數(shù)據(jù)安全是保護(hù)數(shù)字信息資產(chǎn)免遭未經(jīng)授權(quán)的訪問、披露、修改或盜竊的做法。這種做法保護(hù)數(shù)據(jù)免受意外或故意威脅，并在組織的整個(gè)生命周期中保持其機(jī)密性、完整性和可用性。

數(shù)據(jù)安全策略涉及采用強(qiáng)大的數(shù)據(jù)保護(hù)策略、身份和訪問管理 (IAM)、管理控制、物理安全、合規(guī)性法規(guī)以及各種其他技術(shù)和技術(shù)來保護(hù)數(shù)據(jù)免受網(wǎng)絡(luò)威脅和破壞。

正確實(shí)施數(shù)據(jù)安全實(shí)踐有助于企業(yè)保護(hù)其關(guān)鍵資產(chǎn)，避免因安全漏洞導(dǎo)致的訴訟案件和巨額罰款。它使公司能夠挽救他們的聲譽(yù)和組織利益。

什么是數(shù)據(jù)安全？

數(shù)據(jù)安全類型

數(shù)據(jù)安全實(shí)踐旨在實(shí)現(xiàn)以下目標(biāo)：

• 數(shù)據(jù)加密通過將普通數(shù)據(jù)轉(zhuǎn)換為加擾的、難以理解的數(shù)據(jù)來保護(hù)數(shù)據(jù)，這些數(shù)據(jù)在不解密的情況下使其他人無法使用。
• 數(shù)據(jù)屏蔽通過將敏感數(shù)據(jù)替換為可用于測(cè)試的功能數(shù)據(jù)來隱藏敏感數(shù)據(jù)，并防止數(shù)據(jù)泄露給可能使用它的惡意用戶或內(nèi)部人員。 
• 數(shù)據(jù)銷毀確保數(shù)據(jù)不可恢復(fù)。它會(huì)在需要時(shí)覆蓋或擦除任何存儲(chǔ)介質(zhì)上的數(shù)據(jù)。
• 數(shù)據(jù)彈性是 IT 基礎(chǔ)設(shè)施和服務(wù)器在發(fā)生安全事件后恢復(fù)存儲(chǔ)數(shù)據(jù)的能力。它包括在任何類型的安全事件、硬件問題或其他故障期間維護(hù)數(shù)據(jù)備份以進(jìn)行恢復(fù)和數(shù)據(jù)中心保護(hù)。
  數(shù)據(jù)去標(biāo)識(shí)化和假名用人工標(biāo)識(shí)符代替了數(shù)據(jù)集中的識(shí)別數(shù)據(jù)，從而降低了持有個(gè)人身份信息的風(fēng)險(xiǎn)。
• 數(shù)據(jù)丟失防護(hù)監(jiān)控異常的內(nèi)部威脅，幫助安全控制和確保敏感業(yè)務(wù)信息的合規(guī)性。

維護(hù)數(shù)據(jù)安全的好處

數(shù)據(jù)安全策略和實(shí)踐以多種方式使企業(yè)受益：

• 保護(hù)有價(jià)值和敏感的信息：數(shù)據(jù)安全實(shí)踐有助于保護(hù)敏感數(shù)據(jù)并始終保持其機(jī)密性、完整性和可用性。
• 保持可靠的聲譽(yù)：數(shù)據(jù)安全預(yù)防措施使企業(yè)能夠保證客戶數(shù)據(jù)的安全，并讓他們?cè)谑袌?chǎng)上保持值得信賴的聲譽(yù)。
• 確保符合行業(yè)標(biāo)準(zhǔn)：數(shù)據(jù)安全實(shí)踐可幫助您制定預(yù)防措施來保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問，從而使企業(yè)能夠遵守將數(shù)據(jù)保護(hù)放在首位的行業(yè)標(biāo)準(zhǔn)。
• 避免代價(jià)高昂的罰款和訴訟：遵循數(shù)據(jù)安全實(shí)踐可以讓企業(yè)避免數(shù)據(jù)泄露，并防止組織面臨巨額罰款和訴訟。
• 防止業(yè)務(wù)損失：網(wǎng)絡(luò)攻擊（惡意軟件注入、勒索軟件等）可能對(duì)組織造成巨大影響，導(dǎo)致意外停機(jī)。數(shù)據(jù)安全措施有助于避免網(wǎng)絡(luò)攻擊并防止任何業(yè)務(wù)損失。

數(shù)據(jù)安全策略的關(guān)鍵要素

數(shù)據(jù)安全策略基于業(yè)務(wù)類型、位置和業(yè)務(wù)需求。不必對(duì)所有公司都一樣。

這些是任何可靠的數(shù)據(jù)安全程序的基本要素：

• 以數(shù)據(jù)為中心的安全性側(cè)重于保護(hù)數(shù)據(jù)本身，而不是用于存儲(chǔ)或訪問該數(shù)據(jù)的基礎(chǔ)設(shè)施或應(yīng)用程序。企業(yè)使用以數(shù)據(jù)為中心的安全解決方案來保護(hù)在本地到云存儲(chǔ)、多個(gè)應(yīng)用程序或第三方等位置之間移動(dòng)的數(shù)據(jù)。
• 問責(zé)制強(qiáng)調(diào)數(shù)據(jù)安全計(jì)劃中 IT、員工和管理層的責(zé)任。確保組織的員工完全了解不同類別的數(shù)據(jù)（公共、僅限內(nèi)部、機(jī)密和受限）以及如何處理這些數(shù)據(jù)至關(guān)重要。
• 網(wǎng)絡(luò)服務(wù)策略強(qiáng)調(diào)處理遠(yuǎn)程訪問管理、IP 地址配置、檢測(cè)入侵和各種其他網(wǎng)絡(luò)保護(hù)參數(shù)。
• 漏洞管理和修補(bǔ)側(cè)重于對(duì)組織的資產(chǎn)執(zhí)行定期漏洞掃描，并通過有效的補(bǔ)丁管理修復(fù)漏洞。
• 系統(tǒng)安全涵蓋所有關(guān)鍵操作系統(tǒng)、服務(wù)器、防火墻和防病毒軟件的安全配置。系統(tǒng)安全策略還包含有關(guān)訪問公司網(wǎng)絡(luò)、訪問控制和身份管理的規(guī)則。
• 事件響應(yīng)定義了安全事件期間的適當(dāng)響應(yīng)措施，包括事件的分析和報(bào)告以及防止事件再次發(fā)生的步驟。
• 可接受的使用描述了對(duì)構(gòu)成可接受使用的數(shù)據(jù)的所有操作。在使用數(shù)據(jù)時(shí)，有必要明確員工的期望。
• 合規(guī)性監(jiān)控通過定期審核將組織的重點(diǎn)放在遵守不同的行業(yè)標(biāo)準(zhǔn)上。
• 用戶帳戶監(jiān)視和控制包括評(píng)估和監(jiān)視分配給組織中各個(gè)用戶的訪問權(quán)限以及管理他們的帳戶。

數(shù)據(jù)安全策略

人員、流程和技術(shù)是任何組織的業(yè)務(wù)支持參數(shù)。全面的數(shù)據(jù)安全策略需要將這三者結(jié)合起來，以保護(hù)公司免受數(shù)據(jù)泄露。 

全面的數(shù)據(jù)安全策略將包括：

• 訪問管理和控制：企業(yè)應(yīng)遵循最小權(quán)限訪問的概念，其中對(duì)數(shù)據(jù)庫、網(wǎng)絡(luò)和管理帳戶的訪問權(quán)限僅授予有限和授權(quán)用戶。訪問控制設(shè)置為訪問對(duì)用戶執(zhí)行其工作至關(guān)重要的資產(chǎn)。

• 數(shù)據(jù)加密：它包括對(duì)靜態(tài)、傳輸中或使用中的數(shù)據(jù)的加密。當(dāng)數(shù)據(jù)被存儲(chǔ)并且沒有被積極使用時(shí)，數(shù)據(jù)加密將保護(hù)它在靜止時(shí)不被訪問、修改或竊取。對(duì)于傳輸中的數(shù)據(jù)，加密用于防止明文數(shù)據(jù)被未授權(quán)方截獲。為防止未經(jīng)授權(quán)訪問使用中的數(shù)據(jù)，企業(yè)可以采用同態(tài)加密；它不需要在處理之前解密數(shù)據(jù)集。

• 服務(wù)器和用戶設(shè)備的安全性：公司需要確保其存儲(chǔ)在本地?cái)?shù)據(jù)中心或公共云基礎(chǔ)設(shè)施中的數(shù)據(jù)不會(huì)受到未經(jīng)授權(quán)的訪問。最重要的是，兩種環(huán)境都有適當(dāng)?shù)陌踩胧﹣硪种迫肭帧?/span>

• 應(yīng)用安全和補(bǔ)丁管理：它涉及通過漏洞管理、授權(quán)、身份驗(yàn)證、加密、應(yīng)用安全測(cè)試和定期安裝補(bǔ)丁來維護(hù)應(yīng)用安全。供應(yīng)商發(fā)布補(bǔ)丁后，公司需要主動(dòng)更新應(yīng)用程序。

• 網(wǎng)絡(luò)安全和端點(diǎn)安全：它專注于實(shí)施全面的安全套件，用于跨所有本地和云平臺(tái)的威脅檢測(cè)、管理和響應(yīng)。它使企業(yè)能夠保護(hù)他們的環(huán)境和端點(diǎn)。

• 數(shù)據(jù)備份：對(duì)于任何可靠的數(shù)據(jù)安全策略，維護(hù)經(jīng)過嚴(yán)格測(cè)試的數(shù)據(jù)備份至關(guān)重要。企業(yè)應(yīng)確保所有數(shù)據(jù)備份都受到類似安全控制的保護(hù)，以監(jiān)督對(duì)主數(shù)據(jù)庫和核心系統(tǒng)的訪問。
• 員工培訓(xùn)：教育員工了解可接受的使用政策，識(shí)別不同類別的數(shù)據(jù)（公共、僅限內(nèi)部、機(jī)密和受限），并遵循最佳安全實(shí)踐來幫助企業(yè)保護(hù)其數(shù)據(jù)免受威脅行為者的侵害。

數(shù)據(jù)安全最佳實(shí)踐

采用以下數(shù)據(jù)安全實(shí)踐可以讓企業(yè)建立安全措施來防止數(shù)據(jù)泄露。

• 敏感數(shù)據(jù)的識(shí)別和分類：企業(yè)應(yīng)識(shí)別他們需要保護(hù)的數(shù)據(jù)類型，并根據(jù)其對(duì)組織的價(jià)值將其分類為不同的類別。
• 數(shù)據(jù)使用政策的文件：組織必須確保他們有一個(gè)文件化的政策，定義訪問類型、訪問權(quán)限和精確的數(shù)據(jù)使用實(shí)踐。 
• 監(jiān)控對(duì)敏感數(shù)據(jù)的訪問：重點(diǎn)是提供最少的信息，這對(duì)于用戶履行其職責(zé)是必不可少的。它涉及識(shí)別用戶的用戶需求，為他們提供相關(guān)的訪問權(quán)限，并在組織的整個(gè)員工生命周期中監(jiān)控訪問權(quán)限。
• 數(shù)據(jù)的物理安全：它涉及確保與組織數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的設(shè)備交互的組件的安全。在確保數(shù)據(jù)的物理安全的同時(shí)，對(duì)工作站、服務(wù)器和數(shù)據(jù)庫實(shí)施嚴(yán)格的訪問控制以防止未經(jīng)授權(quán)的訪問至關(guān)重要。
• 實(shí)施基于風(fēng)險(xiǎn)的安全方法：基于風(fēng)險(xiǎn)的數(shù)據(jù)安全方法可幫助企業(yè)遵守行業(yè)法規(guī)并防止數(shù)據(jù)泄露。任何采用基于風(fēng)險(xiǎn)的方法的公司都應(yīng)識(shí)別其關(guān)鍵資產(chǎn)、網(wǎng)絡(luò)安全狀態(tài)以及與每項(xiàng)數(shù)字資產(chǎn)受損相關(guān)的風(fēng)險(xiǎn)。
• 采用多重身份驗(yàn)證：企業(yè)可以通過多重身份驗(yàn)證為用戶帳戶添加額外的安全層。它鼓勵(lì)用戶多次證明自己的身份，并確保強(qiáng)大的數(shù)據(jù)保護(hù)。 

數(shù)據(jù)隱私與數(shù)據(jù)安全

數(shù)據(jù)隱私涉及個(gè)人在處理（基于同意、通知和監(jiān)管義務(wù)）和使用其敏感數(shù)據(jù)（例如個(gè)人身份信息）方面的權(quán)利。

數(shù)據(jù)安全的重點(diǎn)是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問或惡意攻擊。它使企業(yè)能夠使用不同的技術(shù)和實(shí)踐來設(shè)置預(yù)防措施，以確保數(shù)據(jù)隱私。