在信息技術(shù)中,靜態(tài)數(shù)據(jù)是指數(shù)字形式的計算機數(shù)據(jù),例如云存儲、文件托管服務(wù)、數(shù)據(jù)庫或數(shù)據(jù)倉庫。靜態(tài)數(shù)據(jù)包括結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。靜態(tài)數(shù)據(jù)面臨意外損壞、黑客和內(nèi)部威脅的風險,他們可以數(shù)字方式訪問數(shù)據(jù)或物理竊取數(shù)據(jù)存儲介質(zhì)。為了防止訪問、修改或竊取靜態(tài)數(shù)據(jù),組織通常使用安全控制,例如密碼保護、數(shù)據(jù)加密、物理控制和監(jiān)控。這是關(guān)于數(shù)據(jù)安全的系列文章的一部分。
保護靜態(tài)數(shù)據(jù)的重要性
幾乎每個組織都面臨著重大數(shù)據(jù)泄露的風險。問題是:攻擊者是否更有可能在存儲或傳輸數(shù)據(jù)時竊取數(shù)據(jù)?存儲的數(shù)據(jù)通常被認為是惡意黑客更有吸引力的目標。誠然,數(shù)據(jù)在其生命周期的許多時間點都容易受到攻擊,但現(xiàn)代應(yīng)用程序通常使用由安全套接字層(SSL)(一種高級加密標準)保護的連接,使攻擊者難以竊聽通信。
當數(shù)字數(shù)據(jù)長期存儲在特定的存儲配置中時,網(wǎng)絡(luò)攻擊者認為(大部分是正確的)它具有價值并且如果被盜將是有利的。事實上,靜態(tài)數(shù)據(jù)通常是組織中最敏感的數(shù)據(jù),暴露可能是毀滅性的。數(shù)據(jù)泄露不僅會給企業(yè)、客戶和合作伙伴組織造成巨大損失,還會損害公司的聲譽并導(dǎo)致監(jiān)管罰款和民事責任。
靜態(tài)數(shù)據(jù)加密
加密是對數(shù)據(jù)進行混洗的過程,因此只能使用密鑰(一串隨機值,保密)對其進行解密。硬盤加密是加密靜態(tài)數(shù)據(jù)最常用的方法。加密靜態(tài)數(shù)據(jù)可保護文件和文檔,確保只有擁有密鑰的人才能訪問它們。這些文件對其他任何人都沒有用。這可以防止數(shù)據(jù)泄露、未經(jīng)授權(quán)的訪問和物理盜竊——除非攻擊者設(shè)法破壞密鑰管理方案并獲得對密鑰的訪問權(quán)限。
靜態(tài)數(shù)據(jù)與傳輸中的數(shù)據(jù)與使用中的數(shù)據(jù)
數(shù)據(jù)可以以多種狀態(tài)存在,并且可以根據(jù)業(yè)務(wù)需求快速變化。選擇合適的加密機制的第一步是了解三種數(shù)據(jù)狀態(tài)之間的主要區(qū)別,以及每種狀態(tài)所代表的具體安全挑戰(zhàn):
- 傳輸中的數(shù)據(jù)——數(shù)據(jù)從一個地方移動到另一個地方。這包括通過電子郵件、協(xié)作平臺、即時消息和任何其他通信渠道傳輸?shù)男畔ⅰ4藬?shù)據(jù)通常不如靜態(tài)數(shù)據(jù)安全,因為它在從一個位置移動到另一個位置時暴露在 Internet 或公司的專用網(wǎng)絡(luò)上。
- 靜態(tài)數(shù)據(jù)——這是非活動數(shù)據(jù),當前不在網(wǎng)絡(luò)或設(shè)備之間移動。此信息已存儲并經(jīng)常存檔,因此比其他狀態(tài)的數(shù)據(jù)更不容易受到攻擊。然而,公司存儲的信息通常對黑客來說非常有價值,并已成為網(wǎng)絡(luò)攻擊的目標。
- 使用中的數(shù)據(jù)——這是員工、公司應(yīng)用程序或客戶訪問或使用的數(shù)據(jù)。處于這種狀態(tài)的數(shù)據(jù)最容易受到攻擊——無論是正在處理、讀取還是修改。授予個人直接訪問權(quán)限會使他們?nèi)菀资艿焦艉腿藶殄e誤,其中任何一種都可能產(chǎn)生嚴重后果。加密對于保護使用中的數(shù)據(jù)很重要。許多公司通過添加身份驗證和嚴格的數(shù)據(jù)訪問控制等安全措施來補充加密。
保護靜態(tài)數(shù)據(jù)的最佳實踐
保護存儲數(shù)據(jù)的最佳實踐包括:
- 數(shù)據(jù)分類——組織需要了解存儲中的數(shù)據(jù)、存儲位置、重要程度以及如何保護數(shù)據(jù)。數(shù)據(jù)分類是一種根據(jù)敏感性識別和組織數(shù)據(jù)的主動措施。組織需要評估其數(shù)據(jù)和應(yīng)用程序并確定其優(yōu)先級,以確定對其業(yè)務(wù)流程最重要的內(nèi)容。數(shù)據(jù)分類可用于自動化流程并確保一致地應(yīng)用標準。
- 數(shù)據(jù)加密——確保數(shù)據(jù)不會被未經(jīng)授權(quán)的訪問查看。組織可以在移動敏感文件之前對其進行加密,或者使用全盤加密來保護整個存儲介質(zhì)。加密密鑰高度敏感,因此最好使用加密密鑰管理服務(wù)來保護它們。
- 數(shù)據(jù)聯(lián)合——組織實施數(shù)據(jù)聯(lián)合以聚合來自不同來源的數(shù)據(jù)并將它們存儲在一個虛擬數(shù)據(jù)庫中。在這里,元數(shù)據(jù)可能會暴露,但數(shù)據(jù)本身是不可見的。這允許您聯(lián)合您的數(shù)據(jù),將其組織在一個中央位置,并應(yīng)用強大的安全控制。數(shù)據(jù)聯(lián)合解決方案在數(shù)據(jù)存儲在具有不同數(shù)據(jù)保護法的不同國家/地區(qū)的分布式數(shù)據(jù)環(huán)境中很有用。
- 數(shù)據(jù)令牌化——這種方法用占位令牌代替敏感數(shù)據(jù),如果被盜或被攔截,這些令牌對攻擊者沒有任何價值。令牌化是一種類似于加密的方法,但通常需要更少的計算資源。
- 分層密碼保護——這種方法允許組織為不同敏感級別的數(shù)據(jù)設(shè)置訪問控制,并根據(jù)這些級別分配密碼或訪問控制。
