文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

什么是数据安全最主要的威胁和实践

2024-12-02 10:45

关注

黑客们正在利用这一点。例如,国际刑警组织(Interpol)和美国商会(U.S. Chamber of Commerce)都报告称,自疫情开始以来,网络攻击的发生率大幅增加。

因此,无论组织做什么,如果它处理个人身份数据(PII),提高数据安全性是2022年及以后的绝对必须。以下是关于组织数据安全的信息,包括最常见的威胁、法律遵从性要求和最佳实践。

一 为什么数据安全很重要

数据安全至关重要,因为数据泄露可能会对组织产生严重影响。首先,这通常意味着财务上的损失,根据IBM和波耐蒙研究所的数据,2020年平均数据泄露的损失为386万美元:

与数据泄露相关的最大一部分直接成本来自业务损失。然而,71%的首席营销官认为,违约的最大影响是它将影响品牌资产和品牌价值。

根据品牌评估机构Interbrand的说法,一个品牌的价值很大一部分来自“这个品牌在购买决策中所扮演的角色”。换句话说,强大的品牌资产实际上可以提高客户为你的产品或服务付费的意愿。

但这也意味着糟糕的品牌资产可能会产生相反的效果。研究表明,65%到80%的消费者会对泄露他们数据的公司失去信任,这对品牌资产是一个重大打击,数据泄露的潜在影响可能会影响未来几年的品牌。

信任缺失对品牌形象的实际影响很大程度上取决于违约的细节,以及它如何影响客户等等。但无论如何,失去信任会对你的业务产生持续多年的影响。

二 数据安全、数据保护、数据隐私

数据安全常常与类似的术语如“数据保护”和“数据隐私”相混淆,因为它们都是指保护数据的方法。然而,这些术语之间的区别在于首先保护数据的原因,以及这样做的方法:数据安全指的是保护数据免受未经授权的访问或使用,这些访问或使用可能导致数据暴露、删除或损坏。

数据安全的一个例子是,如果你的数据被攻破,可以使用加密来防止黑客使用。数据保护是指对数据进行备份或复制,以防止意外删除或丢失。

数据保护的一个例子是创建数据备份,这样即使数据损坏或者自然灾害破坏了服务器,也不会永远丢失数据。数据隐私指的是关于如何处理数据的监管问题、通知问题和使用许可问题等。数据隐私的一个例子是,通过使用Cookies获得网站访问者的数据收集同意。

三 数据安全合规和法规

大多数国家都有公司必须遵守的严格的数据安全规定。违反这些规定的后果可能导致巨额罚款。不幸的是,法规遵从性通常很难把握,因为需求会因国家而变化,或者在一些国家,如美国,需求会因地区而变化,并且与正在处理的数据类型有关。因此,你能做的最好的事情之一就是确保你身边有知识渊博的顾问,他们可以帮助你了解法律要求。

然而,以下是一些可能影响您的组织的最重要和影响最广泛的数据治理规则。

(1)《中华人民共和国数据安全法》

《数据安全法》2021年9月1日起正式施行,明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。

(2)《中华人民共和国个人信息保护法》

《中华人民共和国个人信息保护法》,自2021年11月1日起施行。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。

(3)通用数据保护监管(GDPR)

GDPR是欧盟的数据保护和隐私法。它于2016年通过并于2018年实施,以保护消费者,并统一有关国内和国际企业数据管理的规定。

GDPR要求任何处理个人数据的组织实施“适当的技术和组织措施”来保护该数据(包括获得个人存储和使用该数据的同意)。这意味着在收集用户数据时需要征得用户的同意,在数据被破坏时将数据匿名化以保护用户,并遵循在数据被破坏时通知用户的具体指导原则。

(4)健康保险流通与责任法案(HIPAA)

HIPAA是美国关于电子保护健康信息(ePHI)的数据安全和保护法。该法案于1996年通过,旨在控制和现代化个人健康数据管理,包括欺诈和盗窃保护标准,保险公司如何利用它向个人收取服务费用,等等。

对于任何处理ePHI的公司,HIPAA都需要特定的技术、物理和管理保障。违规者可被处以10年监禁,罚款从10万美元到25万美元不等。

(5)萨班斯-奥克斯利法案(SOX)

萨班斯-奥克斯利法案于2002年通过,旨在更好地保护公司投资者免受欺诈性金融活动的伤害。它是为了应对一些著名的公司会计丑闻(例如安然公司)而设立的,旨在增加对不准确或不完整的财务报告(包括篡改财务数据以某种方式呈现)的惩罚。它还包括有关管理企业财务信息获取的规定。SOX主要适用于上市公司及其披露财务信息的方式。但也有一些因素同样适用于私营企业——例如,伪造财务记录或报复举报金融犯罪的员工。

(6)联邦信息安全管理法(FISMA)

FISMA于2002年通过,以标准化美国联邦机构处理数据的方式。它要求任何联邦机构(以及任何作为分包商/服务提供商的私营企业)遵守严格的信息安全政策(FIPS 200)和审计程序,以确保它们得到遵守。

四 数据安全的最大威胁

当人们想到数据安全的威胁时,首先想到的往往是黑客入侵您的服务器。但现实是,数据安全的最大威胁往往来自内部,是员工不安全行为的结果。

例如,IBM和波耐蒙研究所(The Ponemon Institute)在2020年研究了数据泄露的根本原因,发现最主要的两个原因是泄露凭证,通常是由于弱密码和云配置错误,让公众可以访问敏感数据;数据泄露的另一个主要原因(网络钓鱼诈骗)也是正确的员工培训可以防止的事情。IBM的研究表明,教员工如何发现网络钓鱼邮件和其他社会工程攻击将有助于减少17%的数据泄露。

所有这些都说明,虽然像防火墙这样的技术对于保护您的数据免受安全威胁很重要,但您的团队的警惕可能更重要。

五 数据安全技术的类型

有几种不同的技术可以用来保护数据。尽可能多地使用这些技术,以确保所有潜在的访问点都是安全的。

(1)身份验证

身份验证是验证用户的登录凭证(密码、生物特征识别等)以确保它确实是他们的过程。它是数据安全策略中最重要的部分之一,因为它是防止未经授权访问敏感信息的第一线防御。

身份验证在概念上很简单,但从技术的角度来看,很难得到正确的规模。然而,像单点登录(SSO)、多因素身份验证(MFA)和破解密码检测等新技术使得在不牺牲用户体验的情况下更容易确保身份验证过程的安全性。

(2)加密

数据加密用一种算法来打乱敏感信息,因此如果没有解密所需的特定信息(加密密钥),就无法读取这些信息。这是一个非常重要的数据安全工具,因为它可以确保即使有人未经授权访问你的信息,他们也无法使用它。您应该始终确保您的加密密钥被安全存储,并将访问它们的权限限制在尽可能少的人。

(3)令牌化

令牌化类似于加密。然而,令牌化不是用算法打乱数据,而是用随机字符替换数据。然后,与原始数据(“令牌”)的关系存储在一个单独的受保护的数据库表中。

(4)数据屏蔽

数据掩蔽不会将数据转换为中间形式,而是通过使用代理字符“掩蔽”数据字符来实现。一旦它被送到目的地,软件就会把它倒转过来。

(5)物理访问控制

数据访问控制也是数据安全策略的重要组成部分。数字访问控制通常是通过身份验证程序(并限制访问数据的授权用户的数量)进行管理的,而物理访问控制则管理对数据所在物理位置(数据中心或内部服务器室)的访问。

物理访问管理控制包括保护措施,如钥匙卡,生物认证措施,如指纹识别和视网膜扫描,以及安全人员。

六 确保数据安全的最佳实践

全面的数据安全计划有很多活动组成,所有的工作都是实时的,以确保数据是安全的。您的计划的具体实现将取决于组织的计算系统的大小和结构。

因此,这里的内容并不意味着要一步一步地分解创建完美的数据安全所需的一切;本文概述了一些重要概念,这些概念共同为数据安全奠定了良好的基础。

(1)存储数据的安全

数据安全的一个基本部分是保护存储的数据。这里有三个最佳实践,可以提高你的数字和物理存储位置周围的安全性:

(2)为安全威胁做好准备

网络安全威胁是不断发展和变化的,因为黑客总是在安全系统中寻找漏洞。因此,数据安全不是一个“设置它,然后忘记它”的活动,而是一个日常活动。

以下是为潜在的攻击以及发生的任何攻击的后果做好准备的主要方法:

(3)删除不在使用的数据

总有一天你的数据会过时或不再使用。当这种情况发生时,清除这些数据是很重要的,因为如果这些数据被攻破,它仍然可能伤害到您的用户。

以你的用户的旧密码为例,由于65%的人在多个网站上重复使用他们的密码,如果他们没有更改所有数字账户的旧密码,那么在另一家公司,旧密码仍然可能被用来泄露他们的数据。

以下是删除未使用数据的两个最佳实践:

(4)进行合规审计

有一些标准可以帮助降低数据泄露的风险。你可能还需要遵守一些法律规定,以帮助你做同样的事情。

适用于你的企业的规章制度在很大程度上取决于行业和地点,所以你需要做足功课来评估哪些是规章制度。但是,如果您正在处理个人身份信息,那么您最好对自己进行审计,并确保您的业务符合要求。这不仅能让你避免法律上的麻烦,还能显著提高数据的安全性。

(5)不要忘记移动数据安全

根据McAfee的《2020年第一季度移动威胁报告》,仅在2018年上半年,移动攻击就达到了1.5亿次,2019年又增加了30%。随着移动网络攻击的增加,移动安全成为数据安全策略中更为关键的一部分。

你可以采取以下几个步骤来提高移动数据的安全性:

然而,请记住,移动数据安全不仅仅适用于智能手机和平板电脑。现在,它还包括其他移动设备,如智能手表和可穿戴技术、视频会议工具等。

七 数据安全取决于人

企业的员工现在比以往任何时候都是数据安全的前线。因此,鼓励正确的行为是至关重要的,以确保不会发生违反业务要求。

最好的方法之一就是为团队创造更好的用户体验。简化的用户体验让他们更容易遵循网络安全的最佳实践,比如为每个应用程序使用唯一的密码,或使用更长、更复杂的密码。

 

来源:数据驱动智能内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯