網絡安全是一個不斷變化的目標，企業可能每天都要面對久經考驗的真實威脅和對手。從勒索軟件攻擊和惡意內部人員到意外濫用和民族國家行為者，網絡威脅有多種形式。

企業必須從源頭保護有價值的數據以防止泄露。但是，由于數據是跨用戶、網絡、云平臺和設備創建和駐留的，因此需要付出大量的時間和精力來保護它。幸運的是，可以使用一些技術、框架和程序來幫助確保其安全性。

企業可以遵循以下10項數據安全最佳實踐，以幫助保護其信息的安全。

1、對所有企業數據進行編目

為了保護數據，需要了解存在哪些數據至關重要。數據流經并保留在由數據中心、網絡附加存儲、桌面設備、移動和遠程用戶、云計算服務器和應用程序組成的分布式網絡中。安全團隊必須了解這些數據是如何創建、使用、存儲和銷毀的。

第一步是創建和維護一個全面的數據清單。所有數據(從普通數據到敏感數據)都必須進行分類。如果不執行和維護這一盡職調查，可能導致某些數據不受保護且易受攻擊。

企業創建、存儲和使用的大量數據使了解數據操作成為一項艱巨的任務。需要考慮使用數據發現工具使該過程實現自動化。這些自動化工具使用各種方法(爬蟲、探查器和分類器)來查找和識別結構化和非結構化數據。

2、了解數據使用情況

數據并不是靜態實體，它隨著應用程序的使用而移動。數據可以是動態的、靜止的或正在使用的。為了正確保護數據，了解數據的不同狀態以及數據如何在模式之間轉換非常重要。了解數據傳輸、處理和存儲的方式和時間有助于更好地了解所需的保護。未正確識別數據狀態將會導致安全性不足。

3、對數據進行分類

并非所有數據都具有相同的值。例如，個人身份信息(PII)和財務記錄比技術白皮書更有價值。

在盤點數據并了解其用途之后，需要為數據賦予價值，對其進行分類和標記。分類標簽使企業能夠根據應用的價值保護數據。使用的分類術語是根據企業的需求確定的，但數據通常分為四類：

(1)公開(免費提供);

(2)內部(留在企業內部);

(3)敏感(合規的數據，要求保護);

(4)保密(不合規的數據，如果泄露則造成損害)。

一致且適當的數據分類還有助于確定應在何時何地存儲數據、如何保護數據以及誰有權訪問數據。它還改進了合規性報告。

許多數據發現工具可以根據數據分類策略對數據進行分類和標記。這些工具還可以強制執行分類策略來控制用戶訪問，并避免將其存儲在不安全的位置。

4、使用數據屏蔽

防止數據丟失的強大武器是使網絡攻擊者無法使用所竊取的信息。保密工具可以提供這一功能。

數據屏蔽使用戶能夠基于真實數據對功能格式化的數據執行任務，所有這些都不需要或暴露實際數據。數據屏蔽技術包括加密、字符混洗和字符或單詞替換。最流行的技術之一是標記化，它采用功能齊全的虛擬數據代替真實值。真實數據(例如采用功能齊全的虛擬數據代替真實值或信用卡號)位于強化的中心位置，其訪問權限僅限于所需用戶。

5、使用數據加密

數據加密使用加密算法和密鑰來確保只有預期的實體才能讀取數據。加密用于存儲在驅動器上、應用程序內或傳輸中的數據。它在操作系統、應用程序和云平臺以及獨立軟件程序中廣泛可用。

如果加密數據被網絡攻擊者竊取，則無法讀取，因此網絡攻擊者無法從數據中獲得任何價值。加密被認為是一種非常有效的方法，以至于許多法規都將其作為安全港來限制數據泄露后的責任。加密不應被視為數據安全的靈丹妙藥，但它是保護有價值信息的最佳方式之一。

6、實施強大的訪問控制

具有價值或受監管的數據，只能提供給需要訪問才能完成工作的人員。此外，還要建立強大的訪問控制機制，以確定哪些實體能夠訪問哪些數據，并管理和定期審查這些實體的權限。

授權和訪問控制范圍從密碼和審計日志到多因素身份驗證、特權訪問管理和強制訪問控制。無論使用哪種機制，都要確保它根據最小特權原則驗證實體并授予訪問權限。強大的訪問控制需要全面監控和審核，以快速識別異常或濫用行為。

7、創建數據收集和保留策略

數據收集和保留策略是一個不受歡迎的主題，但它們的存在是有原因的。數據收集和保留策略建立了與數據管理和保護相關的規范。這些政策制定了以下規則：

• 收集了哪些數據;
• 何時以及如何保留;
• 哪些數據必須加密;
• 誰有權訪問信息。

應該清除不符合數據使用和保留策略的數據。除了支持內部運營之外，政策還支持遵守GDPR和CCPA等法規。

8、進行安全意識培訓

與網絡安全一樣，數據保護也是一項團隊工作。向有權訪問數據的員工和用戶宣傳數據安全的重要性。讓他們討論在數據安全中的作用，以及用戶應該收集和存儲哪些數據以及不應該共享哪些數據。

知情和授權的員工更有可能支持安全工作，而不是通過試圖繞過控制來破壞它們。最接近數據管理工作的人員也可以通過識別可能表示潛在問題的異常來提供有價值的支持。

9、備份數據

可用性和完整性對于安全性與機密性一樣重要。數據備份提供了這些功能。備份是駐留在不同位置的數據的副本。如果工作副本不可用、被刪除或損壞，備份使數據檢索成為可能。

按計劃進行備份。它們可以是完整的數據復制，也可以是僅保存數據更改的增量備份。因此務必保護任何備份，因為它們也可能成為網絡攻擊的目標。

10、使用數據丟失防護(DLP)

數據丟失防護(DLP)平臺是任何數據安全策略的關鍵要素。數據丟失防護(DLP)由自動跟蹤敏感數據的技術、產品和技術組成。其保護使用規則來審查電子通信和數據傳輸。它們可以防止數據離開企業網絡或被路由到不在策略范圍內的內部資源。數據丟失防護(DLP)還可用于防止企業數據被傳輸到未經驗證的實體或通過非法轉移方法進行傳輸。

結語

數據安全事件不是憑空發生的，它要求這些最佳實踐不能作為獨立的活動使用，而是作為企業縱深防御戰略的一部分。企業應該采用這些組件中的大多數(如果不是全部)的組合來創建高效的數據安全程序。