发布日期:2024 年 4 月 5 日
撰稿人:Annie Badman、Matthew Kosinski
数据保护是保障敏感信息免于数据丢失和损坏的做法。其目标是保护数据并确保其可用性并符合监管要求。
有效的数据保护战略不仅仅是保护数据那么简单,它还会在丢失或损坏的情况下复制和恢复数据。这是因为数据保护的主要原则是保护数据并支持数据可用性。可用性意味着即使数据受损、丢失或损坏,例如在数据泄露或恶意软件攻击的情况下,用户也能访问业务运营所需的数据。
这种对数据可用性的关注有助于解释为什么数据保护与数据管理密切相关;后者这是一种更广泛的实践,侧重于在数据的整个生命周期中管理数据,以确保数据准确、安全并能够用于战略业务决策。
如今,数据保护战略既包括传统的数据保护措施(如数据备份和还原功能),也包括业务连续性和灾难恢复 (BCDR) 计划。因此,许多组织正在采用灾难恢复即服务 (DRaaS) 之类的服务,作为其更广泛的数据保护战略的一部分。
尽管许多人将数据保护和数据安全这两个术语互换使用,但它们代表两个截然不同的领域,有着关键性的区别。
数据安全是数据保护的一个子集,侧重于保护数字信息免遭未经授权的访问、破坏或盗窃。它涵盖信息安全的各个方面,包括物理安全、组织政策和访问控制。
相比之下,数据保护涵盖了所有数据安全性实践,并通过强调数据可用性发挥更大作用。
数据保护和数据安全都包括数据隐私。数据隐私的重点是支持以下一般原则的政策:个人应对其个人数据拥有控制权,包括决定组织如何收集、存储和使用其数据的能力。
换句话说,数据安全和数据隐私都是更广泛的数据保护领域的子集。
要了解数据保护的重要性,请考虑数据在我们社会中的作用。每当有人在线创建个人资料、在应用程序上购物或浏览网页时,他们就会留下个人数据,这使得个人数据不断增多。
对于企业而言,这些数据至关重要。它可以帮助他们简化运营、更好地为客户提供服务并做出重要的业务决策。实际上,许多组织非常依赖数据,以至于即使是短暂的停机或少量的数据丢失也可能严重损害其运营和利润。
根据 IBM 的数据泄露成本报告,2023 年数据泄露的全球平均成本为 445 万美元,三年内增长了 15%。
因此,许多组织将数据保护作为其更广泛的网络安全工作的一部分。通过强大的数据保护策略,组织可以修补漏洞,更好地保护自己免受网络攻击和数据泄露的侵害。在发生网络攻击时,数据保护措施可以挽救生命,通过确保数据可用性来缩短停机时间。
数据保护措施还可以帮助组织遵守不断变化的监管要求,其中许多要求可能会导致巨额罚款。例如,2023 年 5 月,爱尔兰数据保护机构对总部位于美国加利福尼亚州的 Meta 公司处以 13 亿美元的罚款,原因是该公司违反了 GDPR 规定(ibm.com 外部链接)。数据保护强调数据隐私,可以帮助组织避免这些违规行为。
数据保护战略还能提供有效信息生命周期管理 (ILM) 的许多好处,如简化个人数据处理,更好地挖掘关键数据以获得重要见解。
在数据是许多组织命脉的世界中,企业越来越需要知道如何尽其所能加工、处理、保护和利用其关键数据。
政府和其他机构认识到数据保护的重要性,因此制定了越来越多的隐私法规和数据标准,公司必须遵守这些法规和数据标准才能与客户开展业务。
一些最常见的数据法规和标准包括:
《通用数据保护条例》(GDPR) 是欧盟 (EU) 颁布的全面数据隐私框架,旨在保护被称为“数据主体”之个人的个人信息。
GDPR 主要关注个人身份信息 (PII),并对数据提供商提出了严格的合规要求。该法案要求欧洲境内和境外的组织对其数据收集行为必须透明。组织还必须采取一些特定的数据保护措施,例如任命数据保护官来监督数据处理。
GDPR 还赋予欧盟公民对其 PII 的更大控制权,以及对个人数据(例如姓名、身份证号码、医疗信息、生物识别数据等)的更多保护。不受 GDPR 约束的数据处理活动仅包括国家安全或执法活动,以及纯粹的个人数据使用。
GDPR 最令人瞩目的一点是其对违规行为毫不妥协的态度。它对不遵守隐私法规的组织处以巨额罚款。这些罚款最高可达组织全球年营业额的 4% 或 2000 万欧元,以较高者为准。
美国于 1996 年通过了《健康保险流通和责任法案》(HIPAA)。该方案规定了医疗保健实体和企业处理患者个人健康信息 (PHI) 的准则,以保证其保密性和安全性。
根据 HIPAA,所有“受保实体”都必须遵守某些数据安全和合规标准。这些实体不仅包括医疗保健提供方和保险计划,还包括可接触 PHI 的业务关联方。数据传输服务、医疗转录服务提供商、软件公司、保险公司和其他处理 PHI 的公司必须遵守 HIPAA 的规定。
《加州消费者隐私法案》(CCPA) 是美国具有里程碑意义的数据隐私法。
与 GDPR 一样,它也让企业有责任对其数据实践保持透明,并赋予个人对其个人信息的更多控制权。根据 CCPA,加州居民可以要求企业提供所收集数据的详细信息、选择退出数据销售以及要求删除数据。
但是,与 GDPR 不同,CCPA(以及许多其他美国数据保护法)是选择退出而不是选择加入。企业可以使用消费者信息,除非另有明确规定。此外,CCPA 仅适用于年收入超过特定金额门槛或处理大量个人数据的公司,这使得它与许多(但不是所有)加州企业息息相关。
支付卡行业数据安全标准 (PCI-DSS) 是一套用于保护信用卡数据的监管准则。PCI-DSS 并非一项政府法规,而是由一个名为支付卡行业安全标准委员会 (PCI SSC) 的独立监管机构执行的一套合同承诺。
PCI-DSS 适用于处理持卡人数据的任何业务,无论是收集、存储还是传输持卡人数据。即使第三方处理组织涉及信用卡交易,接受支付卡的公司仍有责任遵守 PCI-DSS,并必须采取必要措施安全地管理和存储持卡人数据。
随着数据保护环境的发展,几种趋势正在影响组织用于保护敏感信息的策略。
其中一些趋势包括:
数据可移植性强调数据在平台和服务之间的无缝移动。这一趋势通过促进数据在应用程序和系统之间的传输,使个人能够更好地控制自己的数据。数据可移植性还符合提高客户透明度和放权程度的总体趋势,使用户能够更有效地管理其个人数据
随着智能手机的广泛使用,组织越来越关注移动设备上的数据安全。因此,许多企业将更多精力放在移动数据保护上;移动数据保护为智能手机和平板电脑实施了强大的数据安全措施,包括加密和安全身份验证方法。
勒索软件攻击的兴起促使许多组织采用先进的数据保护策略。
勒索软件是一种恶意软件,它会锁定受害者的数据或设备,并威胁不将其解锁,甚至更糟糕的是,仅在受害者向攻击者支付赎金后才解锁。根据 IBM Security X-Force Threat Intelligence Index 2023,勒索软件攻击占 2022 年网络攻击总数的 17%。此外,预计在 2023 年,勒索软件攻击将使受害者总共损失 300 亿美元(ibm.com 外部链接)。
这些攻击的性质不断变化,从而要求企业实施积极的安全措施,如定期备份、实时威胁检测和员工培训,以减轻勒索软件的影响并保护敏感信息。
复制数据管理 (CDM) 可帮助组织更好地管理和控制重复数据,从而降低存储成本并增强数据可访问性。CDM 是信息生命周期管理 (ILM) 的重要组成部分,因为它在有助于最大限度提高数据价值的同时,还可最大限度减少冗余和存储效率低下问题。
组织通常使用多种数据保护解决方案和技术来抵御网络威胁,并确保数据的完整性、机密性和可用性。
其中一些解决方案包括:
- 数据丢失预防 (DLP) 包括网络安全团队用来保护敏感数据免于被盗、丢失和滥用的策略、流程和技术。DLP 跟踪用户活动并标记可疑行为,以防止未经授权的访问、传输或泄漏敏感信息。
- 数据备份涉及定期创建和存储关键信息的次要版本。备份可确保组织在发生数据丢失或损坏时能够迅速将其系统恢复到以前的状态,从而最大限度地减少停机时间和潜在损失,实现对数据可用性的支持。
- 防火墙通过监视和控制传入和传出的网络流量,充当数据的第一道防线。这些安全屏障强制执行预先确定的安全规则,防止未经授权的访问。
- 身份验证和授权技术,例如多因素身份验证,可验证用户的身份并规范他们对特定资源的访问。它们共同确保只有获得授权的个人才能访问敏感信息,从而增强整体数据安全性。
- 加密将数据转换为编码格式,如果没有相应的解密密钥,则无法读取。这项技术可保护数据传输和数据存储,为防止未经授权的访问提供额外的保护。
- 端点安全侧重于保护个人设备(例如计算机和移动设备)免受恶意活动的侵害。它可以包括一系列解决方案,例如防病毒软件、防火墙和其他安全措施。
- 防病毒和反恶意软件解决方案检测、预防和删除可能危害数据的恶意软件,包括病毒、间谍软件和勒索软件。
- 补丁管理确保软件、操作系统和应用程序具有最新的安全补丁。定期更新有助于补上漏洞并防范潜在的网络攻击。
- 数据擦除解决方案可确保从存储设备中安全、完整地删除数据。在停用硬件以防止未经授权访问敏感信息时,擦除尤为重要。
- 归档技术有助于系统地存储和检索历史数据。存档有助于实现合规性,并帮助组织有效地管理数据,从而降低数据丢失的风险。
- 认证和审核工具可帮助组织评估和证明对行业法规和内部政策的遵守情况。定期审计还能确保数据保护措施得到有效实施和维护。
- 诸如 DRaaS 之类的灾难恢复解决方案可在发生中断事件后恢复 IT 基础架构和数据。灾难恢复通常包括全面的规划、数据备份策略和机制,以最大限度地减少停机时间。