在信息技術中,靜態數據是指數字形式的計算機數據,例如云存儲、文件托管服務、數據庫或數據倉庫。靜態數據包括結構化和非結構化數據。靜態數據面臨意外損壞、黑客和內部威脅的風險,他們可以數字方式訪問數據或物理竊取數據存儲介質。為了防止訪問、修改或竊取靜態數據,組織通常使用安全控制,例如密碼保護、數據加密、物理控制和監控。這是關于數據安全的系列文章的一部分。
保護靜態數據的重要性
幾乎每個組織都面臨著重大數據泄露的風險。問題是:攻擊者是否更有可能在存儲或傳輸數據時竊取數據?存儲的數據通常被認為是惡意黑客更有吸引力的目標。誠然,數據在其生命周期的許多時間點都容易受到攻擊,但現代應用程序通常使用由安全套接字層(SSL)(一種高級加密標準)保護的連接,使攻擊者難以竊聽通信。
當數字數據長期存儲在特定的存儲配置中時,網絡攻擊者認為(大部分是正確的)它具有價值并且如果被盜將是有利的。事實上,靜態數據通常是組織中最敏感的數據,暴露可能是毀滅性的。數據泄露不僅會給企業、客戶和合作伙伴組織造成巨大損失,還會損害公司的聲譽并導致監管罰款和民事責任。
靜態數據加密
加密是對數據進行混洗的過程,因此只能使用密鑰(一串隨機值,保密)對其進行解密。硬盤加密是加密靜態數據最常用的方法。加密靜態數據可保護文件和文檔,確保只有擁有密鑰的人才能訪問它們。這些文件對其他任何人都沒有用。這可以防止數據泄露、未經授權的訪問和物理盜竊——除非攻擊者設法破壞密鑰管理方案并獲得對密鑰的訪問權限。
靜態數據與傳輸中的數據與使用中的數據
數據可以以多種狀態存在,并且可以根據業務需求快速變化。選擇合適的加密機制的第一步是了解三種數據狀態之間的主要區別,以及每種狀態所代表的具體安全挑戰:
- 傳輸中的數據——數據從一個地方移動到另一個地方。這包括通過電子郵件、協作平臺、即時消息和任何其他通信渠道傳輸的信息。此數據通常不如靜態數據安全,因為它在從一個位置移動到另一個位置時暴露在 Internet 或公司的專用網絡上。
- 靜態數據——這是非活動數據,當前不在網絡或設備之間移動。此信息已存儲并經常存檔,因此比其他狀態的數據更不容易受到攻擊。然而,公司存儲的信息通常對黑客來說非常有價值,并已成為網絡攻擊的目標。
- 使用中的數據——這是員工、公司應用程序或客戶訪問或使用的數據。處于這種狀態的數據最容易受到攻擊——無論是正在處理、讀取還是修改。授予個人直接訪問權限會使他們容易受到攻擊和人為錯誤,其中任何一種都可能產生嚴重后果。加密對于保護使用中的數據很重要。許多公司通過添加身份驗證和嚴格的數據訪問控制等安全措施來補充加密。
保護靜態數據的最佳實踐
保護存儲數據的最佳實踐包括:
- 數據分類——組織需要了解存儲中的數據、存儲位置、重要程度以及如何保護數據。數據分類是一種根據敏感性識別和組織數據的主動措施。組織需要評估其數據和應用程序并確定其優先級,以確定對其業務流程最重要的內容。數據分類可用于自動化流程并確保一致地應用標準。
- 數據加密——確保數據不會被未經授權的訪問查看。組織可以在移動敏感文件之前對其進行加密,或者使用全盤加密來保護整個存儲介質。加密密鑰高度敏感,因此最好使用加密密鑰管理服務來保護它們。
- 數據聯合——組織實施數據聯合以聚合來自不同來源的數據并將它們存儲在一個虛擬數據庫中。在這里,元數據可能會暴露,但數據本身是不可見的。這允許您聯合您的數據,將其組織在一個中央位置,并應用強大的安全控制。數據聯合解決方案在數據存儲在具有不同數據保護法的不同國家/地區的分布式數據環境中很有用。
- 數據令牌化——這種方法用占位令牌代替敏感數據,如果被盜或被攔截,這些令牌對攻擊者沒有任何價值。令牌化是一種類似于加密的方法,但通常需要更少的計算資源。
- 分層密碼保護——這種方法允許組織為不同敏感級別的數據設置訪問控制,并根據這些級別分配密碼或訪問控制。
