数据存储安全：挑战、风险和最佳实践

数据存储安全：挑战、风险和最佳实践

数据在企业内部和云中持续快速增长，同时每天穿越多个应用程序。随着数据的快速增长，复杂性和确保数据存储安全的挑战也随之增加，因为攻击面在不断扩大。

谈到数据存储安全，让我们来讨论一下它的问题、面临的潜在危害和风险，以及企业该如何妥善管理自己的组织。

什么是数据Storage Security ？

在了解数据存储安全的总体情况之前，我们先来定义一下数据存储。

数据存储是指将关键业务数据和 PII（个人身份信息）等数字信息保存在某种介质中，以便日后检索。这些存储数据的介质包括企业内部服务器和云数据平台，以及若干混合方案（例如，私有云和公共云的组合，或企业内部数据中心和云解决方案的组合）。

当我们谈论数据存储安全时，我们指的是组织为防止任何第三方对存储数据进行未经授权的访问、恶意攻击和数据利用而采取的安全措施。

数据存储安全的设置是为了使用不同的方法和技术保护所述数据，以确保数据隐私。

为何重要

无论是公司的财务记录还是用户的个人照片，数据都极其宝贵。数据存储安全不仅涉及将数字信息保存在特定的硬件和软件上，而且还要确保数据的可访问性和可检索性。此外，数据存储安全对企业至关重要，因为大多数数据泄露都是由数据存储安全漏洞造成的。我们将在本文稍后部分讨论数据存储安全的风险。

合规考虑因素

各组织在决定如何以最佳方式管理数据存储安全时，必须检查适用的合规性要求。数据合规性是指公司如何遵守数据存储规则、法规和行业标准，以维护数据的安全性、隐私性和完整性，同时降低风险。合规性使企业能够遵守隐私要求，并维持适当的数据保存和处置政策。

以下法规就是强调数据安全和隐私的合规考虑因素的例子：

条例 关于 违规风险

PCI DSS（支付卡行业数据安全标准） 一套安全标准，旨在确保所有接受、处理、存储或传输信用卡信息的公司维持一个安全的环境 不遵守 PCI DSS 可能会导致严重的经济处罚、法律问题、数据泄露和失去客户信任。它还可能导致运营中断、业务损失和欺诈责任。如果不遵守规定，每月罚款最高可达 100,000 美元，并暂停接受银行卡。

GDPR（《一般数据保护条例） 欧盟（欧洲联盟）的数据隐私和安全法。它为欧盟公民个人数据的收集、使用和保护提供了一个框架，包括访问、更正和删除其个人信息的权利，并对违规行为处以重罚。 不合规可能导致巨额罚款、法律诉讼、声誉受损、运营中断、商业机会丧失以及高管人员的个人责任。违规者还将被处以公司年营业额 4%或 2,000 万欧元的罚款，以最高者为准。

HIPAA（《健康保险可携性与责任法案） 这项美国联邦法律保护敏感的健康相关信息。以电子方式为特定交易传输健康信息的实体必须遵守 HIPAA 的隐私标准。各组织必须实施强有力的安全措施，包括加密、访问控制、定期风险评估、员工培训，以及采用保护 PHI（受保护健康信息）的保密性、完整性和可用性的政策和程序。 对违规行为的处罚以过失程度为依据，每次违规（或每条记录）的处罚金额从 100 美元到 50,000 美元不等，对违反相同规定的行为的最高处罚金额为每年 150 万美元。违反规定还可能受到刑事指控，导致入狱服刑。

此外，存储行业特定标准和非营利性行业监督机构为各种存储系统提供了深入指导。

数据的挑战Storage Security

数据存储安全背后有几个关键挑战，反映了保护数据的复杂性和重要性，特别是在与合规法规保持一致方面。

• 可扩展性和快速数据增长：随着数据的快速增长，管理和保护数据变得更加困难，需要先进的策略和工具来保护不断增长的数据量，同时又不影响性能。

• 数据泄露和网络攻击：攻击者不断开发新的技术来破坏数据存储系统，如恶意软件、勒索软件和网络钓鱼计划。内部威胁，如可以访问敏感信息的员工或承包商，会因数据滥用或意外泄露而造成重大风险。

• 合规性：不断更新各种合规法规是企业保护敏感客户数据隐私和安全的必要条件。PCI DSS、HIPAA、NERC CIP 等行业特定法规要求保护敏感数据免遭未经授权的访问，而 GDPR 和 CCPA 等隐私法则要求企业防范未经授权的访问、存储和滥用个人数据。

• 访问控制和身份管理：访问控制和身份管理是数据安全的关键组成部分，但也是一项挑战，因为它能确保只有获得授权的人才能访问和操作数据，防范内部和外部威胁，遵守法律要求，并改善组织的安全状况。

• 数据完整性和可用性：维护数据完整性并确保数据在传输和存储过程中不会丢失或损坏，是数据存储安全面临的一项持续挑战。因此，有效的灾难恢复策略也是必要的，以保证数据在事件发生期间和之后的可用性，并在需要时迅速恢复重要数据。

最后，了解企业内部和/或云环境的实际配置状况也是一项不容忽视的挑战。配置错误可能会导致重大的数据泄露，这就强调了勤勉配置管理的重要性。

数据面临的最大风险Storage Security

存储安全风险由存储系统和基础设施处理的信息所面临的威胁、漏洞（如不同存储介质中固有的漏洞）以及成功利用威胁的影响造成。

数据存储安全和基础设施的一些风险包括

• 恶意软件攻击
• 数据泄漏和/或外泄
• 配置错误和未经授权的访问
• 内部威胁
• 不遵守监管规定导致的责任
• 数据的破坏、修改和销毁

上述风险可能导致各种后果，例如因不遵守法规而受到上述处罚。存储系统和基础设施最严重的问题是数据泄露、数据损坏或毁坏、暂时或永久丧失访问/可用性，以及无法满足立法、监管或法律要求。

事实：人为错误是大多数网络安全漏洞的主要原因。半数以上的案例包括使用社交工程策略的 BEC（商业电子邮件破坏）攻击，这凸显了人与技术互动的风险，并强调了人是IT 和 OT 网络安全中最薄弱的环节。

数据中的漏洞Storage Security

风险是所有技术与生俱来的，不法分子也在不断发现利用漏洞的新方法。无论是基于云的存储设备、网络存储设备，还是企业内部的存储设备，都存在很多漏洞。

数据存储安全要求认识到存储系统的以下固有弱点，并降低相关风险，同时保证数据的安全、可访问性和可用性：

不安全的加密存储

一些存储设备的加密功能可能很弱或不够充分，或者可能要求企业安装额外的软件或加密设备，以确保数据得到加密。过时的方法使攻击者更容易解密数据。此外，对加密密钥的不当管理（如以明文存储密钥）可能会使加密失效。

实体脆弱性

存储设备的实体失窃或损坏以及自然灾害都可能导致数据丢失或未经授权的访问。一些组织可能没有考虑到薄弱的实体安全性--内部人员可能能够绕过基于网络的安全措施，访问实体存储设备并提取数据。

在Cloud Storage Security

当企业选择将数据存储在云中而不是内部存储时，存储人员可能需要获取新的工具并实施相关程序，以确保数据的充分安全。

建议和最佳做法

存储是数据所在之处。随着越来越多的企业采用 AWS S3、OneDrive、Microsoft Azure、Dell EMC Isilon 及其他内部部署和云平台的存储解决方案，必须应用强大的存储安全策略，以避免对数据和底层存储系统的不必要访问。

应对风险

企业需要应对与存储安全相关的风险，如高级恶意软件攻击、数据泄漏和/或外泄以及敏感数据丢失。

进一步阅读：Secure 企业数据存储的 10 个最佳实践

人为错误是造成数据泄露的主要原因，因此我们建议贵公司采用安全第一的企业文化。单击此处了解我们如何通过员工网络安全和培训来提高贵公司的安全意识。

合规是关键：创建数据合规政策

任何数据合规政策都应明确规定贵组织的数据保护、隐私和合规方法。它应明确规定数据收集、处理、存储、共享、保留和销毁程序。

实施强有力的数据安全措施，如加密、访问限制、防火墙和其他安全技术，以保护敏感数据免遭未经授权的访问、披露、修改或破坏。最后，定期进行审计，确保贵公司遵守数据合规政策并维护数据安全。