數(shù)據(jù)安全一直都很重要。但由于目前的疫情危機(jī)，越來(lái)越多的人開(kāi)始遠(yuǎn)程工作，云計(jì)算的使用量也隨之飆升，未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)的機(jī)會(huì)比以往任何時(shí)候都要多。

黑客們正在利用這一點(diǎn)。例如，國(guó)際刑警組織(Interpol)和美國(guó)商會(huì)(U.S. Chamber of Commerce)都報(bào)告稱(chēng)，自疫情開(kāi)始以來(lái)，網(wǎng)絡(luò)攻擊的發(fā)生率大幅增加。

因此，無(wú)論組織做什么，如果它處理個(gè)人身份數(shù)據(jù)(PII)，提高數(shù)據(jù)安全性是2022年及以后的絕對(duì)必須。以下是關(guān)于組織數(shù)據(jù)安全的信息，包括最常見(jiàn)的威脅、法律遵從性要求和最佳實(shí)踐。

一 為什么數(shù)據(jù)安全很重要

數(shù)據(jù)安全至關(guān)重要，因?yàn)閿?shù)據(jù)泄露可能會(huì)對(duì)組織產(chǎn)生嚴(yán)重影響。首先，這通常意味著財(cái)務(wù)上的損失，根據(jù)IBM和波耐蒙研究所的數(shù)據(jù)，2020年平均數(shù)據(jù)泄露的損失為386萬(wàn)美元:

與數(shù)據(jù)泄露相關(guān)的最大一部分直接成本來(lái)自業(yè)務(wù)損失。然而，71%的首席營(yíng)銷(xiāo)官認(rèn)為，違約的最大影響是它將影響品牌資產(chǎn)和品牌價(jià)值。

根據(jù)品牌評(píng)估機(jī)構(gòu)Interbrand的說(shuō)法，一個(gè)品牌的價(jià)值很大一部分來(lái)自“這個(gè)品牌在購(gòu)買(mǎi)決策中所扮演的角色”。換句話說(shuō)，強(qiáng)大的品牌資產(chǎn)實(shí)際上可以提高客戶(hù)為你的產(chǎn)品或服務(wù)付費(fèi)的意愿。

但這也意味著糟糕的品牌資產(chǎn)可能會(huì)產(chǎn)生相反的效果。研究表明，65%到80%的消費(fèi)者會(huì)對(duì)泄露他們數(shù)據(jù)的公司失去信任，這對(duì)品牌資產(chǎn)是一個(gè)重大打擊，數(shù)據(jù)泄露的潛在影響可能會(huì)影響未來(lái)幾年的品牌。

信任缺失對(duì)品牌形象的實(shí)際影響很大程度上取決于違約的細(xì)節(jié)，以及它如何影響客戶(hù)等等。但無(wú)論如何，失去信任會(huì)對(duì)你的業(yè)務(wù)產(chǎn)生持續(xù)多年的影響。

二 數(shù)據(jù)安全、數(shù)據(jù)保護(hù)、數(shù)據(jù)隱私

數(shù)據(jù)安全常常與類(lèi)似的術(shù)語(yǔ)如“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)隱私”相混淆，因?yàn)樗鼈兌际侵副Ｗo(hù)數(shù)據(jù)的方法。然而，這些術(shù)語(yǔ)之間的區(qū)別在于首先保護(hù)數(shù)據(jù)的原因，以及這樣做的方法:數(shù)據(jù)安全指的是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)或使用，這些訪問(wèn)或使用可能導(dǎo)致數(shù)據(jù)暴露、刪除或損壞。

數(shù)據(jù)安全的一個(gè)例子是，如果你的數(shù)據(jù)被攻破，可以使用加密來(lái)防止黑客使用。數(shù)據(jù)保護(hù)是指對(duì)數(shù)據(jù)進(jìn)行備份或復(fù)制，以防止意外刪除或丟失。

數(shù)據(jù)保護(hù)的一個(gè)例子是創(chuàng)建數(shù)據(jù)備份，這樣即使數(shù)據(jù)損壞或者自然災(zāi)害破壞了服務(wù)器，也不會(huì)永遠(yuǎn)丟失數(shù)據(jù)。數(shù)據(jù)隱私指的是關(guān)于如何處理數(shù)據(jù)的監(jiān)管問(wèn)題、通知問(wèn)題和使用許可問(wèn)題等。數(shù)據(jù)隱私的一個(gè)例子是，通過(guò)使用Cookies獲得網(wǎng)站訪問(wèn)者的數(shù)據(jù)收集同意。

三 數(shù)據(jù)安全合規(guī)和法規(guī)

大多數(shù)國(guó)家都有公司必須遵守的嚴(yán)格的數(shù)據(jù)安全規(guī)定。違反這些規(guī)定的后果可能導(dǎo)致巨額罰款。不幸的是，法規(guī)遵從性通常很難把握，因?yàn)樾枨髸?huì)因國(guó)家而變化，或者在一些國(guó)家，如美國(guó)，需求會(huì)因地區(qū)而變化，并且與正在處理的數(shù)據(jù)類(lèi)型有關(guān)。因此，你能做的最好的事情之一就是確保你身邊有知識(shí)淵博的顧問(wèn)，他們可以幫助你了解法律要求。

然而，以下是一些可能影響您的組織的最重要和影響最廣泛的數(shù)據(jù)治理規(guī)則。

(1)《中華人民共和國(guó)數(shù)據(jù)安全法》

《數(shù)據(jù)安全法》2021年9月1日起正式施行，明確數(shù)據(jù)安全主管機(jī)構(gòu)的監(jiān)管職責(zé)，建立健全數(shù)據(jù)安全協(xié)同治理體系，提高數(shù)據(jù)安全保障能力，促進(jìn)數(shù)據(jù)出境安全和自由流動(dòng)，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，讓數(shù)據(jù)安全有法可依、有章可循，為數(shù)字化經(jīng)濟(jì)的安全健康發(fā)展提供了有力支撐。

(2)《中華人民共和國(guó)個(gè)人信息保護(hù)法》

《中華人民共和國(guó)個(gè)人信息保護(hù)法》，自2021年11月1日起施行。作為我國(guó)首部針對(duì)個(gè)人信息保護(hù)的專(zhuān)門(mén)性立法，《個(gè)人信息保護(hù)法》構(gòu)建了完整的個(gè)人信息保護(hù)框架，對(duì)個(gè)人信息處理規(guī)則、個(gè)人信息跨境傳輸、個(gè)人信息處理活動(dòng)的權(quán)利、信息處理者的義務(wù)、監(jiān)管部門(mén)職責(zé)以及罰則等作出了全面的規(guī)定。

(3)通用數(shù)據(jù)保護(hù)監(jiān)管(GDPR)

GDPR是歐盟的數(shù)據(jù)保護(hù)和隱私法。它于2016年通過(guò)并于2018年實(shí)施，以保護(hù)消費(fèi)者，并統(tǒng)一有關(guān)國(guó)內(nèi)和國(guó)際企業(yè)數(shù)據(jù)管理的規(guī)定。

GDPR要求任何處理個(gè)人數(shù)據(jù)的組織實(shí)施“適當(dāng)?shù)募夹g(shù)和組織措施”來(lái)保護(hù)該數(shù)據(jù)(包括獲得個(gè)人存儲(chǔ)和使用該數(shù)據(jù)的同意)。這意味著在收集用戶(hù)數(shù)據(jù)時(shí)需要征得用戶(hù)的同意，在數(shù)據(jù)被破壞時(shí)將數(shù)據(jù)匿名化以保護(hù)用戶(hù)，并遵循在數(shù)據(jù)被破壞時(shí)通知用戶(hù)的具體指導(dǎo)原則。

(4)健康保險(xiǎn)流通與責(zé)任法案(HIPAA)

HIPAA是美國(guó)關(guān)于電子保護(hù)健康信息(ePHI)的數(shù)據(jù)安全和保護(hù)法。該法案于1996年通過(guò)，旨在控制和現(xiàn)代化個(gè)人健康數(shù)據(jù)管理，包括欺詐和盜竊保護(hù)標(biāo)準(zhǔn)，保險(xiǎn)公司如何利用它向個(gè)人收取服務(wù)費(fèi)用，等等。

對(duì)于任何處理ePHI的公司，HIPAA都需要特定的技術(shù)、物理和管理保障。違規(guī)者可被處以10年監(jiān)禁，罰款從10萬(wàn)美元到25萬(wàn)美元不等。

(5)薩班斯-奧克斯利法案(SOX)

薩班斯-奧克斯利法案于2002年通過(guò)，旨在更好地保護(hù)公司投資者免受欺詐性金融活動(dòng)的傷害。它是為了應(yīng)對(duì)一些著名的公司會(huì)計(jì)丑聞(例如安然公司)而設(shè)立的，旨在增加對(duì)不準(zhǔn)確或不完整的財(cái)務(wù)報(bào)告(包括篡改財(cái)務(wù)數(shù)據(jù)以某種方式呈現(xiàn))的懲罰。它還包括有關(guān)管理企業(yè)財(cái)務(wù)信息獲取的規(guī)定。SOX主要適用于上市公司及其披露財(cái)務(wù)信息的方式。但也有一些因素同樣適用于私營(yíng)企業(yè)——例如，偽造財(cái)務(wù)記錄或報(bào)復(fù)舉報(bào)金融犯罪的員工。

(6)聯(lián)邦信息安全管理法(FISMA)

FISMA于2002年通過(guò)，以標(biāo)準(zhǔn)化美國(guó)聯(lián)邦機(jī)構(gòu)處理數(shù)據(jù)的方式。它要求任何聯(lián)邦機(jī)構(gòu)(以及任何作為分包商/服務(wù)提供商的私營(yíng)企業(yè))遵守嚴(yán)格的信息安全政策(FIPS 200)和審計(jì)程序，以確保它們得到遵守。

四 數(shù)據(jù)安全的最大威脅

當(dāng)人們想到數(shù)據(jù)安全的威脅時(shí)，首先想到的往往是黑客入侵您的服務(wù)器。但現(xiàn)實(shí)是，數(shù)據(jù)安全的最大威脅往往來(lái)自?xún)?nèi)部，是員工不安全行為的結(jié)果。

例如，IBM和波耐蒙研究所(The Ponemon Institute)在2020年研究了數(shù)據(jù)泄露的根本原因，發(fā)現(xiàn)最主要的兩個(gè)原因是泄露憑證，通常是由于弱密碼和云配置錯(cuò)誤，讓公眾可以訪問(wèn)敏感數(shù)據(jù);數(shù)據(jù)泄露的另一個(gè)主要原因(網(wǎng)絡(luò)釣魚(yú)詐騙)也是正確的員工培訓(xùn)可以防止的事情。IBM的研究表明，教員工如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)郵件和其他社會(huì)工程攻擊將有助于減少17%的數(shù)據(jù)泄露。

所有這些都說(shuō)明，雖然像防火墻這樣的技術(shù)對(duì)于保護(hù)您的數(shù)據(jù)免受安全威脅很重要，但您的團(tuán)隊(duì)的警惕可能更重要。

五 數(shù)據(jù)安全技術(shù)的類(lèi)型

有幾種不同的技術(shù)可以用來(lái)保護(hù)數(shù)據(jù)。盡可能多地使用這些技術(shù)，以確保所有潛在的訪問(wèn)點(diǎn)都是安全的。

(1)身份驗(yàn)證

身份驗(yàn)證是驗(yàn)證用戶(hù)的登錄憑證(密碼、生物特征識(shí)別等)以確保它確實(shí)是他們的過(guò)程。它是數(shù)據(jù)安全策略中最重要的部分之一，因?yàn)樗欠乐刮唇?jīng)授權(quán)訪問(wèn)敏感信息的第一線防御。

身份驗(yàn)證在概念上很簡(jiǎn)單，但從技術(shù)的角度來(lái)看，很難得到正確的規(guī)模。然而，像單點(diǎn)登錄(SSO)、多因素身份驗(yàn)證(MFA)和破解密碼檢測(cè)等新技術(shù)使得在不犧牲用戶(hù)體驗(yàn)的情況下更容易確保身份驗(yàn)證過(guò)程的安全性。

(2)加密

數(shù)據(jù)加密用一種算法來(lái)打亂敏感信息，因此如果沒(méi)有解密所需的特定信息(加密密鑰)，就無(wú)法讀取這些信息。這是一個(gè)非常重要的數(shù)據(jù)安全工具，因?yàn)樗梢源_保即使有人未經(jīng)授權(quán)訪問(wèn)你的信息，他們也無(wú)法使用它。您應(yīng)該始終確保您的加密密鑰被安全存儲(chǔ)，并將訪問(wèn)它們的權(quán)限限制在盡可能少的人。

(3)令牌化

令牌化類(lèi)似于加密。然而，令牌化不是用算法打亂數(shù)據(jù)，而是用隨機(jī)字符替換數(shù)據(jù)。然后，與原始數(shù)據(jù)(“令牌”)的關(guān)系存儲(chǔ)在一個(gè)單獨(dú)的受保護(hù)的數(shù)據(jù)庫(kù)表中。

(4)數(shù)據(jù)屏蔽

數(shù)據(jù)掩蔽不會(huì)將數(shù)據(jù)轉(zhuǎn)換為中間形式，而是通過(guò)使用代理字符“掩蔽”數(shù)據(jù)字符來(lái)實(shí)現(xiàn)。一旦它被送到目的地，軟件就會(huì)把它倒轉(zhuǎn)過(guò)來(lái)。

(5)物理訪問(wèn)控制

數(shù)據(jù)訪問(wèn)控制也是數(shù)據(jù)安全策略的重要組成部分。數(shù)字訪問(wèn)控制通常是通過(guò)身份驗(yàn)證程序(并限制訪問(wèn)數(shù)據(jù)的授權(quán)用戶(hù)的數(shù)量)進(jìn)行管理的，而物理訪問(wèn)控制則管理對(duì)數(shù)據(jù)所在物理位置(數(shù)據(jù)中心或內(nèi)部服務(wù)器室)的訪問(wèn)。

物理訪問(wèn)管理控制包括保護(hù)措施，如鑰匙卡，生物認(rèn)證措施，如指紋識(shí)別和視網(wǎng)膜掃描，以及安全人員。

六 確保數(shù)據(jù)安全的最佳實(shí)踐

全面的數(shù)據(jù)安全計(jì)劃有很多活動(dòng)組成，所有的工作都是實(shí)時(shí)的，以確保數(shù)據(jù)是安全的。您的計(jì)劃的具體實(shí)現(xiàn)將取決于組織的計(jì)算系統(tǒng)的大小和結(jié)構(gòu)。

因此，這里的內(nèi)容并不意味著要一步一步地分解創(chuàng)建完美的數(shù)據(jù)安全所需的一切;本文概述了一些重要概念，這些概念共同為數(shù)據(jù)安全奠定了良好的基礎(chǔ)。

(1)存儲(chǔ)數(shù)據(jù)的安全

數(shù)據(jù)安全的一個(gè)基本部分是保護(hù)存儲(chǔ)的數(shù)據(jù)。這里有三個(gè)最佳實(shí)踐，可以提高你的數(shù)字和物理存儲(chǔ)位置周?chē)陌踩?

• 管理對(duì)敏感信息的訪問(wèn)。根據(jù)用戶(hù)ID來(lái)管理誰(shuí)可以訪問(wèn)您的數(shù)據(jù)，這是一種將敏感信息限制為僅供需要查看的人使用的好方法。這就限制了如果某人的用戶(hù)名或登錄信息被盜所造成的損失。
• 加密所有的數(shù)據(jù)。加密是保證數(shù)據(jù)安全的最佳工具之一。它可以幫助確保黑客不能使用他們可能掌握的任何信息。還應(yīng)該確保對(duì)傳輸進(jìn)行加密，以便為您發(fā)送的任何信息增加另一層安全。
• 從源頭保護(hù)用戶(hù)數(shù)據(jù)。當(dāng)客戶(hù)和員工首次登錄(或多次登錄)時(shí)，可以使用統(tǒng)一登錄等安全的身份驗(yàn)證實(shí)踐來(lái)驗(yàn)證和保護(hù)他們的信息。這不僅簡(jiǎn)化了流程，減少了流失的風(fēng)險(xiǎn)，而且還有助于將所有敏感數(shù)據(jù)組織在一個(gè)位置，而不是在容易丟失的多個(gè)數(shù)據(jù)庫(kù)和電子表格中。

(2)為安全威脅做好準(zhǔn)備

網(wǎng)絡(luò)安全威脅是不斷發(fā)展和變化的，因?yàn)楹诳涂偸窃诎踩到y(tǒng)中尋找漏洞。因此，數(shù)據(jù)安全不是一個(gè)“設(shè)置它，然后忘記它”的活動(dòng)，而是一個(gè)日常活動(dòng)。

以下是為潛在的攻擊以及發(fā)生的任何攻擊的后果做好準(zhǔn)備的主要方法:

• 加強(qiáng)系統(tǒng)測(cè)試。最好的防御就是好的進(jìn)攻，而在安全數(shù)據(jù)恢復(fù)中最好的進(jìn)攻就是確保你的數(shù)據(jù)從一開(kāi)始就不會(huì)丟失。但是，盡管自動(dòng)化可以幫助監(jiān)控系統(tǒng)，但它根本無(wú)法與試圖闖入系統(tǒng)的人類(lèi)的創(chuàng)造力相提并論。所以，最好是建立一個(gè)內(nèi)部團(tuán)隊(duì)來(lái)對(duì)你的系統(tǒng)進(jìn)行壓力測(cè)試，或者找公司以外的人來(lái)做。
• 培育安全意識(shí)。常見(jiàn)的數(shù)據(jù)安全攻擊，如魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件和USB陷阱，目標(biāo)是那些沒(méi)有意識(shí)到風(fēng)險(xiǎn)并放松了警惕的員工。每天傳播來(lái)自Proofpoint的提示或?qū)嵤㊣nspired eLearning的高管培訓(xùn)可以大大降低這些風(fēng)險(xiǎn)。
• 制定事故管理計(jì)劃。為數(shù)據(jù)泄露的情況制定全面的響應(yīng)計(jì)劃可以極大地限制數(shù)據(jù)泄露對(duì)組織的影響。IT需要知道要做什么，但也應(yīng)該為管理創(chuàng)建指導(dǎo)方針，讓員工知道，以及恢復(fù)的下一步步驟。
• 創(chuàng)建安全數(shù)據(jù)恢復(fù)計(jì)劃。如果出現(xiàn)了問(wèn)題，或者你需要的東西被刪除或泄露了，準(zhǔn)備好處理這些問(wèn)題是很重要的。對(duì)于許多團(tuán)隊(duì)來(lái)說(shuō)，這意味著有一個(gè)定期更新的關(guān)鍵數(shù)據(jù)的備份副本。備份本身必須受到保護(hù)，而且應(yīng)該與其他數(shù)據(jù)分開(kāi)。

(3)刪除不在使用的數(shù)據(jù)

總有一天你的數(shù)據(jù)會(huì)過(guò)時(shí)或不再使用。當(dāng)這種情況發(fā)生時(shí)，清除這些數(shù)據(jù)是很重要的，因?yàn)槿绻@些數(shù)據(jù)被攻破，它仍然可能傷害到您的用戶(hù)。

以你的用戶(hù)的舊密碼為例，由于65%的人在多個(gè)網(wǎng)站上重復(fù)使用他們的密碼，如果他們沒(méi)有更改所有數(shù)字賬戶(hù)的舊密碼，那么在另一家公司，舊密碼仍然可能被用來(lái)泄露他們的數(shù)據(jù)。

以下是刪除未使用數(shù)據(jù)的兩個(gè)最佳實(shí)踐:

• 知道如何以及何時(shí)刪除。當(dāng)你需要擺脫數(shù)字信息的時(shí)候，你需要正確地處理它。當(dāng)你不得不把敏感信息寫(xiě)在紙上時(shí)，你會(huì)把它撕碎。你把你的信用卡剪開(kāi)，在支票上寫(xiě)上“無(wú)效”，然后把它們?nèi)拥簟?shù)字?jǐn)?shù)據(jù)也不例外。確保當(dāng)你抹掉這些信息時(shí)，它們真的已經(jīng)消失了，而不是在某個(gè)地方徘徊，而不會(huì)回來(lái)咬你一口。
• 不要忘記物理副本。如果你的任何備份是紙質(zhì)的，存儲(chǔ)在u盤(pán)里的，是x光片、縮微膠片或底片或者其他任何與你的數(shù)字系統(tǒng)完全分開(kāi)的物理的東西，不要忘記它們。當(dāng)您刪除不在使用的信息時(shí)，請(qǐng)確保流程的一部分是雙重檢查，以查看該信息是否有物理對(duì)應(yīng)，如果有，則以實(shí)物方式銷(xiāo)毀它。

(4)進(jìn)行合規(guī)審計(jì)

有一些標(biāo)準(zhǔn)可以幫助降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。你可能還需要遵守一些法律規(guī)定，以幫助你做同樣的事情。

適用于你的企業(yè)的規(guī)章制度在很大程度上取決于行業(yè)和地點(diǎn)，所以你需要做足功課來(lái)評(píng)估哪些是規(guī)章制度。但是，如果您正在處理個(gè)人身份信息，那么您最好對(duì)自己進(jìn)行審計(jì)，并確保您的業(yè)務(wù)符合要求。這不僅能讓你避免法律上的麻煩，還能顯著提高數(shù)據(jù)的安全性。

(5)不要忘記移動(dòng)數(shù)據(jù)安全

根據(jù)McAfee的《2020年第一季度移動(dòng)威脅報(bào)告》，僅在2018年上半年，移動(dòng)攻擊就達(dá)到了1.5億次，2019年又增加了30%。隨著移動(dòng)網(wǎng)絡(luò)攻擊的增加，移動(dòng)安全成為數(shù)據(jù)安全策略中更為關(guān)鍵的一部分。

你可以采取以下幾個(gè)步驟來(lái)提高移動(dòng)數(shù)據(jù)的安全性:

• 定期更新所有應(yīng)用程序，以防止間諜軟件的威脅。
• 刪除不活動(dòng)的應(yīng)用程序。提供商可能因?yàn)榘踩┒炊鴷和；騽h除對(duì)它們的訪問(wèn)。
• 在下載新應(yīng)用程序之前，請(qǐng)檢查所請(qǐng)求的權(quán)限列表。如果這些內(nèi)容看起來(lái)太有侵略性，員工應(yīng)該跳過(guò)下載，因?yàn)樗赡馨苿?dòng)惡意軟件。
• 為每個(gè)新的手機(jī)賬戶(hù)創(chuàng)建獨(dú)特的密碼。永遠(yuǎn)不要默認(rèn)為標(biāo)準(zhǔn)登錄。
• 使用加密數(shù)據(jù)傳輸?shù)耐ㄐ艖?yīng)用程序來(lái)限制訪問(wèn)。
• 需要多因素身份驗(yàn)證來(lái)訪問(wèn)內(nèi)部工具。
• 確保員工知道如何遠(yuǎn)程訪問(wèn)他們的設(shè)備。如果設(shè)備丟失或被盜，能夠快速刪除或傳輸信息是至關(guān)重要的。

然而，請(qǐng)記住，移動(dòng)數(shù)據(jù)安全不僅僅適用于智能手機(jī)和平板電腦。現(xiàn)在，它還包括其他移動(dòng)設(shè)備，如智能手表和可穿戴技術(shù)、視頻會(huì)議工具等。

七 數(shù)據(jù)安全取決于人

企業(yè)的員工現(xiàn)在比以往任何時(shí)候都是數(shù)據(jù)安全的前線。因此，鼓勵(lì)正確的行為是至關(guān)重要的，以確保不會(huì)發(fā)生違反業(yè)務(wù)要求。

最好的方法之一就是為團(tuán)隊(duì)創(chuàng)造更好的用戶(hù)體驗(yàn)。簡(jiǎn)化的用戶(hù)體驗(yàn)讓他們更容易遵循網(wǎng)絡(luò)安全的最佳實(shí)踐，比如為每個(gè)應(yīng)用程序使用唯一的密碼，或使用更長(zhǎng)、更復(fù)雜的密碼。