数据作为企业的核心资产,其重要性不言而喻。但近年来,业界屡屡曝出数据泄露事件,典型例子如2018年3月,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。4月,Facebook通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。
随着大数据时代的来临,企业每天都会处理大量的数据,比如客户的信用卡信息、购物记录等。数据保护以及企业如何处理、存储敏感数据成为焦点话题,企业有义务保护这些数据不受侵犯,并且遵守数据隐私相关的法律法规,让客户或者顾客相信,他们的敏感信息得到了保护,即数据安全的问题。
具体来说,数据安全是一套标准和技术,保护数据免受故意或意外的破坏、修改或泄露。企业可以使用的保证数据安全的标准和技术包括:管理控制、物理安全、逻辑控制、企业标准,以及其他限制对未经授权或恶意用户或进程前来访问的安全技术。
数据泄露可能导致诉讼案件和巨额罚款,更不用说对企业声誉的损害。保护数据不受安全威胁的重要性在今天比以往任何时候都更加重要。IBM发现,每条受损的数据记录都会给公司带来148美元的收入损失和声誉损失。
数据安全的核心要素是机密性(Confidentiality)、完整性(Integrity)和可用性(Avalability)。机密性确保只有授权的个人才能访问数据;完整性确保信息的可靠性和准确性;可用性确保数据可用且可访问,以满足业务需求。
企业应该注意的数据安全问题包括:
主要的保护数据的方法
身份验证
认证和授权是提高数据安全性和防止数据泄露的方法之一。身份验证技术验证用户的凭证是否与数据库中存储的凭证匹配。标准身份验证过程包括使用多种方法组合来识别授权用户,如密码、PINS、安全令牌、刷卡或生物识别等。
通过单点登录技术可以简化身份验证。该技术使用一个安全令牌允许经过身份验证的用户访问多个系统、平台和应用程序。授权技术决定了经过认证的用户可以在网站或服务器上做什么或看到什么。
访问控制
根据安全等级的不同,访问控制系统可以具体分为:
备份和恢复
优先考虑数据安全性还需要制定计划,以便在发生系统故障、灾难、数据损坏或破坏时访问公司和客户的数据。数据备份需要复制数据并将其存储在单独的系统或介质(如磁带、磁盘或云)上。然后可以使用备份来恢复丢失的数据。
加密
数据加密软件通过使用一种算法(称为密码)和一个加密密钥将普通文本转换为加密的密文,有效地增强了数据安全性。对于未授权的人,密码数据将不可读。只有具有授权密钥的用户才能解密这些数据。加密用于保护存储的数据(称为静态数据)和在数据库、移动设备和云(称为传输中的数据)之间交换的数据。加密密钥必须得到安全管理,包括保护关键管理系统、管理安全的离线加密备份和限制访问。
数据屏蔽
数据屏蔽软件通过用代理字符模糊字母和数字来隐藏数据,以保护数据不被外部恶意源泄露,内部人员也不会在无意识的情况下使用这些数据。例如,信用卡号码的前12位数字可能在数据库中被隐藏。只有在授权用户获得数据时,软件才会将数据更改为原始形式。
数据实时警报
通常情况下,企业需要几个月的时间才能发现一个漏洞。企业经常通过客户或第三方而不是IT部门发现漏洞。通过实时监控数据活动和可疑行为,企业可以更快地发现导致意外破坏、丢失、更改、未经授权泄露或访问个人数据的安全漏洞。
删除和擦除
当不再需要电子数据并且必须从系统中永久清除时,擦除可以覆盖该数据,使其不可恢复。而删除是一个简单的隐藏数据的过程,以便于检索。
数据风险评估
数据风险评估帮助企业识别其敏感数据是否过度暴露,并提供可靠和可重复的步骤,来优先处理和修复严重的安全风险。这个流程从标识通过全局组、陈旧数据和/或不一致权限访问的敏感数据开始。风险评估总结重要的发现,告知数据漏洞,提供每个漏洞的详细解释,以及优先修复建议。
近十年,企业的数据观念发生了转变。以前,企业对数据总是认为越多越好,但是永远无法提前确定用这些数据来做什么。如今,过多的数据成了一种负担。数据泄露、数百万美元的损失或罚款带来的威胁,让企业产生并强化了这样的认知:收集任何超出最低数量的数据都极其危险。为此,企业遵循数据最小化的原则,并从业务角度审查所有数据收集需求和过程。
