数据安全管理从哪里开始

admin 2023年12月5日17:48:46评论8 views字数 5759阅读19分11秒阅读模式

在当今的混合环境中,数据安全变得更加复杂。协调的安全管理对于一系列关键任务至关重要,包括确保每个用户都拥有对数据和应用程序的正确访问权限,并且不会过度暴露敏感数据。

欲要保护保护数据安全,先从风险管理开始。

使用以下五个步骤来创建全面的数据风险评估。

1. 盘点敏感数据

检查端点、云服务、存储介质和其他位置,以查找并记录敏感数据的所有实例。数据清单应包括可能影响风险要求的任何特征。例如,存储数据的地理位置会影响适用的法律和法规。确定谁负责敏感数据的每个实例,以便您可以根据需要与他们进行交互。

2. 为每个数据实例分配数据分类

每个组织都应该已经为所有敏感数据定义了数据分类,例如“受保护的健康信息”和“个人身份信息” 这些定义应表明对于每种敏感数据类型哪些安全和隐私控制是强制性的和推荐的。

即使数据已经有分类,也要定期重新检查。数据的性质可能会随着时间的推移而发生变化,并且可能会出现适用于相关数据的新分类。

3. 确定要评估的敏感数据的优先级

组织可能拥有如此多的敏感数据,以至于在每次评估期间审查所有数据是不可行的。如有必要,优先考虑最敏感的数据、要求最严格的数据或未经评估时间最长的数据。

4. 检查所有相关的安全和隐私控制

审核在使用、存储和传输敏感数据时保护敏感数据的控制措施常见的审核步骤包括以下内容:

  • 验证最小权限原则。确认只有必要的人类和非人类用户、服务、管理员和第三方(例如业务合作伙伴、承包商和供应商)才能访问敏感数据,并且他们只有所需的访问权限,例如只读、读取-写等等

  • 确保积极执行所有限制数据访问的策略。例如,组织可能会根据以下因素限制对某些敏感数据的访问:

    • 用户的位置

    • 数据的位置

    • 一天中的时间

    • 星期几

    • 用户的设备类型

  • 确保使用所有其他必要的安全和隐私控制措施。降低风险的常用工具包括:

    • 数据丢失防护软件

    • 防火墙

    • 加密

    • 多因素身份验证

    • 用户和实体行为分析

  • 识别数据保留违规行为。确定是否存在任何应销毁的数据以符合数据保留策略

5. 记录所有安全和隐私控制缺陷

虽然识别安全和隐私缺陷属于数据风险评估的范围,但修复它们却不属于数据风险评估的范围。然而,评估包含以下内容是合理的:

  • 每个缺陷的相对优先级

  • 解决每个缺陷的建议行动方案

这些建议理想地为实现更好的数据安全性提供了路线图。风险矩阵可以帮助根据潜在后果的严重性和发生的可能性来组织问题并确定优先级。

如何使用数据风险评估结果

企业领导者应制定策略来减轻数据风险评估中发现的安全和隐私缺陷,同时考虑补救建议并优先考虑高风险问题。最终,数据风险评估的输出应该成为组织风险管理缓解计划的主要输入,从而实现更明智的决策,从而有助于改善数据保护。

什么是数据安全管理?

数据安全管理涉及各种技术、流程和实践,以确保业务数据安全且未经授权方无法访问。数据安全管理系统专注于保护敏感数据,例如个人信息或关键业务知识产权。例如,数据安全管理可能涉及创建信息安全策略、识别安全风险以及发现和评估 IT 系统的安全威胁。另一个关键实践是与整个组织的员工分享有关数据安全最佳实践的知识,例如,在打开电子邮件附件时要小心谨慎。

数据安全威胁及其管理方法

数据安全面临许多不同的威胁,而且它们在不断演变,因此没有一个列表是权威的。但您需要密切关注并向用户传授以下最常见的威胁:

  • 恶意软件——恶意软件是为了获得未经授权的访问或造成损害而开发的恶意软件。一旦恶意软件感染一台计算机,它就可以通过网络快速传播。恶意软件有多种形式,如病毒、蠕虫、特洛伊木马、间谍软件和犯罪软件。恶意软件通常会利用受害者的访问权限进行传播,因此将每个用户的权限限制为仅访问他们完成工作所需的数据和系统至关重要。

  • DDoS 攻击— 分布式拒绝服务攻击试图使您的服务器无法使用。为了降低风险,请考虑投资入侵检测系统 (IDS) 或入侵防御系统 (IPS),以检查网络流量并记录潜在的恶意活动。

  • 网络钓鱼诈骗——这种常见的社会工程技术试图诱骗用户打开网络钓鱼电子邮件中的恶意附件。解决方案包括建立以网络安全为中心的文化,并使用工具自动阻止垃圾邮件和网络钓鱼消息,使用户永远不会看到它们。

  • 黑客——这是上述攻击背后的攻击者的总称。

  • 第三方— 缺乏足够网络安全性的合作伙伴和承包商可能会使互连系统容易受到攻击,或者他们可能会直接滥用在 IT 环境中授予的权限。

  • 恶意内部人员——一些员工故意窃取数据或破坏系统,例如,利用这些信息建立竞争企业、在黑市上出售或因实际或感知的问题向雇主报复。

  • 错误— 用户和管理员也可能会犯一些无辜但代价高昂的错误,例如将文件复制到个人设备、意外地将包含敏感数据的文件附加到电子邮件或将机密信息发送给错误的收件人。

数据保护最佳实践

要构建分层防御策略,了解您的网络安全风险以及您打算如何减少这些风险至关重要。拥有一种方法来衡量您的工作对业务的影响也很重要,这样您就可以确保进行适当的安全投资。

以下操作和技术最佳实践可以帮助您降低数据安全风险:

运营最佳实践

  • 使用合规性要求作为网络安全基础。简而言之,合规法规旨在迫使企业防御重大威胁并保护敏感数据。尽管满足合规性要求不足以实现完整的数据安全,但它将帮助您开始走上风险管理和数据保护的正确道路。

  • 制定明确的网络安全政策。创建一项政策,明确解释如何处理敏感数据以及违反数据保护的后果。确保所有员工阅读并理解该政策将降低关键数据因人为行为而损坏或丢失的风险。

  • 构建并测试备份和恢复计划。公司必须为一系列违规情况做好准备,从轻微的数据丢失到数据中心的完全破坏。确保关键数据得到加密、备份和离线存储。设置可加速恢复的角色和程序,并定期测试计划的每个部分。

  • 制定自带设备 (BYOD) 政策。允许用户使用其个人设备访问您的网络会增加网络安全风险。因此,创建平衡安全问题与便利性和生产力的流程和规则。例如,您可以要求用户保持其软件最新。请记住,个人设备比公司设备更难跟踪。

  • 提供定期的安全培训。帮助您的员工识别并避免勒索软件攻击、网络钓鱼诈骗以及对您的数据和 IT 资源的其他威胁。

  • 将保留网络安全人才作为首要任务。如今,网络安全专业人员非常稀缺,因此请采取措施留住您拥有的人才。投资自动化工具来消除平凡的日常任务,这样他们就可以专注于实施强大的数据安全技术来应对不断变化的网络威胁。

    技术最佳实践

    • 根据数据的价值和敏感性对数据进行分类。全面盘点您拥有的所有数据(包括本地数据和云端数据),并对其进行分类。与大多数数据安全方法一样,数据分类在自动化时效果最佳。不要依赖忙碌的员工和容易出错的手动流程,而是寻找一种能够准确可靠地对信用卡号码或医疗记录等敏感数据进行分类的解决方案。

    • 定期进行权利审查。对数据和系统的访问应基于最小权限原则。由于用户角色、业务需求和 IT 环境不断变化,因此请与数据所有者合作定期审查权限。

    • 运行漏洞评估主动寻找安全漏洞并采取措施减少遭受攻击的风险。

    • 实施强密码策略。要求用户每季度更改一次凭据并使用多重身份验证。由于管理凭据更强大,因此要求至少每月更改一次。此外,不要使用共享的管理员密码,因为这使得个人无法对其行为负责。

    数据安全管理从哪里开始

    数据安全工具

    基本数据安全工具

    数据安全管理需要以下数据安全工具:

    • 防火墙— 防火墙可防止不良流量进入网络。根据组织的防火墙策略,防火墙可能完全禁止某些流量或所有流量,或者可能对部分或全部流量执行验证。

    • 备份和恢复— 如前所述,您需要可靠的备份和恢复,以防数据被意外或故意更改或删除。

    • 防病毒软件— 通过检测和阻止可能窃取、修改或损坏敏感数据的特洛伊木马、rootkit 和病毒,提供了关键的第一道防线。

    • IT审核— 审核系统中的所有更改并尝试访问关键数据,使您能够主动发现问题、及时调查事件并确保个人责任。

    先进的安全工具

    以下类型的解决方案可解决更具体的问题:

    • 数据发现和分类分级——数据发现技术扫描数据存储库以定位所有数据。数据分类使用发现结果并使用特定标签标记敏感数据,以便您可以根据企业数据对组织的价值来保护企业数据,并降低数据不当泄露的风险。

    • 数据加密——加密使数据对恶意行为者来说毫无用处。基于软件的数据加密可在数据写入 SSD 之前保护数据。在基于硬件的加密中,单独的处理器专用于加密和解密,以保护便携式设备(例如笔记本电脑或 USB 驱动器)上的敏感数据。

    • 数据丢失防护 (DLP) — 这些数据安全产品和技术有助于防止敏感或关键信息离开公司网络,从而有助于防止其丢失、滥用或被未经授权的人员访问。

    • 动态数据屏蔽 (DDM) — DDM 支持实时数据屏蔽,以便在不更改原始数据的情况下限制敏感内容向非特权用户的暴露。大数据项目对 DDM 的兴趣尤其高。

    • 用户和实体行为分析 (UEBA) — UEBA 是一项复杂的技术,用于在正常活动影响安全或业务连续性之前确定正常活动的基线并发现可疑偏差。UEBA 可以帮助您检测多种类型的威胁,包括内部威胁、黑客、恶意软件和勒索软件。

    >>>错与罚<<<

    公安部重要提醒!“两高一弱”问题

    涉案流水超60亿!内蒙古网警破获特大跨境网络赌博案

    新生儿信息遭泄露,一案双查!

    疯狂吸金!普通视频一夜新增300万播放量?

    公安部公布依法惩治网络暴力违法犯罪10起典型案例

    同城美女相邀约?其实是双簧陷阱!

    成都网警破获一起编造传播证券市场网络谣言案

    涉黄“小卡片”!扫码后到底有什么“套路”?

    西藏网警查处一起传播淫秽物品牟利案

    生活中要警惕:不要随意蹭免费WIFI!

    公安部督办非法机顶盒大案告破:涉案2亿元!

    家长必读:这些方法可以有效保护孩子上网安全

    “内鬼”盗卖数据,某大药房被罚!

    被遗忘的网站,潜藏着网络安全隐患

    紧急提示!“京东白条”诈骗又双叒来了

    网络安全保护不是儿戏,违法违规必被查处

    北京市网信办对三家企业未履行数据安全保护义务作出行政处罚

    网安局@各学校,赶快检查一下你们的路由器安全吗?

    倒闭跑路还主动退费?这套路真是防不胜防

    背调时需要的无犯罪记录证明怎么开?

    湖南网安适用《数据安全法》对多个单位作出行政处罚

    由上海政务系统数据泄露引发的一点点感慨
    个人信息保护不当,宁夏6家物业公司被处罚
    网络安全保护不是儿戏,违法违规必被查处
    罚款8万!某科技公司因数据泄漏被依法处罚
    近2万条学员信息泄露!该抓的抓,该罚的罚!
    信息系统被入侵,单位主体也得担责!
    警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙
    张家界警方全链条团灭非法侵入1600余台计算机系统终端案!
    警方提醒!多名百万网红被抓,54人落网!
    不履行数据安全保护义务,这些公司企业被罚!
    “一案双查”!网络设备产品服务商这项义务要履行!


    >>>等级保护<<<
    开启等级保护之路:GB 17859网络安全等级保护上位标准
    网络安全等级保护:什么是等级保护?
    网络安全等级保护:等级保护工作从定级到备案
    网络安全等级保护:等级测评中的渗透测试应该如何做
    网络安全等级保护:等级保护测评过程及各方责任
    网络安全等级保护:政务计算机终端核心配置规范思维导图
    网络安全等级保护:信息技术服务过程一般要求
    网络安全等级保护:浅谈物理位置选择测评项
    闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
    闲话等级保护:什么是网络安全等级保护工作的内涵?
    闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
    闲话等级保护:测评师能力要求思维导图
    闲话等级保护:应急响应计划规范思维导图
    闲话等级保护:浅谈应急响应与保障
    闲话等级保护:如何做好网络总体安全规划
    闲话等级保护:如何做好网络安全设计与实施
    闲话等级保护:要做好网络安全运行与维护
    闲话等级保护:人员离岗管理的参考实践

    信息安全服务与信息系统生命周期的对应关系

    >>>工控安全<<<
    工业控制系统安全:信息安全防护指南
    工业控制系统安全:工控系统信息安全分级规范思维导图
    工业控制系统安全:DCS防护要求思维导图
    工业控制系统安全:DCS管理要求思维导图
    工业控制系统安全:DCS评估指南思维导图
    工业控制安全:工业控制系统风险评估实施指南思维导图
    工业控制系统安全:安全检查指南思维导图(内附下载链接)

    业控制系统安全:DCS风险与脆弱性检测要求思维导图

    >>>数据安全<<<
    数据治理和数据安全
    数据安全风险评估清单
    成功执行数据安全风险评估的3个步骤
    美国关键信息基础设施数据泄露的成本
    备份:网络和数据安全的最后一道防线
    数据安全:数据安全能力成熟度模型
    数据安全知识:什么是数据保护以及数据保护为何重要?
    信息安全技术:健康医疗数据安全指南思维导图
    金融数据安全:数据安全分级指南思维导图
    金融数据安全:数据生命周期安全规范思维导图

    什么是数据安全态势管理 (DSPM)?

    >>>供应链安全<<<
    美国政府为客户发布软件供应链安全指南
    OpenSSF 采用微软内置的供应链安全框架
    供应链安全指南:了解组织为何应关注供应链网络安全
    供应链安全指南:确定组织中的关键参与者和评估风险
    供应链安全指南:了解关心的内容并确定其优先级
    供应链安全指南:为方法创建关键组件
    供应链安全指南:将方法整合到现有供应商合同中
    供应链安全指南:将方法应用于新的供应商关系
    供应链安全指南:建立基础,持续改进。
    思维导图:ICT供应链安全风险管理指南思维导图

    英国的供应链网络安全评估

    >>>其他<<<
    网络安全十大安全漏洞
    网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
    网络安全等级保护:应急响应计划规范思维导图
    安全从组织内部人员开始
    VMware 发布9.8分高危漏洞补丁
    影响2022 年网络安全的五个故事
    2023年的4大网络风险以及如何应对
    网络安全知识:物流业的网络安全
    网络安全知识:什么是AAA(认证、授权和记账)?
    美国白宫发布国家网络安全战略
    开源代码带来的 10 大安全和运营风险
    不能放松警惕的勒索软件攻击
    10种防网络钓鱼攻击的方法
    5年后的IT职业可能会是什么样子?
    累不死的IT加班人:网络安全倦怠可以预防吗?
    网络风险评估是什么以及为什么需要
    美国关于乌克兰战争计划的秘密文件泄露
    五角大楼调查乌克兰绝密文件泄露事件
    如何减少制造攻击面的暴露
    来自不安全的经济、网络犯罪和内部威胁三重威胁
    2023 年OWASP Top 10 API 安全风险
    什么是渗透测试,能防止数据泄露吗?
    SSH 与 Telnet 有何不同?
    管理组织内使用的“未知资产”:影子IT
    最新更新:全国网络安全等级测评与检测评估机构目录(9月15日更新)

    原文始发于微信公众号(祺印说信安):数据安全管理从哪里开始

    • 左青龙
    • 微信扫一扫
    • weinxin
    • 右白虎
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2023年12月5日17:48:46
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                     数据安全管理从哪里开始https://cn-sec.com/archives/2269059.html

    发表评论

    匿名网友 填写信息