原文链接 Data Security: Definition, Importance, and Types | Fortinet
数据安全的意义和定义
数据安全是在数字信息的整个生命周期中保护其免受损坏(corruption)、盗窃或未经授权访问的过程。它涵盖了一切——硬件、软件、存储设备和用户设备;访问和管理控制;以及组织的政策和程序。
数据安全使用工具和技术来增强公司数据及其使用情况的可见性。这些工具可以通过数据屏蔽(masking)、加密和敏感信息编校(redaction)等过程来保护数据。该过程还有助于组织简化(streamline)其审计程序,并遵守日益严格(increasingly stringent)的数据保护法规。
稳健的数据安全管理和策略流程使组织能够保护其信息免受网络攻击(cyberattacks)。它还可以帮助他们最大限度地减少人为错误和内部威胁的风险,这仍然是许多数据泄露(data breaches)的原因。
数据安全为什么重要?
数据安全对于世界上所有行业的组织都很重要的原因有很多。从法律上讲,组织有义务(obliged to)保护客户和用户数据不被丢失或窃取,以免落入坏人之手(ending up in the wrong hands)。例如,
《加州消费者隐私法案【California Consumer Privacy Act】》(CCPA)
《欧盟通用数据保护条例【European Union’s General Data Protection Regulation】》(GDPR)
《健康保险流通与责任法案【Health Insurance Portability and Accountability Act】》(HIPAA)和
《支付卡行业数据安全标准【Payment Card Industry Data Security Standard】》(PCI DSS)等行业和州法规概述了组织保护数据的法律义务。
数据网络安全对于防止伴随数据泄露而来的声誉风险也至关重要。高调的(high-profile)黑客攻击或数据丢失可能导致客户对组织失去信任,并将业务交给竞争对手。这也会带来严重的经济损失,以及罚款、法律支付和损坏修复的风险,以防敏感数据丢失。
数据保安的好处
什么是数据安全?在某种程度上,通过查看数据安全的好处,更容易定义数据安全,下面将详细解释:
1,确保信息安全:
通过采用关注数据安全性的思维方式并实现正确的工具集,您可以确保敏感数据不会落入坏人之手。敏感数据可以包括客户支付信息、医院记录和身份信息,仅举几例。通过创建数据安全程序来满足您组织的特定需求,这些信息将保持安全。
2,帮助您保持良好的声誉:
当人们与您的组织开展业务时,他们会将自己的敏感信息委托(entrust)给您,而数据安全策略使您能够提供他们所需的保护。你的奖励吗?在客户、合作伙伴和商业世界中享有良好的声誉(stellar reputation)。
3,给你竞争优势:
在许多行业,数据泄露是司空见惯的(commonplace),所以如果你能保证数据安全,你就能在竞争中脱颖而出,而竞争对手可能也在努力做到这一点。
4,节省支持和开发成本:
如果您在开发过程的早期合并了(incorporate)数据安全措施,那么您可能不必花费宝贵的资源来设计和部署补丁或修复编码问题。
数据安全与数据隐私
数据安全和数据隐私都涉及保护数据,但它们是不同的。数据安全需要(entail)使用鲜明(stark)、简单明了(black-and-white)的术语来控制对数据的访问。例如,数据安全策略可能规定(dictate),除了对数据库问题进行故障排除的人员之外,任何人都不允许查看客户付款信息。这样,您就减少了遭受数据安全漏洞的机会。
另一方面,数据隐私涉及更微妙的战略决策,围绕谁可以访问某些类型的数据。使用同样的例子,另一个组织可能会说,“嗯,它可以帮助开发团队了解是否有很多客户使用PayPal付款。然后,他们可以决定是否开始接受Payoneer、Skrill或Stripe。让我们在接下来的两周内为他们提供付款信息。”
当涉及到云计算或本地(on-premises)环境中的数据安全时,这些类型的决策更多地属于数据隐私的范围(purview)。
了解有关云数据保护的更多信息(Cloud Data Protection):保护您存储在云中的内容。
确保资料保安及私隐的最佳实践
为什么数据安全很重要?首先,它可以保护您的数据安全,并在您的客户中建立信心。以下是一些在其他组织中行之有效的最佳实践:
保护您的信息:
这意味着管理谁可以访问并加密您的数据。只有需要它执行基本功能的人才有权访问,并且信息在数据库和他们的计算机或设备之间来回传输时应该进行加密。
提前为威胁做好准备(Prepare ahead of time for threats):
您可以通过测试系统、培训员工、设计(devise)事件管理计划和创建数据恢复计划来为潜在的数据安全事件做好准备。
删除你不再使用的数据:
你应该删除你不再需要的数据的数字和物理副本。这样,您就减少了黑客发现它并利用它获利的机会。
数据安全的类型
组织可以使用广泛的数据安全类型来保护他们的数据、设备、网络、系统和用户。组织应该将一些最常见的数据安全类型结合起来,以确保他们拥有最佳的策略,包括:
加密(Encryption)
数据加密是使用算法来打乱(scramble)数据并隐藏其真实含义。加密数据可确保消息只能由具有适当解密密钥的收件人读取。这是至关重要的,特别是在发生数据泄露的情况下,因为即使攻击者设法获得了对数据的访问权,如果没有解密密钥,他们也无法读取数据。
数据加密还涉及使用令牌化(tokenization)等解决方案,它在数据在组织的整个it基础设施中移动时保护数据。
数据擦除(Data Erasure)
在某些情况下,组织不再需要数据,需要将其从系统中永久删除。数据擦除是一种有效的数据安全管理技术,可以消除责任和发生数据泄露的机会。
数据屏蔽(Data Masking)
数据屏蔽使组织能够通过模糊(obscure)和替换特定的字母或数字来隐藏数据。这个过程是一种加密形式,如果黑客拦截了数据,就会使数据变得无用。原始消息只能由拥有解密或替换掩码字符的代码的人发现。
数据弹性(Data Resiliency)
组织可以通过创建数据的备份或副本来降低意外破坏或丢失数据的风险。数据备份对于保护信息和确保信息始终可用至关重要。在数据泄露或勒索软件(ransomware)攻击期间,这一点尤其重要,因为它可以确保组织能够恢复以前的备份。
最大的数据安全风险
随着越来越老练的(sophisticated)攻击者发起网络攻击,企业面临着日益复杂的安全威胁。数据安全面临的一些最大风险包括:
意外数据暴露(Accidental Data Exposure)
许多数据泄露不是黑客攻击的结果,而是由于员工意外或疏忽(negligent)暴露了敏感信息。员工很容易丢失、与错误的人共享或授予对数据的访问权限,或者因为不了解公司的安全策略而错误地处理(mishandle)或丢失信息。
钓鱼式攻击(Phishing Attacks)
在网络钓鱼攻击中,网络犯罪分子通常通过电子邮件、短消息服务(SMS)或即时消息服务发送消息,这些消息似乎来自受信任的发送者。邮件中包含恶意链接或附件,这些链接或附件会引导收件人下载恶意软件或访问欺骗网站(spoofed website),从而使攻击者能够窃取他们的登录凭据或财务信息。
这些攻击还可以帮助攻击者破坏用户设备或获得对公司网络的访问权。网络钓鱼攻击通常与社会工程相结合,黑客利用社会工程操纵受害者交出敏感信息或特权账户的登录凭据。
内部威胁(Insider Threats)
对任何组织来说,最大的数据安全威胁之一是它自己的员工。内部威胁是指有意或无意地(intentionally or inadvertently)将自己组织的数据置于危险之中的个人。它们有三种类型:
1,被泄露的内部人员:员工没有意识到他们的帐户或凭据已被泄露。攻击者可以冒充用户执行恶意活动。
2,恶意的内部人员:员工积极地试图从他们的组织窃取数据或为自己的个人利益造成伤害。
3,非恶意内部人员:员工由于疏忽行为,不遵守安全政策或程序,或不知道它们而意外造成伤害。
恶意软件(Malware)
恶意软件通常通过电子邮件和网络攻击传播。攻击者利用网络浏览器或网络应用程序等软件中的漏洞,利用恶意软件感染(infect)计算机和企业网络。恶意软件可能导致严重的数据安全事件,如数据盗窃、勒索(extortion)和网络破坏。
勒索
勒索软件攻击对各种规模的组织都构成了严重的数据安全风险。它是一种恶意软件,旨在感染设备并加密其中的数据。然后,攻击者向受害者索要赎金(ransom fee),并承诺在付款后归还或恢复数据。一些勒索软件格式传播迅速,感染整个网络,甚至可以使备份数据服务器瘫痪。
云数据存储
越来越多的组织将数据转移到云中,并采用云优先,以实现更轻松的协作和共享。但是,将数据转移到云端可能会使控制和保护数据免受数据丢失变得更加困难。云计算对远程工作过程至关重要,在远程工作过程中,用户使用个人设备和不太安全的网络访问信息。这使得意外或恶意地与未授权方共享数据变得更加容易。
关键数据安全解决方案
有各种各样的解决方案可以帮助组织保护其信息和用户。这些包括:
访问控制(Access Controls)
访问控制使组织能够应用有关谁可以访问其数字环境中的数据和系统的规则。他们通过访问控制列表(acl)来实现这一点,acl过滤对目录、文件和网络的访问,并定义允许哪些用户访问哪些信息和系统。
云数据安全
随着组织越来越多地将数据迁移到云上,他们需要一个解决方案,使他们能够:
在数据转移到云端时保护数据
保护基于云的应用
随着越来越多的员工在家工作,这对于确保动态工作流程更为重要。
防止数据丢失
数据丢失预防(Data loss prevention DLP)使组织能够检测和防止潜在的数据泄露。它还可以帮助他们检测组织外部的信息泄露和未经授权的共享,提高信息的可见性,防止敏感数据被破坏,并遵守相关的数据法规。
电子邮件安全
电子邮件安全工具允许组织检测和防止电子邮件传播的安全威胁。这对防止员工点击恶意链接、打开恶意附件、访问欺骗网站起到了重要作用。电子邮件安全解决方案还可以为电子邮件和移动消息提供端到端加密,从而确保数据安全。
密钥管理
密钥管理涉及使用加密密钥对数据进行加密。公钥和私钥用于加密和解密数据,从而实现安全的数据共享。组织还可以使用散列将任何字符串转换为另一个值,从而避免使用键。
资料安全规例
数据安全允许组织遵守行业和国家法规,包括:
一般资料保护规例(General Data Protection Regulations - GDPR)
GDPR立法是一项保护欧洲公民个人数据的法律。它旨在增强人们对其数据的控制和隐私权,并对组织如何处理这些信息进行严格控制。GDPR确保组织安全地处理个人数据,并保护其免受未经授权的处理、意外丢失、损坏和破坏。它还将被处以公司年营业额4%或2000万欧元的罚款,以金额最高者为准。
加州消费者隐私法(California Consumer Privacy Act - CCPA)
CCPA旨在让消费者对企业如何收集他们的个人数据有更多的控制权。这包括了解企业拥有哪些信息以及如何共享或使用这些信息的权利,删除这些信息的权利,选择不将这些数据出售给第三方的权利,以及在行使这些CCPA权利时避免受到歧视的权利。组织必须向消费者提供有关其隐私实践的通知。
健康保险流通与责任法案(Health Insurance Portability and Accountability Act - HIPAA)
HIPAA是一项联邦法律,旨在保护患者的健康数据在未经患者同意或不知情的情况下不被泄露。HIPAA包含隐私规则,该规则涉及患者信息的披露和使用,并确保数据得到适当保护。它还具有安全规则,该规则保护组织以电子方式创建、维护、接收或传输的所有可单独识别的健康信息。
如果不遵守规定,每次违规者最高可被处以5万美元的罚款,每年最高可被处以150万美元的罚款,并可能面临长达10年的监禁。
了解有关医疗保健数据安全的更多信息(Learn more about Healthcare Data Security. )。
萨班斯-奥克斯利法案(Sarbanes-Oxley (SOX) Act)
萨班斯-奥克斯利法案是一项为公共机构提供审计和财务监管的联邦法律。该条例保护员工、股东和公众免受会计错误和欺诈性金融活动的侵害。该法规的主要目的是规范上市公司的审计、财务报告和其他业务活动。它的指导方针也适用于其他企业、私人组织和非营利公司。
支付卡行业数据安全标准(Payment Card Industry Data Security Standard (PCI DSS))
PCI数据安全标准(PCI DSS)确保组织安全地处理、存储和传输信用卡数据。它是由美国运通(American Express)、万事达(Mastercard)和Visa等公司推出的,目的是控制和管理PCI安全标准,增强在线交易期间的账户安全性。PCI DSS由PCI安全标准委员会(PCI SSC)管理和管理。如果不遵守规定,将被处以每月最高10万美元的罚款,并暂停接受信用卡。
国际标准组织(ISO) 27001 (International Standards Organization (ISO) 27001)
ISO 27001是建立、实施、维护和改进信息安全管理体系的国际标准。它为组织提供了关于如何开发全面的安全策略并将其风险最小化的实用见解。
扫一扫
988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
