企业用来保护信息的方法和实践被称为信息安全(或 InfoSec)。这还包含禁止未经授权的个人访问公司或个人数据的策略设置。信息安全是一个迅速扩展和变化的学科,涵盖从网络和基础设施安全到测试和审计的方方面面。
信息安全保护敏感数据免受非法访问、更改或记录,以及任何干扰或破坏。目的是保护重要数据,例如客户帐户信息、财务信息和知识产权。
窃取私有信息、数据操纵和数据擦除都是安全事件的后果。攻击可能会阻碍工作运营并损害公司形象,并会产生金钱成本。
组织应制定安全预算,并确保他们准备好识别、应对和预防网络钓鱼、恶意软件、病毒、恶意内部人员和勒索软件等威胁。
机密性、完整性和可用性是信息安全的三个核心概念。在信息安全计划的每个方面都必须实施不止一个这些原则。CIA Triad 是他们的统称。
保密
已采取保密措施,以避免未经授权的信息传播。保密原则的目标是保持个人信息的机密性,并且只向拥有它或需要它来完成其组织任务的人公开和使用。
正直
防止不需要的数据修改(添加、删除、修订等)包含在一致性中。完整性原则确保数据正确可靠,不会以任何方式被篡改,无论是错误的还是故意的。
可用性
系统在客户需要时创建可完全访问的软件系统和数据的能力称为可用性。可用性的目标是开发可在业务流程或公司客户需要时访问的技术基础设施、应用程序和数据。
就广度和目标而言,信息安全不同于网络安全。尽管这两个短语有时可以互换使用,但网络安全是信息安全的一个子类。物理安全、端点安全、数据加密和网络安全都包含在信息安全的保护伞之下。它还与信息保障相关联,信息保障可以保护数据免受自然灾害和服务器中断等危险的影响。
网络安全主要涉及技术危险以及可用于避免它们的方法和技术。另一个类似的领域是数据安全,其主要工作是防止组织的数据被错误或恶意地暴露给未经批准的人或团体。
信息安全政策
信息安全政策 (ISP) 是一套指导人们使用技术的准则。企业可能会制定信息安全政策,以保证员工和客户遵守安全规则和流程。根据安全法规,只有获得授权的个人才能访问敏感的系统和信息。
制定有效的安全策略并确保合规性是避免和管理安全风险的关键阶段。根据公司变化、新威胁、从先前入侵中吸取的经验教训以及安全系统和技术的变化,定期更新您的策略,以使其真正有效。
制定切实可行的信息安全计划。针对业务内各部门的需求和紧急情况,必须实行具有同意程序的例外制度,允许部门或人员在某些情况下偏离规范。
有数千种已识别的攻击媒介和数百种信息安全风险。我们将讨论当代企业安全团队所关注的一些主要危险。
不安全或不安全的系统
由于速度和技术发展,安全措施经常受到损害。在其他情况下,系统是在没有安全性的情况下构建的,并作为企业内部的遗留系统继续运行。组织必须通过保护或修补这些易受攻击的系统、停用它们或隔离它们来识别并减少危险。
对社交媒体的攻击
许多人拥有社交媒体帐户,在那里他们不小心暴露了大量个人信息。攻击者可能会使用社交媒体直接进行攻击,例如通过社交媒体消息传播恶意软件,或间接进行攻击,例如分析用户和组织的漏洞并使用从这些站点收集的信息设计攻击。
社会工程学
社会工程学是向人们发送电子邮件和消息以说服他们从事可能危及他们的安全或泄露个人信息的活动的做法。攻击者使用诸如好奇、匆忙和恐惧等心理触发因素来影响用户。
如果来源看起来值得信赖,人们更有可能配合社会工程消息,例如通过单击在其设备上安装恶意软件的链接或提供个人信息、密码或财务信息。
组织可以通过对用户进行风险教育并培训他们识别和拒绝可疑通信来降低社会工程的风险。此外,可以利用技术方法来防止人们进行诸如点击奇怪链接或下载意外文件等危险行为,或从源头上停止社会工程。
端点恶意软件
端点恶意软件是一种感染计算机的恶意软件。组织用户使用的终端设备包括台式计算机、笔记本电脑、平板电脑和移动电话,其中许多是私有的,不受组织的管辖,并且所有这些设备都定期连接到 Internet。
恶意软件可能通过多种方法进行通信,并可能导致端点受损以及权限升级到其他公司系统,是所有这些端点的主要危险。
传统的防病毒软件不足以阻止所有当代类型的恶意软件,因此正在开发其他端点安全方法,例如端点检测和响应 (EDR)。
加密不可用
加密方法对数据进行加密,以便只有拥有密钥的用户才能对其进行解码。在设备丢失或被盗或组织系统遭到黑客攻击时,它在防止数据丢失或损坏方面特别成功。
不幸的是,由于其复杂性以及缺乏与有效实施相关的法律要求,该措施经常被忽视。组织越来越多地通过购买具有加密功能的存储设备或使用专门的安全技术来使用加密。
安全配置错误
现代企业使用的技术平台和工具包括 Web 应用程序、数据库和软件即服务 (SaaS) 应用程序,以及来自 Amazon Web Services 等提供商的基础设施即服务 (IaaS)。
企业级平台和云服务提供安全功能,但必须由公司设置。由于疏忽或人为错误导致的安全配置错误,可能会导致安全漏洞。另一个问题是“配置漂移”,其中系统的正确安全配置可能会迅速过时,使其在 IT 或安全人员不知情的情况下容易受到影响。
使用持续监控系统、发现配置差距、通知甚至自动纠正使系统易受攻击的配置缺陷的技术平台,组织可以防止安全错误配置。
信息安全的目标是保护企业免受敌对攻击。主动和被动攻击是攻击的两种主要形式。主动攻击更难避免,因此识别、减轻攻击并从中恢复是当务之急。强大的安全措施使被动攻击更容易避免。
主动攻击
拦截通信或消息并出于恶意目的更改它是一种主动攻击。主动攻击可能采取三种不同的形式 -
中断 - 攻击者假装是通话方之一,并通过发送额外的恶意消息来中断原始对话。
修改 - 攻击者获取当前通信并重播或更改它们以获得通话方之一的优势。
制造 - 创建虚构或合成的通信,通常以建立拒绝服务 (DoS) 为目标。因此,用户无法访问系统或执行日常任务。
被动攻击
在被动攻击中,攻击者观察和监视系统,在不影响系统的情况下复制数据。然后使用该信息来破坏网络或破坏目标系统。
攻击者不会以任何方式改变通信或目标系统。这使得检测更具挑战性。另一方面,加密可以通过隐藏数据并使攻击者更难以利用来帮助避免被动攻击。
| 主动攻击 | 被动攻击 |
|---|---|
| Change the content of messages, communications, or data. | 不对数据或系统进行任何更改。 |
| Poses a risk to sensitive data's availability and integrity. | 威胁关键信息的机密性。 |
| It's possible that organizational structures may be harmed. | 组织结构不会因此而立即受到损害。 |
| Victims are usually aware of the incident. | 大多数情况下,受害者并不知道这次袭击。 |
| Detection and mitigation are the primary security concerns. | 安全的主要重点是预防。 |
组织开展业务的领域的规章制度总是与信息安全相冲突。全球各地都制定了数据保护立法,以改善个人数据的隐私,并对企业获取、保留和使用数据的方式施加限制。
个人身份信息 (PII) 是数据隐私的主体,主要涉及数据的处理和利用方式。任何可能与用户直接相关的数据,例如用户的姓名、身份证号码、出生日期、实际地址或号码,都被视为 PII。还可能包括社交媒体帖子、个人资料照片和 IP 地址等人工制品。
通用数据保护条例 (GDPR) 是欧盟 (EU) 最著名的隐私条例。该立法管辖有关欧盟公民的个人信息的收集、使用、存储、安全和传输。
GDPR 适用于所有与欧盟人有业务往来的公司,无论该公司位于欧盟境内还是境外。违反标准可能会导致高达全球销售额的 4% 或 2000 万欧元的罚款。
GDPR 的主要目标是 -
个人数据隐私已被宣布为一项核心人权。
执行隐私准则的标准
隐私标准的应用应标准化。
GDPR 保护以下类型的数据 -
姓名、身份证号码、出生日期和地址是个人信息的示例。
IP 地址、cookie、位置和其他网络数据
有关健康的信息,包括诊断和预后
语音数据、DNA 和指纹是生物识别数据的示例。
保密的通信
图片和视频
来自文化、社会或经济角度的数据
尽管实施了各种限制,但美国目前没有总体上管理数据隐私的联邦法律。然而,数据的特定种类或用途受到某些限制的保护。这些是其中一些 -
《联邦贸易委员会法》禁止企业在隐私规则方面向客户虚假陈述、未能有效保护客户隐私以及进行欺骗性广告。
《儿童在线隐私保护法》管辖儿童个人信息的获取。
《健康保险流通与责任法案》(HIPAA) 规定了健康信息的存储、共享和使用方式。
Gramm Leach Bliley 法案 (GLBA) 规定了金融组织和银行如何收集和保存个人信息。
《公平信用报告法》管理信用信息和记录的收集、使用和可访问性。
联邦贸易委员会 (FTC) 还负责保护用户免受欺诈或不公平交易的侵害,以及数据安全和隐私。FTC 有权制定规则、执行法律、惩罚违规者并调查涉嫌公司欺诈。
除联邦规定外,美国还有 25 个州通过了数据相关立法。加州消费者隐私法案是最著名的例子 (CCPA)。根据 2020 年 1 月生效的立法,加州个人有权查看私有信息、寻求删除私有信息以及选择退出数据收集或出售。
还有其他区域规则,例如 -
CPS 234 APRA(澳大利亚审慎监管局)
加拿大个人信息保护和电子文件法 (PIPEDA) (PIPEDA)
新加坡个人资料保护法 (PDPA)