数据存储安全是一门 360 度学科,涵盖很多方面,包括保护 IT 资产、设置适当的安全策略、审查供应商和合作伙伴以及教育员工安全实践。它必须这样做 — 企业数据经常受到威胁。组织必须制定健全的数据安全实践,以确保其数据的完整性和安全性,免受恶意威胁、自然灾害和粗心大意的员工的影响。本文介绍了企业数据安全的 12 个最佳实践。
企业数据存储安全的 12 个最佳实践
企业数据面临风险的方式有很多种。有时这是无意的——员工可能会意外删除文件、将笔记本电脑留在机场或将咖啡洒在服务器上。其他时候它是恶意的,因为黑客试图窃取私人信息、访问专有数据或锁定系统以获取赎金。如果洪水或火灾损坏了办公空间,这甚至是很自然的。数据存储安全意味着考虑所有这些可能性并为之做好准备。以下是 12 个最佳实践,可帮助确保数据在组织的各个级别都受到保护。
1. 制定全公司范围的数据存储安全政策
企业应该有书面策略,为他们维护和使用的不同类型的数据指定适当的安全级别。政策应明确编写,在可访问的地方发布,并经常更新。与受限或机密数据相比,公共数据需要的安全性更低,但组织策略应涵盖两者以及安全模型、过程和工具,以应用适当的保护。这些策略还应详细说明要在组织使用的存储设备上部署的安全措施。
2. 建立基于角色的访问控制
基于角色的访问控制(根据组织角色与数据的交互和使用方式允许或阻止访问)是安全数据存储的必备条件。此外,多重身份验证 (MFA) 等安全措施可以为访问带来额外的安全级别。具有访问控制的部分和包裹是一种强大的密码管理策略,为安全密码和定期计划更改建立了严格的准则。
3. 部署数据加密和数据丢失防护
数据在往返存储系统和从存储系统传输时以及静态时都应加密。存储管理员还需要有一个安全的密钥管理系统来跟踪其加密密钥。许多专家表示,仅靠加密不足以提供完整的数据安全性,并建议组织还部署数据丢失防护(DLP)解决方案,即检测和防止潜在违规和未经授权的传输的软件,以帮助发现和阻止正在进行的任何攻击。
4. 保持强大的网络安全态势
存储系统不是存在于真空中,它们应该被强大的网络安全系统所包围,包括防火墙、反恶意软件保护、安全网关、入侵检测系统或高级分析和基于机器学习的安全解决方案。这些措施可以大大有助于防止大多数网络攻击者访问存储设备。组织还应实施零信任网络,该网络可以立即检测到内部网络上何时添加、删除或更改资产。这一点尤其重要,因为越来越多的最终用户“公民开发人员”在未经 IT 批准的情况下添加 IT 系统、设备和云供应商。
5. 保持强大的端点安全态势
组织还应确保在员工 PC、智能手机和其他将访问企业存储数据的设备上采取适当的安全措施。否则,这些端点(尤其是移动设备)可能是组织网络防御的弱点。允许进入公司网络的所有移动和 IoT(物联网)设备都应检查其安全设置并将其设置为企业安全标准,以便不会无意中暴露任何设备。IT 还应制定策略、程序和自动化软件,以确保操作系统、固件和应用程序的最新安全更新统一且立即地安装在现场和企业中的所有移动和物联网设备上。
6. 使用冗余存储方法
冗余存储(包括 RAID 技术)有助于提高硬盘驱动器的可用性和性能,并且可以通过将数据副本存储在多个驱动器上并在单个硬盘驱动器发生故障时启用故障转移来帮助组织缓解安全事件。
7. 创建并实施备份和恢复计划
一些成功的恶意软件或勒索软件攻击会完全破坏公司网络,以至于恢复的唯一方法是从备份中恢复。存储经理需要确保其备份系统和过程足以应对这些类型的事件以及灾难恢复目的。此外,他们需要确保备份系统具有与主系统相同的数据安全级别。应定期检查故障转移云供应商的备份系统与现场企业数据的并发性。如果备份存储在异地设施中,则应定期检查存储它们的硬盘驱动器和/或磁带介质,以确保介质没有恶化到数据损坏或无法恢复的位置。
8. 物理保护存储设备和数据
如果数据存储在远程或边缘位置的存储设备或服务器上,则这些数据存储应由零信任网络(一种安全模型,要求对尝试访问网络上资源的每个人和设备进行严格的身份验证)进行监控,并在不使用时物理隔离在锁定区域,访问受限。
9. 部署瘦客户端工作站
理想情况下,企业内部和现场使用的移动设备和桌面工作站应部署为瘦客户端,这些计算机可以访问和使用来自公司网络和其他授权来源的数据,但不能将其存储在内部硬盘驱动器或固态存储器上。这可以防止在设备丢失、被盗或放错地方时可能发生的不幸数据丢失。
10. 对丢失和放错位置的设备使用远程关机
当员工丢失或放错移动设备时,IT 应该能够远程关闭设备,使其无法访问。这最大限度地减少了未经授权的人员丢失数据或网络访问的可能性。
11. 正确审查供应商和业务合作伙伴
在与云提供商、软件供应商或业务合作伙伴签订合同之前,您的企业将与之交换数据,甚至是公司供应链中的供应商,请确保您的安全团队正确审查每个实体的政策和实践,以符合企业标准。如果您的数据由于他们的安全措施松懈而遭到破坏,客户(甚至法律当局)仍将追究您的责任。适当的审查始于 RFP 流程,其中适当的安全级别应是开展业务的记录要求。
13. 通过培训建立安全文化
不良的员工安全习惯是数据丢失和泄露的主要原因。各级所有员工应至少每年接受安全培训和进修课程,以确保遵循最佳实践,并将安全作为每个人的首要考虑因素。
底线:确保您的存储和数据安全
数据经常面临各种安全威胁,无论是自然的、无意的还是恶意行为者为窃取数据或破坏系统而实施的。良好的数据存储安全性需要警惕、规划和教育。这不仅仅是个人或团队的角色,而是整个组织的努力,必须成为文化的一部分。除了实施和缓解工作外,优秀的数据存储安全人员还将带头采用这种全公司范围的方法,确保所有员工都接受过识别风险、遵守政策以及审查合作伙伴和供应商的培训,以便在每一步保护企业资产。