如何保护静态数据
Posted: Sun Mar 23, 2025 6:30 am
保护敏感信息已成为大多数公司的义务,无论 它们位于 世界 何处。以欧盟《通用数据保护条例》 (GDPR)为首的新一轮数据保护立法使公司 在法律面前 对保护 个人身份信息(PII)等敏感数据负有责任。
与此同时,美国还出台了专门的法律,如 管理美国医疗保健信息的 《健康保险隐私及责任法》和保护全球信用卡号码的《支付卡行业数据安全标准》等标准 。不遵守这些法律和标准可能会导致监管罚款和业务损失。不遵守规定的公司还可能被禁止参与利润丰厚的竞标。
因此,数据保护已成为许多公司的首要任务。在制定网络安全战略时,组织不仅必须在其行业和国家法律框架的背景下定义敏感数据对他们意味着什么,还必须考虑数据可能处于的三种不同状态:
静态数据:存储在硬盘上、已存档或不经常访问或修改的静态数据。
正在使用的数据:网络内由 台湾电话格式 多个用户频繁更新且非常活跃的数据。
传输中的数据:正在网络外传输且受第三方服务控制的数据,其安全性无法得到保证。
为什么静态数据需要保护
传输中的数据或动态数据被视为最易受攻击的数据类型,因为它们通过互联网传输,在企业网络安全之外,通过云存储或第三方服务提供商等潜在不安全的渠道传输到信息安全政策较松懈的目的地。动态数据还可能成为中间人 (MITM) 网络攻击的受害者,这种攻击针对的是传输过程中的数据。
然而,尽管静态数据受到公司网络安全策略的保护,并且通常存储在公司网络本地,但它仍然面临来自外部恶意人员和 内部威胁的风险。静态数据往往是网络犯罪分子更有吸引力的目标,因为可窃取的信息量比传输中的数据包要大。过去十年中许多最引人注目的数据泄露事件都涉及静态数据的盗窃。恶意内部人员在窃取数据时也会以静态数据为目标,原因与外部人员相同:这代表着更大的收益。
静态数据也特别容易受到员工疏忽的影响。如果有人未经授权访问工作计算机,或者公司设备被盗或丢失,则可以通过 USB 闪存驱动器启动设备并绕过登录凭据轻松访问和窃取设备上的静态数据。在 COVID-19 疫情期间,这成为一个特别重要的问题,因为大多数公司被迫允许员工 远程工作并将公司发放的设备带回家。
保护静态数据
传统的防病毒软件和防火墙是用于保护静态数据的最常见安全措施。然而,这些措施无法保证数据免受针对个人的网络钓鱼或社会工程攻击,这些攻击会诱骗个人泄露凭证和敏感信息,从而危及公司的数据安全。它们也无法保护敏感数据免受内部威胁。访问控制可以成为减少静态数据漏洞的有效措施,只允许需要访问敏感数据的员工在本地存储数据。
公司保护静态数据免受员工疏忽影响的最好和最简单的方法之一是实施 加密解决方案。操作系统的本机数据加密工具(例如 Windows 的 BitLocker 和 macOS 的 FileVault)允许组织加密员工硬盘,以确保如果有人窃取或找到公司设备,他们无法在没有加密密钥的情况下访问它,即使使用 USB 启动计算机也是如此。
使用数据丢失预防工具保护静态数据
公司可以更进一步:为了保护静态数据,他们可以使用数据丢失防护 (DLP) 解决方案,该解决方案可以同时阻止或限制 USB、移动设备或可移动存储驱动器的连接。这样,恶意 USB 就无法连接到设备并感染设备,也无法用于启动计算机。它们还可以防止数据通过存储设备泄露。某些解决方案(如 Endpoint Protector) 甚至提供强制加密功能,允许员工使用公司批准的 USB 设备,但确保复制到设备上的所有文件都经过加密。
使用内容检查和上下文扫描,DLP 工具还可以根据预定义或自定义内容、文件名或特定合规性配置文件,在员工计算机上本地存储的数百种文件类型中搜索敏感数据 。根据结果,可以采取补救措施。可以加密或删除找到的敏感数据,以确保其不会被盗用或滥用。DLP 解决方案提供了一种远程控制员工计算机上的敏感信息的方法,当不再需要访问时将其删除,并充当数据管理中的额外安全层。
与此同时,美国还出台了专门的法律,如 管理美国医疗保健信息的 《健康保险隐私及责任法》和保护全球信用卡号码的《支付卡行业数据安全标准》等标准 。不遵守这些法律和标准可能会导致监管罚款和业务损失。不遵守规定的公司还可能被禁止参与利润丰厚的竞标。
因此,数据保护已成为许多公司的首要任务。在制定网络安全战略时,组织不仅必须在其行业和国家法律框架的背景下定义敏感数据对他们意味着什么,还必须考虑数据可能处于的三种不同状态:
静态数据:存储在硬盘上、已存档或不经常访问或修改的静态数据。
正在使用的数据:网络内由 台湾电话格式 多个用户频繁更新且非常活跃的数据。
传输中的数据:正在网络外传输且受第三方服务控制的数据,其安全性无法得到保证。
为什么静态数据需要保护
传输中的数据或动态数据被视为最易受攻击的数据类型,因为它们通过互联网传输,在企业网络安全之外,通过云存储或第三方服务提供商等潜在不安全的渠道传输到信息安全政策较松懈的目的地。动态数据还可能成为中间人 (MITM) 网络攻击的受害者,这种攻击针对的是传输过程中的数据。
然而,尽管静态数据受到公司网络安全策略的保护,并且通常存储在公司网络本地,但它仍然面临来自外部恶意人员和 内部威胁的风险。静态数据往往是网络犯罪分子更有吸引力的目标,因为可窃取的信息量比传输中的数据包要大。过去十年中许多最引人注目的数据泄露事件都涉及静态数据的盗窃。恶意内部人员在窃取数据时也会以静态数据为目标,原因与外部人员相同:这代表着更大的收益。
静态数据也特别容易受到员工疏忽的影响。如果有人未经授权访问工作计算机,或者公司设备被盗或丢失,则可以通过 USB 闪存驱动器启动设备并绕过登录凭据轻松访问和窃取设备上的静态数据。在 COVID-19 疫情期间,这成为一个特别重要的问题,因为大多数公司被迫允许员工 远程工作并将公司发放的设备带回家。
保护静态数据
传统的防病毒软件和防火墙是用于保护静态数据的最常见安全措施。然而,这些措施无法保证数据免受针对个人的网络钓鱼或社会工程攻击,这些攻击会诱骗个人泄露凭证和敏感信息,从而危及公司的数据安全。它们也无法保护敏感数据免受内部威胁。访问控制可以成为减少静态数据漏洞的有效措施,只允许需要访问敏感数据的员工在本地存储数据。
公司保护静态数据免受员工疏忽影响的最好和最简单的方法之一是实施 加密解决方案。操作系统的本机数据加密工具(例如 Windows 的 BitLocker 和 macOS 的 FileVault)允许组织加密员工硬盘,以确保如果有人窃取或找到公司设备,他们无法在没有加密密钥的情况下访问它,即使使用 USB 启动计算机也是如此。
使用数据丢失预防工具保护静态数据
公司可以更进一步:为了保护静态数据,他们可以使用数据丢失防护 (DLP) 解决方案,该解决方案可以同时阻止或限制 USB、移动设备或可移动存储驱动器的连接。这样,恶意 USB 就无法连接到设备并感染设备,也无法用于启动计算机。它们还可以防止数据通过存储设备泄露。某些解决方案(如 Endpoint Protector) 甚至提供强制加密功能,允许员工使用公司批准的 USB 设备,但确保复制到设备上的所有文件都经过加密。
使用内容检查和上下文扫描,DLP 工具还可以根据预定义或自定义内容、文件名或特定合规性配置文件,在员工计算机上本地存储的数百种文件类型中搜索敏感数据 。根据结果,可以采取补救措施。可以加密或删除找到的敏感数据,以确保其不会被盗用或滥用。DLP 解决方案提供了一种远程控制员工计算机上的敏感信息的方法,当不再需要访问时将其删除,并充当数据管理中的额外安全层。