安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能介绍
产品简介
下载中心
帮助中心
客户列表
关于安企神

三个方法减少安全漏洞的数据安全措施

最近更新时间:2022-06-11 14:07:04


本文简介:行业领先的智能应用网络解决方案提供商Radware公司最近进行的一项调查表明,近一半(45%)的受访者表示在2017年遭遇数据泄露,68%的受访者表示并不能够确保组织的信息安全。尽管不断出现违规行为,以及数据隐私保护措施(如“通用数据保护条例”)即将实施,很多企业却仍然在采用过时和无效的安全政策和流程,这将使其数据安全变得更加脆弱。当前这种数据不安全的状态是由于组织需要通过内部和外部共享信息来最大

三个方法减少安全漏洞的数据安全措施

行业领先的智能应用网络解决方案提供商Radware公司最近进行的一项调查表明,近一半(45%)的受访者表示在2017年遭遇数据泄露,68%的受访者表示并不能够确保组织的信息安全。尽管不断出现违规行为,以及数据隐私保护措施(如“通用数据保护条例”)即将实施,很多企业却仍然在采用过时和无效的安全政策和流程,这将使其数据安全变得更加脆弱。


三个方法减少安全漏洞的数据安全措施(图1)



当前这种数据不安全的状态是由于组织需要通过内部和外部共享信息来最大限度地发挥其数据的价值。但面临的问题是,大多数组织主要关注网络安全、保护和加强周边环境,却忽略了其数据往往容易受到内部威胁的事实。如果攻击者实施攻击,就会遭遇惨重的损失。此外,虽然外部不能对大多数的企业关键数据所在的数据库进行访问,但这不足以抵御日益增长的网络安全威胁。

企业为了避免数据灾难,应该采取以下三个步骤:

步骤1:在使用数据的地方实施高级加密

全球发生的一些最大的数据泄露事件通常是内部人员采取的行为所导致的,而涉及内部参与人员的数据安全事件的数量在不断增加,Verizon公司预测,四分之一的违规行为是内部人员泄露所为。据IBM公司报道,仅在医疗保健行业的违规行为,涉及内部人员的事件就占68%。

加密并不是数据库中的新功能,但如今的加密措施必须以更具战略性和系统性的方式实施,以保护数据免受网络犯罪分子和内部人员的威胁。企业要依靠一个加密系统进行加密,其不仅要禁止外来者进入,而且还要确保系统管理员或其他内部人员在系统中的安全操作。此外,高级加密系统至关重要。具体来说,可以支持频繁的密钥轮换。或者换句话说,系统组件或数据子集的部分数据泄露不会导致整个组织的数据泄露。

最重要的是,在使用数据的地方需要进行加密,并且必须全程加密,直到数据进入数据集或数据库进行解密,而企业的系统管理员或网络工程师在此期间无法访问。通过自动和快速的细粒度密钥轮换和基于角色的访问控制,高级加密有助于提供安全管理员与任何系统、网络或数据库管理员之间的职责分离——这将大大减少数据的曝光量。

步骤2:使用编辑来避免共享敏感数据

企业需要平衡数据保护和分享能力。编辑是抑制敏感数据泄露的过程,例如个人身份信息(PII)。这对于有效数据的安全性至关重要,因为企业希望能够在导入、导出或复制数据进出数据库时删除或屏蔽信息。

这使组织能够灵活地与正确的受众共享正确的数据视图,同时保护来自查询和更新的敏感信息(如姓名和社会安全号码)。

步骤3:在单个文档级别实现元素级安全性

许多数据库很容易受到攻击,因为它们没有采用细粒度的安全控制。显然,锁定所有数据不是一个很好的选择。企业的内部员工不仅需要访问,而且企业还必须为合作伙伴、承包商、顾问、审计员,以及其他关键成员共享数据。

组织需要进行适当的安全控制,以确保正确的数据可以与组织内部和外部的人员共享。编辑数据是必备要素,但企业也需要能够在单个文档级别实施基于角色的访问控制。例如,允许管理员查看人员的社会安全号码,但对内部操作人员访问和使用隐私信息进行一些限制。

但是,组织不应该止步于此。元素级安全性可以进一步提高数据安全性,使管理人员可以将额外的细粒度控制应用于文档的各个部分。这可以保护敏感信息,无论出现在文档结构中的哪个位置,也不管其架构如何。

结语

通过增强数据库级别的安全性,可以消除许多常见的数据安全漏洞。那么企业是否利用了这三种策略来保护其数据免受当前威胁(包括内部人员)?通过选择具有高级加密、内置修订,以及元素级别安全性的数据库,企业可以通过保护其最关键的资产系统来提供所需的敏捷性。




齐向东:企业实现数据安全需“三防”:防违法、防盗窃、防勒索

齐向东:企业实现数据安全需“三防”:防违法、防盗窃、防勒索(图1)


【猎云网北京】7月3日报道

2022年7月2日,2022全国工商联主席高端峰会暨全国优强民营企业助推黑龙江高质量发展大会在哈尔滨市举行,北京工商联副主席、奇安信集团董事长齐向东发表以“企业数据要‘三防’:防违法、防盗窃、防勒索”的主题演讲,他指出,企业数据违法将面临巨额罚款,需加快建立自证清白的技术体系,以内生安全守护企业数据安全。

“防违法”:企业数据活动违法将面临国家审查、APP下架、巨额罚款

自2017年《网络安全法》出台后,我国陆续颁布了一系列规范数据活动的法律法规,企业数据往往涉及国家秘密、企业秘密和个人秘密。

“董事长知道企业数据活动违法了吗?”齐向东指出,数据活动涉及一系列环节,包括采集、存储、使用、共享、销毁等,每一个环节都面临国家监管。企业数据违法将面临诸多问题——

首先,企业数据违法将面临国家审查,自去年7月开始,我国多家企业因涉嫌数据违法被启动网络安全审查,数据违法将影响企业发展;其次,企业数据违法面临APP下架风险,近几年,我国连续开展App侵害用户权益专项整治,因违规收集个人信息、大数据杀熟、弹窗广告等违规行为被通报、下架的违法违规APP累计近3000款,数据违法影响公司经营;此外,企业数据违规还将面临巨额罚款,欧盟《通用数据保护条例》实施以来,共计开出罚单超1200张,罚款总额超15.81亿欧元,约合人民币110.5亿元,涉及亚马逊、谷歌、WhatsApp等大型企业,数据违法影响企业营收。

2022年6月5日,我国《关于开展数据安全管理认证工作的公告》要求企业加快完善数据安全体系,防止数据违法。齐向东建议,企业需加快建立自证清白的技术体系,利用网络安全技术来保证企业数据能审查、能告警、能自证清白。

齐向东:企业实现数据安全需“三防”:防违法、防盗窃、防勒索(图2)

“防盗窃”:82%数据被盗涉及人为因素

由于企业数据涉及方方面面,数据一旦被偷,可能危害国家安全、滋生网络诈骗、破坏企业经营。2022年4月,国家安全机关公布,有间谍窃取我国电信运营商、航空公司等单位的部分数据并发送至境外,损害国家利益。

“董事长知道企业的数据被盗窃了吗?”由于企业数据存在于企业多种设备及各类人员之中,据威瑞森Verizon的《2022 数据泄露调查报告》显示,数据泄露事件中82%涉及人为因素。

齐向东分析称,数据被盗共有两大原因:“内鬼”和外部攻击。

他表示,防“内鬼” 的核心是管特权。特权账号是通往企业数据大门的“钥匙”,是在业务流程中对重要数据进行访问或操作的都是特权账号。因此,利用安企神软件建立特权账号和涉密数据外发审批机制可实现对企业数据的全面管控。

防止外部攻击要利用API安全卫士,为API上锁。API接口是数字系统的神经元,应用场景广泛,一个中型数字化企业中的API接口数量可能多达10万个,通过API接口盗窃数据已成为网络攻击的重点。利用API安全卫士实现对API进行访问控制,阻断针对API漏洞的网络攻击。

“防勒索”:建立内生安全体系满足“三防”需求

勒索攻击已经成为数字经济时代的“流行病”。据美国Cybersecurity Ventures预测,2022年,预计每11秒将发生一次勒索攻击,全年超过300万次。2021年3月,电脑巨头宏碁遭遇REvil勒索软件攻击,黑客开出高达5000万美元的赎金,约合人民币3.25亿元。

“董事长知道企业数据被勒索了吗?”齐向东表示,企业防勒索,当务之急是做好基础防护。奇安信保障数据安全的“五件套”:特权账号管理、堡垒机、数据库审计、API安全卫士和数据安全态势感知。“五件套”可以帮助企业围绕重要数据资产夯实基础安全防护,提高整体防护水平。

此外,齐向东还建议,数据安全是网络安全的一部分,确保数据安全,需要做好体系化的防御工作,只有建设起内生安全体系,强化整体的安全能力,才能最终满足企业数据安全“防违法”“防盗窃”“防勒索”的实际需求。

据悉,此次会议是由中华全国工商业联合会、黑龙江省人民政府主办,全国工商联经济服务部、黑龙江省商务厅、黑龙江省工商联承办,主题为“携手奋进新征程 助力龙江新辉煌”。国家部委相关领导,黑龙江省委、省政府、省政协相关领导,黑龙江省委省政府部门主要负责同志,黑龙江省内民营企业、商会代表以及签约双方代表等应邀出席。会议旨在为黑龙江省的数字经济、生物经济、冰雪经济、创意经济等新兴产业蓄势腾飞,头部企业、重点企业赴龙江布局,打造一流营商环境,打造投资新型热土等方面为黑龙江全面赋能。


本文为 数据安全 收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/9355.html