您当前的位置:   首页 > 新闻中心
如何保护结构化和非结构化数据
发布时间:2021-05-13 20:25:56   阅读次数:

如何保护结构化和非结构化数据(图1)

每一项有效的PII保护工作都涉及三个关键的当务之急:数据发现、访问治理和风险缓解。处理隐私要求的IT团队需要在非结构化和结构化数据上下文中考虑这些因素。尽管《通用数据保护条例》(General Data Protection Regulation, GDPR)和《加州消费者隐私法案》(California Consumer Privacy Act, CCPA)等法规概述了对处理个人身份信息(PII)的期望,但当涉及到成功所需的策略时,它们并没有多大帮助。让我们来看看一些有效的策略——以及它们在结构化和非结构化数据上的区别。


数据发现

一个典型的组织管理超过1000万个文件中的非结构化数据,这些文件包含从市场和销售信息到客户合同、员工保险和人力资源信息的所有内容。在这些文件中发现PII仍然是我们这个时代最困难的数据安全挑战之一,其中的原因很容易理解。另一方面,很难理解为什么结构化数据发现也会很困难。


结构化数据库应该可以很容易地映射到PII——但是数据库的设计往往早于现代隐私法规,因此,很少有生产数据库在设计时考虑到隐私。敏感信息通常分散在不同的数据库、不同的表和不同的字段中。有时,PII在表之间或不相关的数据库中重复。发现这一切可能比你想象的更难,但这是至关重要的第一步。PII保护从发现PII开始。


幸运的是,新兴的自动PII发现工具可以帮助在结构化和非结构化数据中找到PII。在非结构化数据世界中,规则和最终用户分类程序长期以来一直用于识别PII,但它们并不有效或易于管理。另一方面,在组织的数据库中寻找PII是一个确定哪些数据库和表包含受管制的数据、确定重复和访问风险的问题。最近的人工智能(AI)创新在结构化和非结构化数据的自动发现方面显示出了希望。


数据访问控制

清楚和全面地了解谁能够获得PII以及他们如何能够这样做,是理解风险和实施缓解战略的关键。但是对于结构化数据和非结构化数据,这些“谁和如何”的概念有很大的不同。例如,支持web应用程序的大型数据库,例如那些处理电子商务操作的数据库,通常通过少量的服务帐户将这些应用程序连接到数据库。追踪谁有访问权限通常不是问题。与数据库的API连接越来越多地扩展了访问,有时扩展到了组织本身之外。不用说,即使确定谁有访问权限可能很简单,但每个连接都需要仔细监督。


对非结构化数据的编目访问要复杂得多。授权的最终用户会做出非常重要的访问控制决策,而这些决策是分散的和不受治理的。与外部或个人电子邮件的不恰当共享,链接共享(特别是未受保护或未过期的链接),存储在指定地点之外的文件和通过数据丢失预防(DLP)服务溜走的非机密文件只是数据丢失的几种方式。在这种情况下理解和管理访问是一个巨大的治理挑战。


与数据发现过程一样,人工智能最近的创新可以明确谁有访问权,以及PII访问是否合适。人工智能可以根据文档内容和用于类似内容的安全实践来评估风险,取代依赖于文件位置、模式匹配规则或最终用户文档标记的遗留方法。


风险缓解

安全专业人员现在对他们所拥有的数据以及风险所在有了清晰的了解,可以制定更有效的PII保护策略。保护结构化和非结构化数据的策略同样是完全不同的。以下是降低结构化数据风险的一些关键技巧:

  • 重构您的数据库以消除重复,澄清数据结构,并使您离开后必须从事这项工作的人更容易发现PII。

  • 令牌化和/或加密敏感字段,以在访问控制最佳实践之上添加额外的安全层。

  • 删除你不需要的。坦率地说,不需要的多年前数据的重大PII泄漏是一个非强制错误。

  • 探索用于API安全性和细粒度数据库访问控制的新兴技术。目前大多数服务帐户都有非常广泛的访问权限,因此,糟糕的API设计或实现可能是薄弱环节。看看你能做些什么来收紧局面。


对于非结构化数据,也有一些新兴的策略需要考虑:

  • 为所有业务关键型数据争取在文件级别上的最低权限访问控制。

  • 利用基于人工智能的自动化来发现数据和评估风险。

  • 文件夹级别的安全还不够好——在我们的研究中,我们发现几乎每个组织的所有文件夹中都有敏感文件。

  • 持续监控局势。用户每年创建成千上万个新文件,一次审计是无法解决问题的。

  • 寻找将您的整个安全堆栈纳入PII风险管理工作的方法。例如,使用AI,您现在可以自动评估风险并自动将文件标记为敏感文件。这些标签有助于防止数据丢失解决方案更快、更准确地完成工作。


遵从性是一个复杂的主题,对于特定的数据和监管环境,每种情况都是不同的。清楚地了解如何发现、评估和保护结构化和非结构化数据及其差异,将为有效和可管理的程序提供基础,以保护关键的PII和受管制的数据。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609