在当今的混合环境中,数据安全变得更加复杂。协调的安全管理对于一系列关键任务至关重要,包括确保每个用户都拥有对数据和应用程序的正确访问权限,并且不会过度暴露敏感数据。
欲要保护保护数据安全,先从风险管理开始。
使用以下五个步骤来创建全面的数据风险评估。
1. 盘点敏感数据
检查端点、云服务、存储介质和其他位置,以查找并记录敏感数据的所有实例。数据清单应包括可能影响风险要求的任何特征。例如,存储数据的地理位置会影响适用的法律和法规。确定谁负责敏感数据的每个实例,以便您可以根据需要与他们进行交互。
2. 为每个数据实例分配数据分类
每个组织都应该已经为所有敏感数据定义了数据分类,例如“受保护的健康信息”和“个人身份信息” 。这些定义应表明对于每种敏感数据类型哪些安全和隐私控制是强制性的和推荐的。
即使数据已经有分类,也要定期重新检查。数据的性质可能会随着时间的推移而发生变化,并且可能会出现适用于相关数据的新分类。
3. 确定要评估的敏感数据的优先级
组织可能拥有如此多的敏感数据,以至于在每次评估期间审查所有数据是不可行的。如有必要,优先考虑最敏感的数据、要求最严格的数据或未经评估时间最长的数据。
4. 检查所有相关的安全和隐私控制
审核在使用、存储和传输敏感数据时保护敏感数据的控制措施。常见的审核步骤包括以下内容:
-
验证最小权限原则。确认只有必要的人类和非人类用户、服务、管理员和第三方(例如业务合作伙伴、承包商和供应商)才能访问敏感数据,并且他们只有所需的访问权限,例如只读、读取-写等等
-
确保积极执行所有限制数据访问的策略。例如,组织可能会根据以下因素限制对某些敏感数据的访问:
-
用户的位置
-
数据的位置
-
一天中的时间
-
星期几
-
用户的设备类型
-
确保使用所有其他必要的安全和隐私控制措施。降低风险的常用工具包括:
-
数据丢失防护软件
-
防火墙
-
加密
-
多因素身份验证
-
用户和实体行为分析
-
识别数据保留违规行为。确定是否存在任何应销毁的数据以符合数据保留策略。
5. 记录所有安全和隐私控制缺陷
虽然识别安全和隐私缺陷属于数据风险评估的范围,但修复它们却不属于数据风险评估的范围。然而,评估包含以下内容是合理的:
-
每个缺陷的相对优先级
-
解决每个缺陷的建议行动方案
这些建议理想地为实现更好的数据安全性提供了路线图。风险矩阵可以帮助根据潜在后果的严重性和发生的可能性来组织问题并确定优先级。
如何使用数据风险评估结果
企业领导者应制定策略来减轻数据风险评估中发现的安全和隐私缺陷,同时考虑补救建议并优先考虑高风险问题。最终,数据风险评估的输出应该成为组织风险管理和缓解计划的主要输入,从而实现更明智的决策,从而有助于改善数据保护。
什么是数据安全管理?
数据安全管理涉及各种技术、流程和实践,以确保业务数据安全且未经授权方无法访问。数据安全管理系统专注于保护敏感数据,例如个人信息或关键业务知识产权。例如,数据安全管理可能涉及创建信息安全策略、识别安全风险以及发现和评估 IT 系统的安全威胁。另一个关键实践是与整个组织的员工分享有关数据安全最佳实践的知识,例如,在打开电子邮件附件时要小心谨慎。
数据安全威胁及其管理方法
数据安全面临许多不同的威胁,而且它们在不断演变,因此没有一个列表是权威的。但您需要密切关注并向用户传授以下最常见的威胁:
-
恶意软件——恶意软件是为了获得未经授权的访问或造成损害而开发的恶意软件。一旦恶意软件感染一台计算机,它就可以通过网络快速传播。恶意软件有多种形式,如病毒、蠕虫、特洛伊木马、间谍软件和犯罪软件。恶意软件通常会利用受害者的访问权限进行传播,因此将每个用户的权限限制为仅访问他们完成工作所需的数据和系统至关重要。
-
DDoS 攻击— 分布式拒绝服务攻击试图使您的服务器无法使用。为了降低风险,请考虑投资入侵检测系统 (IDS) 或入侵防御系统 (IPS),以检查网络流量并记录潜在的恶意活动。
-
网络钓鱼诈骗——这种常见的社会工程技术试图诱骗用户打开网络钓鱼电子邮件中的恶意附件。解决方案包括建立以网络安全为中心的文化,并使用工具自动阻止垃圾邮件和网络钓鱼消息,使用户永远不会看到它们。
-
黑客——这是上述攻击背后的攻击者的总称。
-
第三方— 缺乏足够网络安全性的合作伙伴和承包商可能会使互连系统容易受到攻击,或者他们可能会直接滥用在 IT 环境中授予的权限。
-
恶意内部人员——一些员工故意窃取数据或破坏系统,例如,利用这些信息建立竞争企业、在黑市上出售或因实际或感知的问题向雇主报复。
-
错误— 用户和管理员也可能会犯一些无辜但代价高昂的错误,例如将文件复制到个人设备、意外地将包含敏感数据的文件附加到电子邮件或将机密信息发送给错误的收件人。
数据保护最佳实践
要构建分层防御策略,了解您的网络安全风险以及您打算如何减少这些风险至关重要。拥有一种方法来衡量您的工作对业务的影响也很重要,这样您就可以确保进行适当的安全投资。
以下操作和技术最佳实践可以帮助您降低数据安全风险:
运营最佳实践
-
使用合规性要求作为网络安全基础。简而言之,合规法规旨在迫使企业防御重大威胁并保护敏感数据。尽管满足合规性要求不足以实现完整的数据安全,但它将帮助您开始走上风险管理和数据保护的正确道路。
-
制定明确的网络安全政策。创建一项政策,明确解释如何处理敏感数据以及违反数据保护的后果。确保所有员工阅读并理解该政策将降低关键数据因人为行为而损坏或丢失的风险。
-
构建并测试备份和恢复计划。公司必须为一系列违规情况做好准备,从轻微的数据丢失到数据中心的完全破坏。确保关键数据得到加密、备份和离线存储。设置可加速恢复的角色和程序,并定期测试计划的每个部分。
-
制定自带设备 (BYOD) 政策。允许用户使用其个人设备访问您的网络会增加网络安全风险。因此,创建平衡安全问题与便利性和生产力的流程和规则。例如,您可以要求用户保持其软件最新。请记住,个人设备比公司设备更难跟踪。
-
提供定期的安全培训。帮助您的员工识别并避免勒索软件攻击、网络钓鱼诈骗以及对您的数据和 IT 资源的其他威胁。
-
将保留网络安全人才作为首要任务。如今,网络安全专业人员非常稀缺,因此请采取措施留住您拥有的人才。投资自动化工具来消除平凡的日常任务,这样他们就可以专注于实施强大的数据安全技术来应对不断变化的网络威胁。
技术最佳实践
-
根据数据的价值和敏感性对数据进行分类。全面盘点您拥有的所有数据(包括本地数据和云端数据),并对其进行分类。与大多数数据安全方法一样,数据分类在自动化时效果最佳。不要依赖忙碌的员工和容易出错的手动流程,而是寻找一种能够准确可靠地对信用卡号码或医疗记录等敏感数据进行分类的解决方案。
-
定期进行权利审查。对数据和系统的访问应基于最小权限原则。由于用户角色、业务需求和 IT 环境不断变化,因此请与数据所有者合作定期审查权限。
-
运行漏洞评估。主动寻找安全漏洞并采取措施减少遭受攻击的风险。
-
实施强密码策略。要求用户每季度更改一次凭据并使用多重身份验证。由于管理凭据更强大,因此要求至少每月更改一次。此外,不要使用共享的管理员密码,因为这使得个人无法对其行为负责。
数据安全工具
基本数据安全工具
数据安全管理需要以下数据安全工具:
-
防火墙— 防火墙可防止不良流量进入网络。根据组织的防火墙策略,防火墙可能完全禁止某些流量或所有流量,或者可能对部分或全部流量执行验证。
-
备份和恢复— 如前所述,您需要可靠的备份和恢复,以防数据被意外或故意更改或删除。
-
防病毒软件— 通过检测和阻止可能窃取、修改或损坏敏感数据的特洛伊木马、rootkit 和病毒,提供了关键的第一道防线。
-
IT审核— 审核系统中的所有更改并尝试访问关键数据,使您能够主动发现问题、及时调查事件并确保个人责任。
先进的安全工具
以下类型的解决方案可解决更具体的问题:
-
数据发现和分类分级——数据发现技术扫描数据存储库以定位所有数据。数据分类使用发现结果并使用特定标签标记敏感数据,以便您可以根据企业数据对组织的价值来保护企业数据,并降低数据不当泄露的风险。
-
数据加密——加密使数据对恶意行为者来说毫无用处。基于软件的数据加密可在数据写入 SSD 之前保护数据。在基于硬件的加密中,单独的处理器专用于加密和解密,以保护便携式设备(例如笔记本电脑或 USB 驱动器)上的敏感数据。
-
数据丢失防护 (DLP) — 这些数据安全产品和技术有助于防止敏感或关键信息离开公司网络,从而有助于防止其丢失、滥用或被未经授权的人员访问。
-
动态数据屏蔽 (DDM) — DDM 支持实时数据屏蔽,以便在不更改原始数据的情况下限制敏感内容向非特权用户的暴露。大数据项目对 DDM 的兴趣尤其高。
-
用户和实体行为分析 (UEBA) — UEBA 是一项复杂的技术,用于在正常活动影响安全或业务连续性之前确定正常活动的基线并发现可疑偏差。UEBA 可以帮助您检测多种类型的威胁,包括内部威胁、黑客、恶意软件和勒索软件。
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):数据安全管理从哪里开始
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论