有关数据安全管理的实践

数字经济时代下，数据成为了当下企业组织重要的资产之一，数据要素的价值正日益凸显。随着数字化转型的进程不断加快，与之相应的安全问题也日益凸显，网络安全和数据安全不断牵动着国家以及企业的心，并成为重要的关注点。

近期的2022年政府工作报告和两会中，网络安全、数据安全和个人信息保护等也不断被提及，要进一步加强数字经济安全、数据安全建设，保障国家安全。

数据安全的重要性不言而喻，数据泄露问题会对组织产生严重影响，包括了财产损失、业务损失、信誉损失及品牌打击等，它会显著地降低企业的运营能力，甚至可能导致企业破产。因此，企业组织需要施行行之有效的数据安全管理，计划、制定、执行相关安全策略和规程，确保数据和信息资产在使用过程中有恰当的认证，授权等措施，最终目标是保护信息资产符合隐私及保密法规要求，并与业务要求相一致。

数据安全面临的七个威胁

网络攻击的猖獗，让数据安全面临许多不同的威胁，而且这些威胁还在不断演变，常见的七个安全威胁包括：

恶意软件攻击：恶意软件虽然没有获得授权，但他们会利用企业内部员工的访问权限进行传播，一旦感染，就会通过网络迅速传播到其他的设备和应用上。

DDoS攻击：一旦企业的被DDoS攻击缠上，服务器将会陷入访问延迟、无法访问、甚至不可用的状态。为了降低风险，企业可以考虑部署高防IP等云安全防护软件。

网络钓鱼诈骗：网络钓鱼诈骗中经常存在恶意附件，一旦点击、打开，企业的设备就会被攻击，发生数据被盗取、泄露的重大事故。

黑客攻击：黑客们拥有各种各样的手段、方法盗取企业数据，企业需要对网络安全问题加以重视，并及时查看网络是否存在安全漏洞。

第三方：缺乏足够网络安全的合作伙伴和承包商可能使互连系统容易受到攻击，或者他们可能直接滥用在IT环境中授予的权限。

恶意内部人士：有时候攻击并不只是外部，来自内部的伤害对企业的损失反而更大。为避免此类情况，企业可以将一些关键信息的访问权限设置为仅一些人可见，并进行实时监控。

操作失误：用户和管理员也可能犯一些无害但代价高昂的错误，比如将文件复制到个人设备上，意外地将包含敏感数据的文件附加到电子邮件中，或者将机密信息发送给错误的收件人。

数据安全管理

要想保护数据安全，企业需要构建数据安全管理体系。以下六个数据管理的阶段，能够帮助企业做好：

数据采集阶段

这个阶段分为内部采集和外部采集，内部采集系统中新生成的数据，需要对采集设备进行访问控制，确保数据安全，外部采集要明确数据采集规范，制定数据采集策略，完善数据采集风险评估及保证数据采集的合规合法性。

数据存储阶段

建立存储平台，制定存储介质标准和存储系统的安全防护标准。

数据处理阶段

明确数据脱敏的业务场景和统一使用适合的脱敏技术。要根据不同的场景统一脱敏的规则、方法，评估提供真实数据的必要性和脱敏技术的使用。脱敏技术主要分为静态脱敏和动态脱敏。

数据共享阶段

建立数据交换和共享的审核流程和监管平台。在此阶段要确保对数据共享的所有操作和行为进行日志记录，并对高危行为进行风险识别和管控。

数据销毁阶段

数据的销毁要符合数据销毁管理制度，对销毁对象、原因和流程需要明确，在整个销毁过程中要进行安全审计，保证信息不可被还原，并验证效果。针对物理销毁的介质，要进行登记、审批和交接工作。一般的销毁方法有删除文件、格式化硬盘、文件覆写和消磁等，最后要保证数据无法被复原，防止可能出现数据泄露的风险。

确保数据安全的实践

(1) 存储数据的安全

数据安全的一个基本部分是保护存储的数据。这里有三个最佳实践，可以提高数字和物理存储位置周围的安全性:

· 管理对敏感信息的访问。

根据用户ID来管理谁可以访问您的数据，这是一种将敏感信息限制为仅供需要查看的人使用的好方法。这就限制了如果某人的用户名或登录信息被盗所造成的损失。

· 加密所有的数据。

加密是保证数据安全的最佳工具之一。它可以帮助确保黑客不能使用他们可能掌握的任何信息。还应该确保对传输进行加密，以便为您发送的任何信息增加另一层安全。

· 从源头保护用户数据。

当客户和员工首次登录(或多次登录)时，可以使用统一登录等安全的身份验证实践来验证和保护他们的信息。这不仅简化了流程，减少了流失的风险，而且还有助于将所有敏感数据组织在一个位置，而不是在容易丢失的多个数据库和电子表格中。

(2) 为安全威胁做好准备

网络安全威胁是不断发展和变化的，因为黑客总是在安全系统中寻找漏洞。因此，数据安全不是一个“设置它，然后忘记它”的活动，而是一个日常活动。以下是为潜在的攻击以及发生的任何攻击的后果做好准备的主要方法:

· 加强系统测试。

最好的防御就是好的进攻，而在安全数据恢复中最好的进攻就是确保你的数据从一开始就不会丢失。但是，尽管自动化可以帮助监控系统，但它根本无法与试图闯入系统的人类的创造力相提并论。所以，最好是建立一个内部团队来对你的系统进行压力测试，或者找公司以外的人来做。

· 培育安全意识。

常见的数据安全攻击，如鱼叉式网络钓鱼电子邮件和USB陷阱，目标是那些没有意识到风险并放松了警惕的员工。每天传播来自Proofpoint的提示或实施Inspired eLearning的高管培训可以大大降低这些风险。

· 制定事故管理计划。

为数据泄露的情况制定全面的响应计划可以极大地限制数据泄露对组织的影响。IT需要知道要做什么，但也应该为管理创建指导方针，让员工知道，以及恢复的下一步步骤。

· 创建安全数据恢复计划。

如果出现了问题，或者你需要的东西被删除或泄露了，准备好处理这些问题是很重要的。对于许多团队来说，这意味着有一个定期更新的关键数据的备份副本。备份本身必须受到保护，而且应该与其他数据分开。

(3) 删除不再使用的数据

总有一天你的数据会过时或不再使用。当这种情况发生时，清除这些数据是很重要的，因为如果这些数据被攻破，它仍然可能伤害到您的用户。

以你的用户的旧密码为例，由于65%的人在多个网站上重复使用他们的密码，如果他们没有更改所有数字账户的旧密码，那么在另一家公司，旧密码仍然可能被用来泄露他们的数据。

以下是删除未使用数据的两个最佳实践：

· 知道如何以及何时删除。

当你需要摆脱数字信息的时候，你需要正确地处理它。当你不得不把敏感信息写在纸上时，你会把它撕碎。你把你的信用卡剪开，在支票上写上“无效”，然后把它们扔掉。数字数据也不例外。确保当你抹掉这些信息时，它们真的已经消失了，而不是在某个地方徘徊，而不会回来咬你一口。

· 不要忘记物理副本。

如果你的任何备份是纸质的，存储在u盘里的，是x光片、缩微胶片或底片或者其他任何与你的数字系统完全分开的物理的东西，不要忘记它们。当您删除不在使用的信息时，请确保流程的一部分是双重检查，以查看该信息是否有物理对应，如果有，则以实物方式销毁它。

(4) 进行合规审计

有一些标准可以帮助降低数据泄露的风险。你可能还需要遵守一些法律规定，以帮助你做同样的事情。

适用于你的企业的规章制度在很大程度上取决于行业和地点，所以你需要做足功课来评估哪些是规章制度。但是，如果您正在处理个人身份信息，那么您最好对自己进行审计，并确保您的业务符合要求。这不仅能让你避免法律上的麻烦，还能显著提高数据的安全性。

聚铭网络数据安全防护

作为国内领先的安全产品提供商和安全托管服务运营商，聚铭网络聚焦网络安全领域，专注于智能分析与检测，通过不断的产品研发、技术突破以及实践积累，规划了完备的“云+端”产品服务体系，覆盖了安全检测、安全管理、安全审计、数据安全以及信创安全等众多领域，为客户提供全面的信息安全防护。

“云”为聚铭云端安全管家，为广大不具备专业安全技术团队和建设能力的企业提供全方位的管家式托管服务，集中监控企业所部署的不同种类的安全产品，自动化发现和管理解决各类信息安全风险。

“端”为安全产品，为网络安防建设需求和等保合规需求的客户提供一系列安全分析与检测的产品，主要包括聚铭安全态势感知与管控平台、聚铭网络流量智能分析审计系统、聚铭综合日志分析系统、聚铭网络脆弱性扫描系统、聚铭安全管理中心、聚铭安全运维审计系统、聚铭威胁检测系统以及聚铭数据库安全审计系统、聚铭工控网络流量分析审计系统等产品。

“云+端”的体系协同满足网络安全建设的多种需求，能够在数据防泄漏、数据保护、合规审计等方面发挥重要作用。

截至目前，聚铭网络业务遍及全国32个省市地区，为电信、教育、能源、金融、政府、医疗等众多行业10000+政企客户提供了安全服务，并与其保持着长期稳定的合作关系。欢迎有数据安全管理建设需求的机构厂商前来咨询了解。