数据无处不在，它是组织的一切。在这个数字化时代，数据不仅仅局限于收集个人信息、病史或财务背景。组织正在收集各种各样的数据。此外，物联网（IoT）、人工智能和机器学习（AI/ML）、云存储、SaaS和大数据的引入也引发了数据的爆炸式增长。

根据Splunk，领导者认为这些数据对于他们的组织来说，在总体成功率（81%）、创新（75%）和网络安全（78%）方面都是非常有价值的。三分之二（67%）的受访者预计，到2025年，数据量将增长近5倍。

随着所有这些高价值数据的收集，组织现在必须了解这些数据是谁、什么、何时以及如何被访问和使用的。使用增强和透明的加密保护数据、审核每项活动并确保适当的访问控制不是任何组织的选择，而是必须的。

数据安全焦虑是真实存在的

不幸的是，收集这些有价值的数据会给企业的整体成功带来各种威胁和风险。组织经常受到以下威胁和风险的影响：

威胁

• 证件被盗
  

• 弱加密

• 恶意软件和勒索软件感染

• 权限提升

风险

• 数据泄露

• 数据暴露

• 数据过滤

这些袭击的频率逐年增加。在这些数据泄露之后，企业已经花费数百万美元来恢复其数据并修复其声誉。

最大的存储安全挑战

保护大量数据带来了各种挑战。组织不仅要保护他们的数据不受外部威胁，还要保护他们的数据免受内部威胁。根据ZDNet一名俄罗斯公民最近因试图招募特斯拉员工并黑客攻击公司而被捕。幸运的是，该员工报告了这一事件，但通常情况下，保护数据不受不满员工的影响，与确保数据不受外部威胁一样重要。上面的例子只是一个值得关注的领域。以下是一些组织在寻求保护数据免受公司内外威胁时面临的一些其他常见安全挑战：

并非所有加密解决方案都是相同的

Schneier的安全部门的Bruce Schneier说得很好：“有两种加密方式：一种是阻止你的妹妹读你的日记，另外一种是阻止你的政府。”让我们承认，加密现在是一种商品。加密可在操作系统、文件系统、磁盘层、数据库和应用程序上使用。这种加密真的能保护数据免受各种密码攻击吗？没有密钥轮换策略、强/唯一初始化向量、强加密算法和密钥管理策略的组织只是在检查复选框——它们并没有真正保护数据。

职责分工不充分

公司在外围安全上花费数百万美元来保护他们的数据。但他们往往错过了安全链中最薄弱的环节：管理、管理和操作计算机系统的人。保护数据不受存储和系统管理员保护的访问控制不足和不当是最大的安全漏洞。

权限访问控制不充分和不当

安全和系统管理员一直在努力解决与加密相关的停机问题。如果没有正确的解决方案，停机时间可能长达数周甚至数月。安全领导明白，仅仅转动一把万能钥匙是不够的。为了保护数据，有必要使用新的密钥材料对数据进行重新加密。对大容量数据进行周期性的密钥轮换为提供全天候数据可用性带来了挑战。

加密可消除压缩和重复数据消除

所收集数据的爆炸式增长大大增加了存储需求和成本。各行业的领导者都在研究各种高级存储功能，如压缩和重复数据消除，以节省存储成本。加密只是取消压缩和重复数据消除。

管理大量加密密钥

随着跨多个不同存储系统的数据加密，加密密钥的管理就成了问题。正如BruceSchneier在其著作《应用密码术》中所说，“密钥管理是密码学中最困难的部分，而且通常是其他安全系统的致命弱点。”

在操作系统级别进行数据保护

安全性很难在大型组织中实现；不够透明，无法在各种应用程序服务器上运行，这会降低这些服务器的速度。在许多方面，通过使用操作系统级别的透明加密可以减轻这些顾虑。如前所述，有多种级别可以使用加密，但是在操作系统层进行保护有很多好处。周边安全不足以防止勒索软件和恶意软件攻击。新时代的恶意软件足够聪明，可以穿透防火墙，窃取用户凭据，并在企业网络上感染自己。防止这些未经授权的应用程序或恶意软件运行并允许它们直接打开磁盘设备，可以在操作系统级别加以阻止。

透明文件级加密

• 应用程序不需要任何代码更改，因为加密、密钥轮换和访问控制对所有应用程序都是透明的。
  

• 用于增强加密的每个文件夹或文件的唯一加密密钥或初始化向量（IV）。

• 定期透明地旋转密钥并重新加密数据，以防止加密攻击，而不会出现任何停机时间。

特权用户访问控制

• 细粒度访问控制以保护数据。什么、何时、如何以及谁可以访问数据？

• 允许管理员在不读取数据的情况下执行备份和维护系统。

数据访问审核日志记录

• 为各种法规遵从性要求添加完整的审核跟踪。

• 安全管理员可以查看日志并调整访问控制规则。

• 确定谁在访问数据，以及他们是否真的需要访问。

设备保护和应用程序白名单

• 只允许受信任的应用程序直接访问磁盘设备。

• 对这些应用程序进行签名以防止任何代码注入。

摘要

随着数据的显著增长，以及新的、严格的合规法规（如GDPR和CCPA）的出台，这些法规可能会对不合规行为处以巨额罚款，现在，组织了解如何保护其数据不受外部和内部攻击变得至关重要，而且势在必行。

加密提供了强大的保护级别，但必须与企业级密钥管理、设备保护和访问控制一起实施，以确保只有被授予数据访问权限的用户才能被允许访问。

现在开始，建立具有最高效率和密文透明加密的敏感数据强控制！

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Thales提前完成收购Imperva交易