信息化觀察網(wǎng)

本文來自微信公眾號(hào)安全牛。

數(shù)據(jù)顯示，全球企業(yè)組織每年在數(shù)據(jù)安全防護(hù)上投入的資金已經(jīng)超過千億美元，但數(shù)據(jù)安全威脅態(tài)勢(shì)依然嚴(yán)峻，其原因在于企業(yè)將更多資源投入到數(shù)據(jù)安全能力建設(shè)時(shí)，卻忽視了這些工作本身的科學(xué)性與合理性。因此，企業(yè)在實(shí)施數(shù)據(jù)安全保護(hù)工作之前，需要首先制定一份積極、有效的數(shù)據(jù)安全防護(hù)策略，并按策略要求指導(dǎo)組織的數(shù)據(jù)安全防護(hù)能力建設(shè)，這對(duì)保障數(shù)據(jù)安全防護(hù)效果至關(guān)重要。

為了更好地保護(hù)在數(shù)據(jù)安全方面的投資，企業(yè)組織應(yīng)該參考以下10個(gè)關(guān)鍵要素，提前制定出一份成功、高效的數(shù)據(jù)安全保護(hù)策略。

圖：數(shù)據(jù)安全保護(hù)策略的關(guān)鍵屬性與核心要素

1

覆蓋數(shù)據(jù)全生命周期的安全性

數(shù)據(jù)生命周期的安全性包括了從數(shù)據(jù)的創(chuàng)建、存儲(chǔ)、歸檔到銷毀的過程，是現(xiàn)代企業(yè)組織數(shù)據(jù)安全保護(hù)策略的基本組成部分，并應(yīng)定期進(jìn)行審查，以確保持續(xù)進(jìn)行的和計(jì)劃中的數(shù)據(jù)保護(hù)活動(dòng)與生命周期同步。隨著組織生成的數(shù)據(jù)量不斷增加，數(shù)據(jù)全生命周期管理變得越來越重要。

2

開展數(shù)據(jù)風(fēng)險(xiǎn)管理

在制定數(shù)據(jù)保護(hù)策略時(shí)，有效識(shí)別和評(píng)估數(shù)據(jù)的風(fēng)險(xiǎn)態(tài)勢(shì)是至關(guān)重要的，因?yàn)樵摬呗阅軌蜃畲笙薅鹊販p少數(shù)據(jù)安全事件發(fā)生的可能性，并減輕對(duì)相關(guān)數(shù)據(jù)安全事件的破壞程度。因此，組織應(yīng)該定期對(duì)數(shù)據(jù)和信息威脅環(huán)境進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保采取最適合的預(yù)防、檢測(cè)、響應(yīng)和緩解技術(shù)。

3

做好數(shù)據(jù)備份和恢復(fù)

一個(gè)成功的數(shù)據(jù)安全保護(hù)策略必須要包含數(shù)據(jù)存儲(chǔ)管理相關(guān)的規(guī)劃，包括如何將生產(chǎn)數(shù)據(jù)安全地移入數(shù)據(jù)存儲(chǔ)庫相關(guān)的所有活動(dòng)，無論是在本地網(wǎng)絡(luò)、云端還是第三方服務(wù)提供商環(huán)境中。一旦數(shù)據(jù)被創(chuàng)建，就應(yīng)該首先將其備份到安全和受保護(hù)的地方以供使用。當(dāng)需要數(shù)據(jù)時(shí)，恢復(fù)過程會(huì)將其從安全存儲(chǔ)或歸檔中釋放出來，驗(yàn)證其是否可以使用。這些活動(dòng)也是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)（BCDR）計(jì)劃的關(guān)鍵組成部分，能夠幫助組織在破壞性事件后恢復(fù)并恢復(fù)運(yùn)營狀態(tài)。

4

明確并保護(hù)數(shù)據(jù)的所有權(quán)

在數(shù)字化時(shí)代，數(shù)據(jù)成為新型戰(zhàn)略性資源，而明確對(duì)數(shù)據(jù)資產(chǎn)的所有權(quán)則是企業(yè)組織未來收集、占有、使用、開發(fā)數(shù)據(jù)資源的話語依據(jù)。因此組織有必要制定一項(xiàng)保護(hù)數(shù)據(jù)所有權(quán)的保護(hù)政策，以確保其不受內(nèi)部或外部攻擊的損害。數(shù)據(jù)的保密性、完整性和可用性是數(shù)據(jù)保護(hù)的核心需求，因此也應(yīng)該成為組織數(shù)據(jù)安全保護(hù)策略的基本屬性。

5

加強(qiáng)對(duì)勒索軟件攻擊的防護(hù)

研究數(shù)據(jù)顯示，勒索軟件攻擊已經(jīng)成為危害組織數(shù)據(jù)安全的頭號(hào)威脅。這種攻擊不僅會(huì)阻斷用戶對(duì)數(shù)據(jù)的訪問，還會(huì)通過竊取數(shù)據(jù)和公開數(shù)據(jù)來造成更多的傷害。因此，部署強(qiáng)大的反勒索軟件系統(tǒng)是組織數(shù)據(jù)安全保護(hù)活動(dòng)的關(guān)鍵組成部分，可以預(yù)防和阻止其對(duì)關(guān)鍵數(shù)據(jù)資產(chǎn)和應(yīng)用系統(tǒng)的攻擊破壞。

6

可靠的數(shù)據(jù)訪問管理與控制

組織實(shí)現(xiàn)數(shù)據(jù)安全的前提就是要安全地訪問和使用數(shù)據(jù)。數(shù)據(jù)訪問管理和控制措置是否可靠，這是IT系統(tǒng)審計(jì)時(shí)的重要審查內(nèi)容，也是數(shù)據(jù)安全保護(hù)策略中最重要的組成部分之一。需要說明的是，盡管組織對(duì)先進(jìn)的身份驗(yàn)證技術(shù)越來越感興趣，但密碼技術(shù)仍被廣泛使用以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。而且，各種密碼管理工具也一直在不斷改進(jìn)完善。

7

符合標(biāo)準(zhǔn)和法規(guī)監(jiān)管要求

保證安全合規(guī)性在組織的數(shù)據(jù)安全保護(hù)策略中都是必不可少的，并且應(yīng)該作為審計(jì)過程的一部分進(jìn)行審查。組織的數(shù)據(jù)安全保護(hù)政策可以是一個(gè)獨(dú)立的規(guī)劃，也可以嵌入到更大的網(wǎng)絡(luò)安全管理策略中。一個(gè)成功的數(shù)據(jù)安全保護(hù)策略必須要符合并遵守現(xiàn)有監(jiān)管法規(guī)、法律和相關(guān)標(biāo)準(zhǔn)的要求，包括歐盟的GDPR，以及我國的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等。

8

加強(qiáng)員工數(shù)據(jù)安全保護(hù)意識(shí)培養(yǎng)

一個(gè)成功的數(shù)據(jù)安全保護(hù)策略必須要超越網(wǎng)絡(luò)安全技術(shù)本身，它應(yīng)該教育所有員工了解他們的數(shù)據(jù)是如何受到保護(hù)的，以及他們對(duì)確保數(shù)據(jù)安全承擔(dān)的責(zé)任。對(duì)于那些負(fù)責(zé)數(shù)據(jù)保護(hù)的員工必須接受足夠的培訓(xùn)，以有效地履行他們的工作。組織在啟動(dòng)數(shù)據(jù)保護(hù)策略和計(jì)劃之前，高級(jí)管理層必須了解并批準(zhǔn)該計(jì)劃，同時(shí)要定期匯報(bào)策略落地執(zhí)行的情況，確保高級(jí)管理層充分了解組織的數(shù)據(jù)和信息始終得到了有效管理和保護(hù)。

9

定期審計(jì)和評(píng)估

為確保組織的數(shù)據(jù)安全保護(hù)策略及所有相關(guān)的數(shù)據(jù)安全管理計(jì)劃能夠被正確執(zhí)行，必須定期對(duì)其應(yīng)用情況進(jìn)行檢查、評(píng)估和審計(jì)，這一點(diǎn)尤其重要。所有政策、程序、活動(dòng)和事件的文檔記錄是必不可少的。良好組織的數(shù)據(jù)管理計(jì)劃應(yīng)該要求持續(xù)監(jiān)控?cái)?shù)據(jù)創(chuàng)建、傳輸、存儲(chǔ)、歸檔和銷毀的所有方面。通過分析日志和其他存儲(chǔ)庫中的數(shù)據(jù)，審計(jì)人員可以提供關(guān)于數(shù)據(jù)保護(hù)和管理控制的重要證據(jù)。

10

通過測(cè)試演練持續(xù)改進(jìn)

定期對(duì)數(shù)據(jù)保護(hù)計(jì)劃活動(dòng)進(jìn)行測(cè)試和演練，如數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)訪問管理以及網(wǎng)絡(luò)安全防護(hù)活動(dòng)，可以確保這些重要計(jì)劃的正常運(yùn)行，并確保執(zhí)行這些計(jì)劃的員工了解其角色和責(zé)任。這些活動(dòng)也是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)（BCDR）計(jì)劃的一部分，并為IT審計(jì)人員提供重要的證據(jù)。組織必須定期審查和持續(xù)改進(jìn)數(shù)據(jù)保護(hù)及其相關(guān)活動(dòng)，以符合現(xiàn)有和新的法規(guī)、立法和良好實(shí)踐，并為用戶生成最高水平的信心，確保其敏感數(shù)據(jù)和敏感信息得到保護(hù)。