當今，資料安全變得更加複雜。經過識別的安全管理對於一系列關鍵任務是至關重要的，包括確保每個使用者都能準確地訪問資料和應用程式，以及確保敏感資料不會過度公開。

一 保護敏感資料的安全解決方案

新聞中到處都是資料洩露的訊息，而且組織都很清楚，即使他們達到了PCI遵從性或SOX遵從性，新的遵從性法規（如GDPR）要求更嚴格的資料安全控制。為了幫助改善企業的安全性和遵從性狀況，我列出了12個常見的資料安全解決方案，用於保護敏感資料和透過審計。

1 資料發現與分類

為了有效地保護您的資料，您需要確切地知道您擁有哪些敏感資訊。資料發現和分類解決方案將根據行業標準或您的自定義需求（如PCI DSS資料、GDPR資料和IP）掃描您的資料儲存庫，找出您認為重要的資料型別，將其分類，並用數字簽名清楚地標記其分類。可以使用這些標籤來集中您的資料安全資源，並實現根據資料對組織的價值保護資料的控制。如果資料被修改，則可以更新其分類。任何時候，都應採取控制措施，防止使用者篡改分類級別；例如，只有經過授權的使用者才能降級資料的分類。

2 防火牆

防火牆是網路的第一道防線，因為它將一個網路與另一個網路隔離開來。防火牆將不需要的流量排除在網路之外。另外，透過開啟特定的埠，駭客就沒有那麼大的空間進入或下載資料。根據組織的防火牆策略，防火牆可能完全不允許某些流量或所有流量，或者它可能對部分或全部流量執行驗證。

3 備份和恢復

備份和恢復解決方案幫助組織在資料被刪除或銷燬時保護自己。所有關鍵業務資產都應該定期備份，以提供冗餘，這樣，如果出現伺服器故障、意外刪除或來自勒索軟體或其他攻擊的惡意破壞，就可以快速恢復資料。

4防毒

防毒軟體是個人和商業使用中最廣泛採用的安全工具之一。市場上有許多不同的防毒軟體供應商，但他們都使用幾乎相同的技術來檢測惡意程式碼，即簽名和啟發式。防病毒解決方案幫助檢測和刪除木馬、rootkit和病毒，這些病毒能夠竊取、修改或破壞你的敏感資料。

5 入侵檢測和防禦系統(IDS/IPS)

傳統的入侵檢測系統（IDS）和入侵防禦系統（IPS）對網路流量進行深度包檢測，並記錄潛在的惡意活動。可以將IDS配置為評估系統事件日誌，檢視可疑的網路活動，併發出關於似乎違反安全設定的會話的警報。IPS提供了檢測功能，但也可以終止被認為是惡意的會話，但通常僅限於非常粗糙和明顯的攻擊，如DDoS。警報和行動之間幾乎總是有一個分析步驟——安全管理員評估警報是否構成威脅，威脅是否與他們相關，以及他們是否可以對此做些什麼。IPS和IDS對資料保護非常有幫助，因為它們可以阻止駭客使用漏洞和惡意軟體進入您的檔案伺服器，但這些解決方案需要在收到警報時做出會話刪除決定之前進行良好的調優和分析。

6 安全資訊和事件管理(SIEM)

安全資訊和事件管理（SIEM）解決方案為網路裝置、伺服器和軟體應用程式記錄的安全日誌提供實時分析。SIEM解決方案不僅可以聚合和關聯傳入的事件，而且還可以執行事件重複資料刪除：刪除同一個例項上的多個報告，然後根據警報和觸發器標準採取行動。它通常還提供分析工具，幫助您只找到當前需要的事件，如與資料安全相關的事件。SIEM解決方案對於資料安全調查至關重要。

7 資料丟失預防(DLP)

8 訪問控制

在大多數情況下，不應允許使用者在本地複製或儲存敏感資料；相反，他們應該被迫遠端操縱資料。此外，理想情況下，敏感資料永遠不應該儲存在任何型別的便攜系統中。所有系統都應該要求某種型別的登入，並且應該設定條件，以便在出現可疑使用時鎖定系統。

此外，只有經授權的人員才能查閱敏感檔案。使用者許可權的授予應嚴格遵循特權最小原則。訪問控制列表（ACL）指定了誰可以訪問什麼資源以及訪問的級別。它可以是作業系統或應用程式的內部部分。ACL）l可以基於白名單或黑名單。白名單是允許的專案列表；黑名單列出了禁止的事情。在檔案管理過程中，白名單ACL）的使用比較普遍，通常在檔案系統級別進行配置。例如，在Microsoft Windows中，您可以配置NTFS許可權並從中建立NTFS訪問控制列表。您可以在此NTFS許可權管理最佳實踐列表中找到有關如何正確配置NTFS許可權的更多資訊。請記住，應該在具有基於角色的訪問控制（RBAC）的每個應用程式中實現訪問控制；例如Active Directory組和委託。

9 雲安全解決方案

個人和企業越來越傾向於收集和儲存越來越多的資料。這導致了直接連線儲存（DAS）、網路區域儲存（NAS）、儲存區域網路（SAN）和現在的雲端儲存。雲端儲存使您能夠儲存越來越多的資料，而不必擔心伸縮性問題。

儘管有這些好處，但從安全的角度來看，雲端儲存可能是麻煩的。您需要確保雲提供商能夠充分保護您的資料，並確保擁有適當的冗餘、災難恢復等。請確保對資料進行加密、備份，並儘可能多地實施控制。

您可以從銷售安全即服務（SECaaS）的雲安全提供商那裡獲得幫助，SECaaS是一種基於訂閱的業務模型，大型服務提供商將其安全服務整合到企業基礎設施中，並在訂閱的基礎上提供這些服務。訂閱者不需要內部硬體，所提供的服務可以包括諸如身份驗證、反病毒、反惡意軟體/間諜軟體和入侵檢測等。透過這種方式，SECaaS可以作為許多線上威脅的緩衝。

10 審計

正常保護您的敏感資訊，還需要審計系統和試圖訪問關鍵資料的變化。例如，任何超過最大登入失敗次數的帳戶都應該自動報告給資訊保安管理員以便調查。能夠發現敏感資訊和相關許可權的更改是至關重要的。透過使用歷史資訊來了解敏感資料的使用情況、使用人員以及去向，您可以第一時間構建有效和準確的策略，並預測環境中的更改可能如何影響安全性。這個過程還可以幫助您識別以前未知的風險。有一些第三方工具可以簡化變更管理和使用者活動的審計，比如Netwrix Auditor。

11 資料加密

當你有絕密檔案，即使被竊取也不希望被讀取時，資料加密是非常重要的。以竊取資訊為目標的網路嗅探和其他駭客攻擊是如此常見，以至於密碼、信用卡號和其他敏感資訊可以透過未加密協議被竊取。加密通訊協議為這種隱私缺乏提供了一種解決方案。例如，如果沒有安全套接字層（SSL）加密，網站上的信用卡交易將非常不方便或不安全。

雖然私人資料可以被加密演算法保護，但加密也可以被駭客使用。如果攻擊者使用加密的通訊通道，設計用於嗅探網路流量以獲取攻擊簽名的昂貴的網路入侵檢測系統是無用的。通常，為客戶安全提供的加密網路訪問被攻擊者使用，因為它難以監控。因此，所有關鍵資料都應該在靜止或在網路上傳輸時進行加密。

行動式系統如果要儲存任何型別的重要資料，也應該使用加密磁碟解決方案。對於儲存關鍵或專有資訊的桌面系統，加密硬碟驅動器將有助於避免關鍵資訊的丟失。除了基於軟體的加密外，還可以應用基於硬體的加密。在某些BIOS配置選單的高階配置設定中，可以選擇啟用或禁用TPM （Trusted Platform Module）晶片，該晶片可以儲存加密金鑰、密碼或證書。TPM可用於協助生成雜湊鍵，並幫助保護智慧手機和PC之外的其他裝置。

12 物理安全

在討論資料安全性時，物理安全性經常被忽視。較差的物理安全策略可能會導致您的資料完全受損。每個工作站都應該被鎖定，以免被移出該區域。此外，應放置一個鎖，使機箱不能開啟，暴露系統的內部；否則，儲存資料的硬碟驅動器或其他敏感元件可能被刪除和損壞。實現BIOS密碼來防止攻擊者使用可移動介質啟動到其他作業系統也是一種很好的做法。

另一種企業資料洩露工具是帶有攝像頭的智慧手機，它可以拍攝高解析度的照片和影片，並錄製高質量的聲音。要保護你的檔案不被使用這些移動裝置的內部人士竊取，或者發現有人在對帶有敏感資料的監視器或白板拍照，是非常困難的，但你應該制定政策，禁止在大樓內使用攝像頭。

每個人的工作區域和裝置在無人看管之前應該是安全的。例如，檢查門，抽屜和窗戶，不要把檔案留在你的桌子上。所有敏感資料的硬複製都應該被鎖起來，當不再需要它們時，就完全銷燬。另外，不要共享或複製鑰匙、身份證、鎖碼等。

在丟棄或回收磁碟驅動器之前，請完全刪除磁碟驅動器上的所有資訊，並確保資料不再可恢復。包含關鍵資訊的舊硬碟和其他IT裝置應物理銷燬；指派一個特定的IT工程師親自控制這個過程。

二 資料安全管理最佳實踐

1 資料訪問最佳實踐

建立一個完整的使用者和資源清單，並保持更新。

與部門經理和其他企業所有者

合作

，確定您的敏感資料在哪裡以及誰擁有這些資料。

確定誰有權訪問組織中的內容以及誰擁有哪些資料。例如，您可以使用PowerShell指令碼或第三方軟體匯出檔案伺服器的訪問列表。

透過建立安全組並使使用者成為適當組的成員來建立安全結構。

為每個組分配對共享資料的適當訪問權。

授權資料所有者控制他們自己的資料訪問許可權。

稽核資料所有者的操作，確保所有操作都得到授權。

建立訪問請求工作流（例如請求門戶），以便使用者可以輕鬆地請求訪問其工作所需的資料。

對敏感資料的訪問和變更進行審計和報告。

執行訪問認證程式，使訪問與業務需求保持一致。

2 檔案伺服器許可權最佳實踐

讓使用者使用域使用者帳號而不是本地帳號登入。這種方法集中了共享許可權的管理。

建立檔案伺服器許可權策略，明確定義許可權管理過程。

刪除除指定用於檔案交換的全域性資料夾外的所有資源的Everyone許可權。

將許可權分配給組，而不是使用者帳戶。這種方法使您能夠在無需重新分配許可權的情況下向組中新增使用者或從組中刪除使用者，從而簡化了管理並提高了準確性。

給每一組起一個簡潔而有描述性的名字，以避免錯誤。

定義反映組織中特定部門或特定角色的訪問需求的許可權集。

分配仍然允許使用者執行其工作的限制性最強的許可權。例如，如果使用者只需要 讀取資料夾中的資訊，而不需要修改、刪除、建立檔案，則只能設定為“只讀”許可權。

配置您的資源，使具有相同安全需求的物件位於相同的資料夾中。例如，如果使用者需要對多個應用程式資料夾具有Read許可權，請將這些資料夾儲存在同一個父資料夾中。然後將Read許可權授予父資料夾，而不是單獨共享每個單獨的應用程式資料夾。

避免顯式拒絕共享資源的許可權。通常，只有當您想要覆蓋已經分配的特定許可權時，才需要顯式地拒絕許可權；這可能表明許可權是直接分配的，而不是透過組成員關係分配的，或者使用者屬於錯誤的組。

僅將“完全控制”許可權分配給“管理員”組，並嚴格限制該組的成員資格。管理應用軟體和控制使用者許可權。

建立一個“全域性拒絕”組，這樣當員工離開公司時，您就可以透過使他們成為組的成員來快速刪除他們所有的檔案伺服器訪問。

審計對檔案伺服器許可權的每次更改，並總是檢查這些更改是否經過授權。

3 運營最佳實踐

將遵從性需求作為網路安全基礎。簡單地說，合規法規旨在迫使公司防範重大威脅並保護敏感資料。儘管滿足法規遵從性需求還不足以保證完整的資料安全，但它將幫助您走上風險管理和資料保護的正確道路。

制定明確的網路安全政策。制定一項政策，明確說明敏感資料的處理方式以及違反資料保護的後果。確保所有員工閱讀和理解該政策，將減少關鍵資料因人為行為而受損或丟失的風險。

構建和測試備份和恢復計劃。公司必須為一系列的洩露場景做好準備，從輕微的資料丟失到完全的資料中心破壞。確保關鍵資料加密、備份和離線儲存。設定將加速恢復的角色和過程，並定期測試計劃的每個部分。

實行自帶裝置政策。允許使用者使用其個人裝置訪問您的網路會增加網路安全風險。因此，建立過程和規則，在安全考慮與便利性之間進行平衡。例如，可以強制使用者保持他們的軟體是最新的。記住，個人裝置比公司裝置更難追蹤。

定期提供安全培訓。幫助您的員工識別並避免勒索軟體攻擊、網路釣魚詐騙和其他對您的資料和IT資源的威脅。

保留網路安全人才。網路安全專家如今是稀缺商品，所以要採取措施留住人才。投資自動化工具，消除日常任務，這樣他們就可以專注於實施強大的資料安全技術，以對抗不斷演變的網路威脅。

4 技術最佳實踐

根據資料的值和敏感性進行分類。獲取您所擁有的所有資料的全面清單，包括本地資料和雲資料，並對其進行分類。與大多數資料安全方法一樣，自動進行資料分類是最好的。不要依賴忙碌的員工和容易出錯的手工流程，而是尋找一種能夠準確可靠地分類敏感資料（如信用卡號碼或醫療記錄）的解決方案。

定期進行許可權審查。對資料和系統的訪問應該基於最低許可權原則。由於使用者角色、業務需求和IT環境不斷變化，因此需要與資料所有者一起定期審查許可權。

執行漏洞評估。主動尋找安全漏洞並採取措施減少受到攻擊的風險。

執行強密碼策略。要求使用者每季度更改憑證並使用多因素身份驗證。由於管理憑證更強大，所以要求至少每月更改一次。此外，不要使用共享的管理員密碼，因為這樣就不可能追究個人對其行為的責任。

5 非結構化資料的安全最佳實踐

迭代資料發現：問題的本質不斷變化，所以對問題的理解需要不斷適應。

集中的許可權管理：使用者在授予對敏感資訊的訪問權方面比以往任何時候都要更集中。組織必須確保持續實施正確的資料訪問，同時仍然允許使用者進行協作。

使用者活動監視：記錄對敏感資料的所有訪問請求，可以清楚地瞭解惡意活動，特別是當日志與其他來源的事件相關聯時。

資料安全控制：對靜止的、正在使用的和移動中的資料進行加密，使得攻擊者以一種可用的形式竊取資料的難度呈指數增長。如果實現得當，加密還可以為許多隱私法規的違反通知要求提供安全港。

適當使用：“跟蹤資料”的能力，並加強使用者列印、電子郵件或資料的複製，確保授權使用者安全地使用敏感資訊。

三 小結

一些行業要求高水平的資料安全，以符合資料保護法規。例如，處理支付卡資訊的組織必須安全地使用和儲存支付卡資料，而美國的醫療保健組織必須按照HIPAA標準保護私有健康資訊（PHI）。但是，即使您的組織不受法規或遵從性標準的約束，現代企業的生存也依賴於資料安全性，因為可能會影響組織的關鍵資產和屬於客戶的私有資料。

好了，今天的文章分享到這就結束了，要是喜歡的朋友，請點個關注哦！——我是簡搭（jabdp），我為自己“帶鹽”，感謝大家關注。