數據隱私保護

對企業敏感的員工、客戶和業務數據加以保護的需求正在不斷上升，無論此類數據位於何處均是如此。到目前為止，大部分數據盜竊案起源於個體黑客對生產資料庫的惡意侵入。鑒於一系列眾所周知且代價慘重的盜竊案為受害企業造成的重大法律責任及負面報導，針對此類襲擊的防護措施和手段正在快速地變得成熟先進，但攻擊者同樣也在步步緊逼。

儘管業界已經對最險惡的數據盜竊採取了應對措施，但許多計算機系統在某些層面上依然存在易受攻擊的弱點。當今的全新數據安全規程尚未實際觸及到一個重要的數據層並為之提供保護：用於開發、測試和培訓的非生產系統。在所有規模的企業中，通常未能對這些系統提供充分保護，從而在數據隱私方面留下巨大漏洞。這些環境利用真實數據來測試應用程式，存放著企業中一些最機密或敏感的信息，如身份證號碼、銀行記錄及其他財務信息。

機密性、完整性與可用性是數據隱私的基礎，也是良好的商業慣例。遵從這些商業慣例對於達成下述目標至關重要：

· 遵守現行法規與行業標準

· 提供可靠、準確的高性能服務

· 有利的競爭定位

· 企業信譽

· 客戶信任

不同情況下的“最佳實踐”可能大相逕庭，即使是象密碼等特定類型的控制措施。本文中的“最佳”一詞並不是其字面意思。它更象是“良好”、“常用”、“謹慎”、“行業標準”或“公認”等概念的組合。

請注意，諸如 IS027001、COSO、COBIT和ITIL等框架提供了範圍廣泛的控制目標，但並未提供具體的信息保護控制措施。雖然並不存在能夠讓您的企業照本宣科地用於實施最佳實踐的欽定框架，但有各種數據保護控制措施已被普遍接受為合理、基本和良好的實踐。歸根結底，您的企業管理團隊、紀檢人員和行業標準才是決定什麼樣的最佳實踐才是適用於企業的真正權威。

每個企業都擁有敏感數據：商業秘密、智慧財產權、關鍵業務信息、業務合作夥伴信息或客戶信息。必須根據公司政策、法規要求和行業標準保護所有此類數據。本章節將討論保護此類數據的幾項要素。

任何收集、使用和存儲敏感信息的企業均應制訂信息分類政策和標準。該分類政策和標準應按企業的需求包含少數幾個分類等級。大多數企業至少設有公共、僅供內部使用和機密等三個類別。

許多企業都有長期沿用的數據分類指導方針。然而，隨著不斷增多的新法規與行業標準的發展，僅僅存在公司政策已是不夠。部分企業付出了大量的時間和精力，通過部署不同的控制措施和工具以儘量減少違規風險，將他們的數據保護政策實體化為信息技術（IT ）基礎設施。在過去幾年中湧現的數據泄漏檢測、預防和保護技術現已獲得 IT 機構的廣泛採用。

應由數據治理、風險管理、合規性和業務要求來決定每項數據類別的數量及定義，以及針對數據標識、存儲、分配、披露、保留和銷毀的要求。顯然，監管與行業規則和標準將在定義過程中扮演重要角色。其他數據同樣需要保護，其中包括商業秘密、研究成果、配方、申請專利之前的發現以及各種形式的客戶與員工信息。

數據保護的另一個重要方面是了解數據在企業運營中的使用方式，以及數據的存放形式（如硬拷貝、電子文檔、資料庫記憶體儲）。此外，在生產、生產支持、開發、質量保證（QA）或第三方等不同類型的操作環境中，保護要求也各異。

必須明確規定對敏感或機密數據的保護要求，並在相應的監管與行業規則和標準或業務政策內反映出具體的要求。必須將特定的數據元素標記為敏感數據，且絕不應按真實形態用於開發、質保或其他非生產環境中。數據分類政策應清楚確認數據禁止要求。

最後，企業必須實施審計流程，定期提供獨立評審以確保對最佳實踐的遵行。

企業必須為所有隱私、敏感和機密數據的分類建立全套政策和規程，從而為企業的關鍵數據資產提供充分保護。此外，企業還應實施以下步驟：

1. 定期為員工、承包商和第三方服務提供商提供培訓，提高其數據分類意識

2. 將保護規程融入日常業務流程中，並在可行情況下儘可能實現流程自動化

3. 定期進行獨立審計並將結果上報高管

敏感數據以兩種形式出現：結構化和非結構化。結構化敏感數據存在於業務應用程式、資料庫、企業資源規劃（ERP）系統、存儲設備、第三方服務提供商、備份介質及企業外部存儲設施內。非結構化敏感數據則散布於企業的整個基礎設施中，包括台式機、手提電腦、各種可移動硬碟及其他端點上。

企業必須定義、實施和執行其數據分類政策，並為保護結構化和非結構化敏感數據提供規程和標準。對於非結構化數據，企業可使用端點安全工具來控制攜帶型設備和介質的使用，通過內容分析工具來檢測是否存在敏感數據，並通過加密工具來防止對這些設備的無授權訪問。對於結構化數據，企業則可使用加密和數據禁止軟體。

數據泄漏是故意或無意中向不可信的第三方透露或遺失數據。業務合作夥伴、客戶和員工相信持有與他們相關的數據的企業將會採取合理措施來保護其敏感數據的機密性和完整性，而這些企業必須預見並防止敏感數據遭到有意或無意的誤用、泄漏或盜竊。

可用的技術從簡單地封鎖設備、路徑、連線埠、其他形式的存取訪問以及對設備、介質和接連的大規模加密，到更加複雜或有選擇性的封鎖。現有技術能夠實時監測內容以確定所選信息、狀況、人員、許可權和操作，從而對數據進行封鎖、隔離、加密、登錄、報警或淨化。存在兩種方法：掃描靜態數據和分析動態數據。這些技術可被部署在基礎設施的多個部分，但更常見於端點設備和外部網關。端點設備通常包括可移動數字存儲裝置、硬體設備及多種形式的網路連線，這些接連提供對眾多內部網路資源的訪問，在某些情況下能夠規避內部管理的網路網關而延伸到企業之外。上述設備經常成為數據泄漏的渠道。

預防數據泄漏的部分主要驅動因素來自於監管法規，例如金融服務現代化法案（BLBA ）、醫療保險流通與責任法案（HIPAA）以及 37個州立反泄漏法，或來自於行業要求，如支付卡行業數據安全標準（PCI‑DSS），此外還來自於 NERC網路安全標準（CIP）、DHS 、NIST 等國家安全機構，以及企業政策。

在整個基礎設施內部署和集成技術與流程，以檢測及/或防止企業的敏感數據外泄。這些步驟將需要物理和邏輯上的控制與技術、變更常規的業務和運營流程，並對訪問敏感信息的人員實行持續監控和評估。

需要對“真實數據”以及我們所稱的“非翔實但真實的數據”或“被禁止數據”有一個通用的定義，這一點十分重要。

譬如，在 SAP ERP中，由數據元素定義數據特徵，其中包括類型、長度以及“名字”、“姓氏”或“城市”等業務術語。

實際表格中包含的數據可能屬實（如真正的社會保險號碼），也可能非屬實（如符合用於該特定數據元素之數據定義的隨機數字組合）。“客戶”或“訂單”等數據元素時常通過關鍵欄位的使用而彼此關聯。在與眾多數據元素有所關聯的情況下，保護單個數據元素變得複雜起來。在單獨情況下，某些數據元素可能並不包含敏感數據，但一旦與其它數據元素髮生聯繫，即全部成為敏感數據。因此，數據禁止軟體必須快速達到高度精密的程度才能確保為所有敏感數據提供保護（禁止），同時依然維持數據的語境價值和參考完整性。

有時，企業會自行開發數據禁止工具，但這些工具的效率參差不齊。不過，由於來自法規要求和罰款風險的緊迫壓力、對商譽的不利影響以及刑事定罪的可能性，企業已紛紛轉向第三方數據禁止技術，這些技術根據不斷演進的標準和法規而定期更新換代。

在開發、質保、沙箱系統、培訓、生產支持以及生產等生產和非生產環境中採用久經驗證的商業解決方案來禁止敏感數據。選擇一個在其解決方案中包括以下方面的供應商：

· 可支持多種資料庫和應用程式

· 久經驗證的成功記錄

· 數據發現功能

· 即開即用的數據禁止原數據，以加快項目完成時間

· 轉換邏輯直白易懂

· 可擴展的高性能數據禁止伺服器

· 數據禁止規則易於使用且可重複利用

· 內置責任分離功能

· 審計與驗證功能

讓數據禁止成為您的標準數據提供流程的一部分，從而在非生產環境中杜絕敏感數據的存在。

絕不向第三方或離岸團隊提供未經禁止的敏感數據。

絕不允許開發人員或其他無授權人員在未動態禁止敏感數據的情況下訪問生產數據。

根據您的企業開展業務所在的國家，針對敏感數據保護的要求可能各有不同。幾乎每個國家都設有數據隱私法，因此您務必應對每項相關法律及其支持要求執行一次全面審查。您將會發現，至少就其實質或用意而言，此類法規存在著大量共同之處。本白皮書將著重討論北美地區的部分最常用法規。

雖然每項法規各有獨特之處，但遵守其中一項有助於您遵守另一項法規（或將違規風險降至最低）。一般來說，數據安全技術可廣泛適用於這些法規要求以及多種行業。某一行業開發的最佳實踐很可能對其他行業也有所幫助。

長期以來，許多金融服務公司一直對數據安全問題嚴陣以待。監管機構所要求採取的大部分控制措施僅僅被視為用於贏取客戶信任的良好商業慣例。而最新頒布的法規也不過添加了幾條新概念。許多公司將發現他們在合規性方面已是輕車熟路。

由於應由非直接涉及控制措施的設施或操作的各方來執行此類測試和監測，將名為“IT風險管理”或“IT 數據治理”的新型業務職能作為新的最佳實踐的情況顯著增長。金融服務行業首當其衝，但其他行業也在紛起效仿。

多項法規與行業標準針對第三方服務提供商制訂了特殊要求。這些服務提供商包括 IT外包商、第三方軟體供應商以及履行特定業務流程環節的提供商（如為公司傳送促銷郵件而必須獲得客戶姓名和地址的商家）。

僅僅因為所涉及的信息轉由他人負責經手並不意味著您的企業可以無事一身輕，不需要承擔保護敏感信息的責任。

法規與行業標準要么暗示、要么明言企業必須根據實際變化進行調整。您的企業必須時刻跟進在業務風險資料、業務流程、員工培訓、所有類型的威脅、技術、軟體錯誤以及源源不斷的軟體應用程式補丁中發生的變更情況。

數據隱私最為重要的方面之一是使用風險管理方法。如果您的企業處理健康、財務或其他個人信息，那么您應以風險規避作為風險模式，因此您對於這些要求的闡釋應趨向於採用更高的控制標準。

隱私屬於保密的子範疇，而就這些法規與行業標準的實質而言，您必須通過採用最新的行業安全技術產品和解決方案，保護其免遭無授權訪問。

某些最佳實踐技術在主機和網路網關處擠出內容、加密或禁止靜態數據、對敏感數據存儲實施網路細分，並在基礎設施和應用程式層面記錄針對敏感數據的所有訪問嘗試。必須在所有環境中加密靜態數據，並在非生產環境中對其進行禁止。在數據存儲環境中使用防篡改技術是新的最佳實踐方法之一。

攜帶型設備加密現已成為一項行業標準最佳實踐，不對包含敏感信息的攜帶型設備加密可被監管機構、法院和公眾視為玩忽職守。

對您的安全基礎設施和 IT控制環境執行實時和頻繁的測試。至少應每年一次通過實際切換到各自的站點，對災難恢復和業務連續性計畫進行測試。某些企業按季度對其災難恢復計畫進行測試。

只要風險假設決策由正確的人員做出，並且只要這些人員獲得了足夠的信息，那么任何風險都是假設存在的。

風險可導致增加業務經營成本的潛在後果。控制措施亦不例外，同樣可能添加顯而易見的成本（如新流程、IT設備或軟體許可證），並且還可能帶來質量成本（如對客戶或員工造成不便，或導致處理開銷）。只有在控制成本少於所規避的危害成本的情況下，才是合理的成本。

無論您付出多少，也不可能實現完美控制，這是另一項平衡術。嚴格的控制往往代價更高，而且幾乎總是對流程和人員產生更多侵擾。最小許可權和“須知”原則是廣為人們接受的最佳實踐，但並非始終易於實施。假如您將用戶完成工作所需的許可權限制在最低程度，您就能夠儘量做到將該用戶訪問您的環境時的相關風險降至最低。有些公司認為，應給予所有員工以任何方式服務客戶的能力。這一業務選擇或多或少地讓許可權限制成為了空談。人們要么維護、要么破壞安全性，再多的技術也無法補救不良的做法和行為。

每一項控制措施歸根結底都依賴於某種可能出錯的人為流程：來建立、配置、管理和使用該控制措施。

必須對由應用程式和資料庫處理及/或存放在應用程式和資料庫中的數據提供保護。因此，必須保護應用程式和資料庫的安全。對於應用程式和資料庫安全來說，基礎設施安全是必要的，卻不足以保證萬無一失。應用程式和資料庫本身應對總體安全模式有所助益，並與動態數據禁止軟體相輔相成。

在非生產環境中，在套用層安全不適用的情況下，應用程式和資料庫更為開放。有些人可能認為，對託管應用程式的基礎設施實行嚴密保護就足夠了，但真實情況遠非如此。應用程式處於IT食物鏈的頂端：它們是業務生命線的核心，並且是通往消費者、業務客戶和業務合作夥伴的渠道。控制措施始於IT部門，但在開發和質保環境中，由於用戶的工作職能性質，採取嚴格的控制措施是不切實際的做法。開發人員、測試人員和培訓人員為履行其職責，將要求訪問全企業內多種不同類型的數據。

Informatica採用的數據脫敏方法基於終端用戶的網路許可權實時進行，與現有的ActiveDirectory、DAP 和IdentityAccess Management軟體配合無間，確保每名用戶的個人網路登錄均會針對該用戶有權訪問的信息類型，觸發回響的數據脫敏規則。這一驗證流程能夠隨著終端用戶數量的增長，輕鬆地擴展至額外的資料庫中，所造成的延時僅為0.15毫秒，幾乎不對網路資源產生任何可覺察的影響。

Informatica DDM 使用多種數據脫敏、加密和封鎖方法，這些方法可根據組織的安全需求單獨或共同套用：

· 數據替換——以虛構數據代替真值

· 截斷、加密、隱藏或使之無效——以“無效”或 ***** 代替真值

· 隨機化——以隨機數據代替真值

· 偏移——通過隨機移位改變數字數據

· 字元子鏈禁止——為特定數據創建定製禁止

· 限制返回行數——僅提供可用回應的一小部分子集

· 基於其他參考信息進行禁止——根據預定義規則僅改變部分回應內容（例如禁止VIP 客戶姓名，但顯示其他客戶）

此外，InformaticaDDM還具備針對終端用戶等級的訪問進行監控、登錄、報告和創建審計跟蹤的功能。該功能可簡化遵守數據隱私法規和內部報告需求的流程，同時顯著降低數據侵害風險。

在今日競爭激烈的市場中，數據安全和快捷性能缺一不可。憑籍動態數據禁止，組織將能夠快速升級擴展，為敏感和隱私信息提供實時保護，而不必迫使IT部門對應用程式和資料庫進行昂貴且耗時的變更，從而避免影響生產效率，更重要的是，不會干擾員工履行其職責的能力。