什么是数据安全

来源：https://www.ibm.com/topics/data-security

一、为什么数据安全很重要?

数据安全是在数字信息的整个生命周期内保护其不受未经授权的访问、损坏或盗窃的实践。这个概念涵盖了信息安全的各个方面，从硬件和存储设备的物理安全到管理和访问控制，以及软件应用程序的逻辑安全。它还包括组织政策和程序。

如果实施得当，稳健的数据安全策略将保护一个组织的信息资产免受网络犯罪活动的侵害，但它们也能防范内部威胁和人为错误，这仍然是目前导致数据泄露的主要原因之一。数据安全涉及部署工具和技术，以增强组织对关键数据所在位置及其使用方式的可见性。理想情况下，这些工具应该能够应用诸如加密、数据屏蔽（ data masking）和敏感文件修订等保护措施，并且应该自动报告以简化审计并符合法规要求。

业务挑战

数字转型正深刻地改变着当今企业运作和竞争的方方面面。企业创建、操作和存储的数据量正在增长，并推动了对数据治理的更大需求。此外，计算环境比以前更加复杂，经常跨越公共云、企业数据中心和大量边缘设备，从物联网(IoT)传感器到机器人和远程服务器。这种复杂性造成了更大的攻击面，更难以监控和安全。

与此同时，消费者对数据隐私重要性的认识正在上升。受公众对数据保护倡议需求增加的推动，近期出台了多项新的隐私法规，包括欧洲的《通用数据保护条例》(GDPR)和《加州消费者保护法》(CCPA)。这些规则加入了长期存在的数据安全条款，如保护电子健康记录的《健康保险可携带性和责任法案》(Health Insurance Portability and Accountability Act, HIPAA)和保护上市公司股东不受会计错误和财务欺诈影响的《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act, SOX)。由于罚款最高可达数百万美元，每个企业都有强大的财务激励，以确保其保持合规。

数据的业务价值从未像今天这样巨大。商业秘密或知识产权(IP)的丢失可能会影响未来的创新和盈利能力。因此，信誉对消费者来说越来越重要，足足有75%的消费者表示，他们不会从那些他们不相信能保护自己数据的公司购买产品。

二、数据安全的类型

1、加密

通过使用一种算法将普通文本字符转换为不可读格式，加密密钥将数据打乱，以便只有经过授权的用户才能读取数据。文件和数据库加密解决方案通过加密或令牌化（tokenization）掩盖敏感卷的内容，从而成为最后一道防线。大多数解决方案还包括安全密钥管理功能。

2、数据擦除

比标准数据擦除更安全，数据擦除使用软件完全覆盖任何存储设备上的数据。它验证数据是不可恢复的。

3、数据屏蔽

通过屏蔽数据，组织可以允许团队使用真实数据开发应用程序或培训人员。它在必要时屏蔽了个人身份信息(PII)，以便在兼容的环境中进行开发。

4、数据弹性

弹性取决于数据中心承受或恢复任何类型故障(从硬件问题到电力短缺和其他破坏性事件)的能力。

三、数据安全能力和解决方案

数据安全工具和技术应该解决当今复杂、分布式、混合和/或多云计算环境的安全所固有的日益增长的挑战。这包括了解数据驻留在哪里，跟踪谁有权访问数据，以及阻止高风险活动和潜在的危险文件移动。全面的数据保护解决方案可以使企业采用集中式方法进行监控和策略实施，从而简化任务。

1、数据发现和分类工具

敏感信息可以驻留在结构化和非结构化数据存储库中，包括数据库、数据仓库、大数据平台和云环境。数据发现和分类解决方案自动识别敏感信息的过程，以及评估和补救漏洞。

2、数据和文件活动监控

文件活动监视工具分析数据使用模式，使安全团队能够看到谁正在访问数据，发现异常，并识别风险。还可以为异常活动模式实现动态阻塞和警报。

3、漏洞评估和风险分析工具

这些解决方案简化了检测和减轻漏洞(如过时软件、错误配置或弱密码)的过程，还可以识别暴露风险最大的数据源。

4、自动合规性报告

具有自动报告功能的全面数据保护解决方案可以为企业范围的合规性审计跟踪提供集中式存储库。

四、数据安全策略

全面的数据安全策略将人员、流程和技术结合在一起。建立适当的控制和政策既是一个组织文化问题，也是一个部署正确的工具集的问题。这意味着将信息安全作为企业所有领域的优先事项。

1、服务器和用户设备的物理安全

无论您的数据是存储在本地、公司数据中心还是公共云中，您都需要确保设施免受入侵者入侵，并有足够的灭火措施和气候控制。云提供商将代表您承担这些保护措施的责任。

2、访问管理和控制

在整个IT环境中都应该遵循“最低权限访问”的原则。这意味着将数据库、网络和管理帐户的访问权限授予尽可能少的人，并且只授予那些绝对需要访问权限来完成工作的人。

3、应用程序安全性和补丁

所有软件在发布补丁或新版本后，应尽快更新到最新版本。

4、备份

维护所有关键数据的可用的、经过彻底测试的备份副本是任何健壮的数据安全策略的核心组件。此外，所有备份都应该遵循同样的物理和逻辑安全控制，这些安全控制控制着对主要数据库和核心系统的访问。

5、员工教育

培训员工，让他们了解良好的安全实践和密码卫生的重要性，并教他们识别社会工程攻击，这将使他们成为一个“人类防火墙”，可以在保护你的数据方面发挥关键作用。

6、网络和端点安全监视和控制

跨您的本地环境和云平台实现一套全面的威胁管理、检测和响应工具和平台，可以降低风险并降低被入侵的可能性。

五、数据安全趋势

1、人工智能

人工智能放大了数据安全系统的能力，因为它可以处理大量数据。认知计算是人工智能的一个子集，与其他人工智能系统执行相同的任务，但它是通过模拟人类的思维过程来实现的。在数据安全方面，这允许在关键需要时快速决策。

2、多云安全

随着云计算能力的增长，数据安全的定义也在不断扩大。现在，组织需要更复杂的解决方案，因为他们不仅要为数据寻求保护，还要为跨公共和私有云运行的应用程序和专有业务流程寻求保护。

3、量子

量子技术是一项革命性的技术，它有望以指数形式颠覆许多传统技术。加密算法将变得更加多方面、更加复杂和更加安全。

六、数据安全性和其他安全方面如何相互作用

1、实现企业级数据安全

应用有效的数据安全策略的关键是采用基于风险的方法来保护整个企业的数据。在战略开发过程的早期，考虑到业务目标和法规需求，涉众应该确定一个或两个包含最敏感信息的数据源，并从那里开始。在建立了清晰而严格的政策来保护这些有限的资源之后，他们可以将这些最佳实践以优先级的方式扩展到企业数字资产的其他部分。实现的自动数据监视和保护功能可以使最佳实践更易于伸缩。

2、数据安全和云

保护基于云的基础设施需要一种不同于在网络外围部署防御的传统模型的方法。它需要全面的云数据发现和分类工具，以及持续的活动监测和风险管理。云监控工具可以位于云提供商的数据库即服务(database-as-a-service, DBaaS)解决方案之间，监控传输中的数据或将流量重定向到现有的安全平台。这允许在数据驻留的任何地方都统一应用策略。

3、数据安全与BYOD

个人电脑、平板电脑和移动设备在企业计算环境中的使用正在上升，尽管安全部门领导有充分理由担心这种做法可能带来的风险。最近的一项调查发现，85%的公司不仅允许员工，而且允许承包商、供应商和供应商通过个人设备访问企业资源。提高自带设备(BYOD)安全性的一个方法是，要求使用个人设备访问公司网络的员工在这些设备上安装安全软件，以加强对数据访问和移动的集中控制和可见性。另一个策略是在企业范围内建立安全第一的心态，通过教导员工这些行为的价值，鼓励员工使用强密码、多因素认证、定期软件更新和设备备份以及数据加密。