文,了解某些下载、组织外部的电子邮件和重命名的文件何时指向可疑行为。
数据丢失防护策略。创建和实施定义数据管理和共享方式的策略。为各种活动指定授权用户、应用程序和环境,以帮助防止数据泄露或被盗。
数据备份。备份你组织数据的精确副本,以便授权管理员能够在发生存储故障、数据泄露或任何类型的灾难时恢复它。
实时警报。自动通知潜在的数据滥用,并接收可能的安全问题警报,防止这些安全问题对你的数据、声誉或员工和客户隐私造成损害。
风险评估。了解员工、供应商、承包商和合作伙伴具有关于你的数据、计算机系统和安全做法的信息。为帮助防止此类信息被滥用,请了解你拥有的数据类型以及这些数据在整个组织中的使用方式。
数据审核。通过定期安排的数据审核解决数据保护、准确性和可访问性等主要问题。它们可让你知道谁在使用你的数据以及数据的使用方式。
数据安全管理策略
数据安全管理策略包括策略、程序和数据治理,有助于保证你的数据更安全。
创建防御计划
保护敏感数据。大规模发现数据并对其进行分类,以了解信息在其整个生命周期内的量、类型和位置。
管理内部风险。了解用户活动和数据的预期用途,以识别可能导致数据安全事件的潜在风险活动。
建立适当的访问控制和策略。帮助防止不当保存、存储或打印敏感数据等行为。
使用加密保护数据
数据加密可防止未经授权的用户读取敏感数据。即使他们可以访问你的数据环境或查看传输中的数据,也无法使用它,因为此数据难以被读取或理解。
安装软件和安全更新程序
软件和安全更新程序解决了网络犯罪分子经常用来窃取敏感信息的已知漏洞。安装定期提供的更新程序有助于解决这些漏洞并防止你的系统受到损害。
对员工进行数据安全培训
帮助保护你组织的数据并非只是 IT 部门的职责,你还必须对员工进行培训,让他们小心提防数据被泄露、盗取和损害。数据安全最佳做法涉及在线数据和打印为硬拷贝的数据。应定期提供正式培训,可以每季度、每半年或每年开展一次。
实现与远程工作相关的安全协议
要对远程工作人员实施安全协议,首先应明确你的策略和程序。这通常需要进行强制性安全培训,并说明可以使用哪些软件应用程序以及如何使用它们。协议还应包括保护员工使用的所有设备的流程。
法规与合规性
组织必须遵守相关的数据保护标准、法律和法规。法律义务包括但不限于仅从客户或员工处收集需要的信息、确保信息安全并妥善处置这些信息。隐私法的例子包括一般数据保护条例 (GDPR)、Health Insurance Portability and Accountability Act (HIPAA) 和 California Consumer Privacy Act (CCPA)。
GDPR 是最严格的数据隐私和安全法规。该法规是由欧盟 (EU) 起草并通过的,世界范围内的组织在从欧盟公民或居民收集个人数据或向他们提供商品和服务时都有义务遵守该法规。
HIPAA 有助于保护患者的医疗健康信息,避免这些信息在患者不知情或未经患者同意的情况下遭到披露。HIPAA 隐私规则保护个人医疗健康信息,是为贯彻落实 HIPAA 要求而发布的。HIPAA 安全规则有助于保护医疗保健服务提供者以电子方式创建、接收、维护或传输的涉及个人身份的医疗健康信息。
CCPA 有助于保障加州消费者的隐私权,其中包括了解企业收集的个人信息及其使用和共享方式的权利、删除从他们那里收集的个人信息的权利,以及拒绝出售个人信息的权利。
数据保护官 (DPO) 是一种领导角色,负责跟踪合规性并帮助确保你的组织按照数据保护法处理个人数据。例如,他们可以为合规团队提供信息和咨询,在组织内提供培训,并报告不遵守细则和条例的情况。
不遵守规定可能会导致数据泄露,这通常会使组织遭受严重损害。后果包括身份盗用、生产力下降和客户流失。
结论
数据安全和数据安全管理有助于识别和评估数据威胁、遵守法规要求并维护数据的完整性。
承诺经常备份数据,将备份副本存储在异地位置,制定数据安全管理策略,并强制使用强密码或通行短语和 2FA。
在组织中构建有效防御的支柱包括:采取措施在数据生命周期内保护数据、了解数据的使用方式、防止数据泄露以及制定数据丢失防护策略。
了解如何使用数据安全程序和工具跨云、应用和终结点保护数据。
常见问题解答
-
数据安全有助于保护整个生命周期内的敏感数据,了解用户活动和数据的背景,并防止未经授权使用数据。数据安全涉及了解你拥有的数据及其所在位置,并识别对该数据的威胁。
-
数据安全包括以下类型:
- 访问控制,需要本地和基于云的数据的登录凭据。
- 通过密码、门禁卡或生物识别技术对用户进行身份验证。
- 备份和恢复,以便在系统故障、数据损坏或灾难发生后能够访问数据。
- 数据复原能力是灾难恢复和业务连续性的主动方法。
- 数据擦除,妥善处理数据并使其不可恢复。
- 数据掩码软件,使用代理字符对未经授权的用户隐藏字母和数字。
- 数据丢失防护解决方案,防止未经授权使用敏感数据。
- 加密,使未经授权的用户无法读取文件。
- 信息保护,有助于对文件和文档中的敏感数据进行分类。
- 内部风险管理,以减轻有风险的用户活动。
-
数据安全的一个示例是,使用技术来查看组织内敏感数据的驻留位置并了解如何访问和使用这些数据。
-
数据安全非常重要,因为它可以帮助你的组织防范网络攻击、内部威胁和人为错误,所有这些都可能导致数据泄露。
-
数据安全的四个关键问题是机密性、完整性、可用性和合规性。
关注 Microsoft 安全