什么是数据安全？

数据安全是以符合组织风险策略的方式保护数字数据免遭未经授权的访问、使用或泄露。它还包括保护数据免受干扰、篡改或破坏。

数据是每个组织的命脉，对公司的成功至关重要，因此数据保护对于各种规模的组织来说都是一个关键问题。数据安全是维护组织数据的保密性、完整性和可用性的关键所在。通过实施强有力的数据安全措施，组织能够助力保护其宝贵资产，并维持客户对公司品牌的信任。

谈及保护数据这一话题时，数据安全和数据隐私这两个概念有时会被混淆或互换使用。它们是不同的概念，但彼此协同发挥作用。为了更好地理解它们是如何协同工作的，将它们连同数据保护一起进行定义会有所帮助。

数字化转型促使各组织重新思考自身的运营方式以及与客户互动的方式。相应地，由此导致的数据呈指数级增长，这使得数据安全变得势在必行，各公司纷纷采用相关工具和做法，以更好地确保其数据的安全性和完整性，防止数据落入不法之徒手中。

近年来，随着远程办公的广泛应用、技术体系的不断扩大以及预算方面的考量（这些情况常常导致安全团队负担过重且人手不足），数据安全变得愈发关键。此外，合规要求也进一步凸显了确保良好的数据安全实践的重要性，因为地区性和全球性的合规指令范围一直在不断更新和扩展。

数据安全的益处

一个组织的数据有助于推动公司的业绩，助力创新以及开发新产品和服务，把握新的市场机遇，并提供高质量的客户服务。鉴于其重要性 —— 以及公司数据面临诸多威胁的现实情况 —— 各组织需要采用良好的数据安全实践做法。

1. 保障信息安全。数据安全可确保公司数据的安全。这是一种良好的商业实践，并且表明一个组织是妥善处理机密信息和客户数据的尽责管理者。

2. 维持品牌信任。客户需要确信组织能够保障他们的数据安全。如果一个组织曾经历过数据泄露事件，而消费者对自己的个人信息在该组织手中的安全性感到担忧，他们就会拒绝提供信息。事实上，60% 的美国消费者不太愿意与曾遭受数据泄露的品牌合作，并且在 2023 年，90% 的消费者认为供应商糟糕的安全状况会对他们的生活产生负面影响。

3. 获得竞争优势。保护公司信息是运营业务并打造竞争优势的关键部分。实际上，21% 的消费者表示，在供应商发生数据泄露事件后，他们会转而选择竞争品牌。树立保障客户数据安全的良好声誉，不仅有助于公司维系现有的客户群体，还有助于吸引那些想远离曾发生数据泄露的竞争品牌的新客户。

4. 避免财务损失。据估算，2023 年全球每次数据泄露事件平均造成 445 万美元的损失，人们对与数据泄露相关的成本愈发担忧。通过投资数据安全，企业能够降低财务损失的风险，例如支付赎金的成本、因业务运营中断而损失的收入、事件响应费用、法律费用以及监管罚款等。

组织数据面临的威胁

在当今数字化世界中，网络攻击的威胁始终存在。公司不断面临大量可能危及数据安全并导致财务损失的网络攻击。而且，公司需要担忧的不只是外部威胁，诸如员工疏忽或恶意行为者等内部威胁也可能导致数据泄露及其他安全问题。公司数据面临的诸多威胁包括：

1. 意外泄露——在使用公司数据的过程中，只需一个小意外，比如点击恶意电子邮件附件、丢失设备或者人为失误，就可能引发重大问题。

2. 社会工程学攻击——社会工程学攻击是一种常见威胁，在数据泄露事件中占比达 74%。它之所以是一种常用手段，是因为对于网络犯罪分子来说，说服毫无防备的员工采取期望的行动往往比入侵公司网络更容易。

3. 内部威胁——内部威胁通常来自当前或以往的员工、承包商或合作伙伴，他们拥有对公司网络的授权访问权限。内部人员可能并无恶意，只是因疏忽意外泄露了数据。他们也可能通过滥用特权访问权限构成恶意威胁，出于诸如间谍活动、诈骗、窃取知识产权或蓄意破坏等目的恶意行事。

4. 恶意软件——恶意软件是指任何旨在对计算机、网络或服务器造成损害的程序或代码。恶意软件包含许多子类，如勒索软件、木马病毒、间谍软件、病毒以及任何其他以恶意方式利用软件进行攻击的类型。

5. 勒索软件——勒索软件是数据面临的一种主要且日益严重的威胁，在 2022 年的数据泄露事件中占比达 25%。网络犯罪分子利用勒索软件攻击来感染设备并加密数据。然后，攻击者威胁要公开数据，除非组织支付赎金以获取解密密钥。

6. 云数据存储——随着组织利用云计算的优势，数据会被转移并存储在云端。采用云计算扩大了受攻击面，若云数据未受保护，就会给对手可乘之机。

数据安全解决方案的关键组件

威胁行为者的攻击速度、数量和复杂程度，再加上快速扩大的攻击面，意味着各组织需要落实强有力的安全措施，以尽可能保障其数据的安全。以下是各组织可以实施的十个关键的数据安全组件，用以改善其安全状况并保护高价值及敏感数据。

1. 访问控制。数据访问控制有助于规范组织内员工对文件的访问权限，便于信息技术团队管理哪些人员可以访问哪些数据。应用最小特权原则（POLP）是访问控制的最佳实践方法，即员工仅拥有执行特定工作或任务所需的最低限度的数据访问权限，仅此而已。

2. 云数据安全。云安全是一系列技术、政策、服务以及安全控制措施的集合，旨在保护组织在云计算系统中的敏感数据、应用程序和运行环境。云安全应当成为组织网络安全战略不可或缺的一部分，以确保跨云环境的数据隐私和保护。

3. 数据丢失防护（DLP）。数据丢失防护是一种整体安全策略，侧重于在数据使用、传输和存储过程中检测并防止数据丢失、泄露或误用。数据丢失防护也是企业对关键业务信息进行分类并确保公司数据政策符合相关法规要求的一种方式。

4. 电子邮件安全。电子邮件安全对于保护组织的数字信息至关重要。它是保护公司电子邮件账户、内容以及通信免遭未经授权的访问、丢失或破坏的过程。这有助于保护数据免受诸如网络钓鱼和黑客攻击等恶意攻击。电子邮件安全还有助于确保电子邮件安全送达，并且机密信息不会泄露给未经授权的人员。

5. 密钥管理。密钥管理通过对加密密钥的生成、交换、存储、删除和更新进行管理，来保障密钥的安全性。这能确保敏感数据的安全，防止未经授权的访问。密钥管理还能确保所有用户在正确的时间有权访问正确的密钥。这有助于组织掌控自身的数据，确保只有经授权的人员能够访问数据。通过密钥管理，公司还可以追踪谁在何时访问了哪些密钥。

6. 治理、风险与合规（GRC）。治理、风险与合规是公司用于在实现业务目标的同时管理风险并满足相关监管要求的一组政策和流程。治理、风险与合规有助于公司的信息技术团队与业务目标保持一致，并确保所有利益相关者清楚各自的责任。落实治理、风险与合规，公司可以确保遵循行业最佳实践和合规要求，同时将运营相关风险降至最低。

密码安全规范

密码安全规范有助于保护公司的账户和数据免遭网络犯罪分子的侵害。它涉及选择、管理并保持良好的密码使用习惯，以保护组织的账户和数据。为确保最大限度的安全，对所有在线账户使用独特且强度高的密码非常重要，这样一来，即便一个密码被泄露，其他密码仍能保持安全。

1. 身份验证与授权。身份验证与授权用于控制对计算机资源的访问。通过使用身份验证与授权工具，组织能够确保只有经授权的用户可以访问他们所需的资源，同时保护数据免遭误用或被盗。它们还有助于监控用户活动，并确保符合组织的政策和程序。

2. 零信任。简单来说，零信任就是 “不信任任何人，始终进行验证”。这一安全框架要求所有用户，无论身处组织网络内部还是外部，在被授予或继续保有对应用程序和数据的访问权限之前，都必须经过身份验证、授权，并持续验证其安全配置和状态。零信任假定不存在传统的网络边界 —— 网络可以是本地部署的、位于云端的，或者二者兼具，并且资源和工作人员可以位于任何地方。

常见的数据安全类型

数据安全技术都直接与组织的数据相关，以帮助组织理解三个关键方面：

（1）知晓数据存储位置以及哪些数据是敏感数据；

（2）控制数据移动，并使用以数据为中心的控制措施，无论数据存储在何处都能对其进行保护；

（3）启用最小特权访问和使用方式，以最大程度地保护数据。

一些最常见的数据安全类型包括加密、数据掩码、数据擦除和数据弹性恢复。

1. 加密。加密通过转换信息来隐藏信息，使其看起来像是随机数据 —— 就像密码一样 —— 掩盖了其真实含义。加密利用高级算法对数据进行编码，对于没有密钥的任何用户来说，这些数据毫无意义。授权用户利用密钥对数据进行解码，将隐藏的信息转换回可读格式。

2. 数据掩码。数据掩码使组织能够通过将敏感信息变得难以辨认但仍可使用的方式来保护并保持其隐私性。数据掩码通过模糊和替换特定字母或数字来隐藏数据，这使得数据对攻击者毫无用处，但授权人员仍可使用。

3. 数据擦除。当组织不再需要某一特定数据集时，数据擦除可确保数据从系统中永久删除。通过覆盖存储设备上的数据，使数据无法恢复，从而实现数据清理。

4. 数据弹性恢复。数据弹性恢复是创建数字数据和其他业务信息备份副本的过程，这样一来，组织就可以在数据因损坏、删除或在数据泄露过程中被盗的情况下恢复数据。数据备份对于组织的弹性恢复至关重要，使其能够在自然灾害或网络攻击期间快速恢复。

数据安全最佳实践

数据安全市场涵盖了广泛的技术和最佳实践，用于在数字数据的整个生命周期中对其进行保护。这个生命周期从数据创建延伸到数据销毁，包括硬件、软件、技术和平台的不同层面。它还包括组织的运营政策和程序。以下是一些最常见的数据安全最佳实践：

1. 身份验证：遵循身份和访问管理程序，例如使用多因素身份验证（MFA）来确认每个用户的身份，防止数据被未经授权访问。

2. 执行最小特权原则（POLP）：也被称为 “最小特权访问” 原则，POLP 通过仅向那些需要数据来开展工作的人员提供访问权限，确保数据免受未经授权用户的访问。否则，将拒绝访问。

3. 定期备份数据：数据备份是数据安全的一个重要组成部分，以确保你拥有数据副本，从而能够在尽量少受干扰的情况下继续正常运营。这可以确保数据不会丢失。

4. 实施端点安全：组织应该实施一个全面的解决方案，通过检测和响应能力来保护端点，以降低风险并防止可能危及数据的网络攻击。

5. 培训员工：如果员工和其他利益相关者不清楚政策内容或者不了解需要遵循的最佳实践来确保自身受到保护，那么强大的安全策略也毫无用处。实施网络安全培训计划，让员工了解对手试图获取数据的最常见方式，以及数据丢失可能对组织和他们个人生活产生的负面影响。

6. 制定明确的政策：员工应该能够理解并遵守安全政策，包括在发生事件时每个用户的角色，以及每个用户可以访问哪些类型的数据、资源。

7. 保护所有连接设备：笔记本电脑和手机是对手获取敏感数据最常见的攻击途径。此外，许多物联网（IoT）设备也可能连接到你的网络，如打印机、摄像头、蓝牙设备等。保护物联网设备是数据安全的重要组成部分。

8. 加强物理和云安全：无论你的数据是存储在本地还是云端，都需要足够的安全措施来保护数据免受对手侵害。物理保护包括防止入侵者，以及防火、防水和防范自然灾害。如果数据存储在云端，要落实云安全措施。

保障数据安全的关键框架

在过去几十年间，全球及地区性的数据保护法规陆续出台，旨在解决因收集的个人数据呈指数级增长而引发的隐私问题。

以下是一些组织在考虑合规要求背景下的数据安全问题时应参考的主要数据隐私法规：

1.《通用数据保护条例》（GDPR）

2. ISO/IEC 27001 标准

3.《加利福尼亚消费者隐私法》（CCPA）

4.《健康保险流通与责任法案》（HIPAA）

5.《萨班斯 - 奥克斯利法案》（SOX）

6.《支付卡行业数据安全标准》（PCI DSS）