提升数据安全性五大注意事项

我们都听过这句“陈词滥调”——团体中最宝贵的资产是其数据，但实践中往往是正确的。五大基本安全构建确保数据安全性。

日常我们计算机安全维护的主要目的是保护数据，可通过部署防病毒软件、加强安全配置、或开启防火墙来保护用户本身。首要工作任务是保护大家的数据——包括员工和（特别是）用户数据。

但是人们使用数据且不会保存在同一个地方——这是为什么大多数数据安全措施专注于确保唯一正确的用户访问。遵循以下五项建议增加数据安全性。

识别重要数据

首先，需要确认个人最重要的数据，其难点就是找到它。曾有位CIO说过：“如果你知晓自己所有数据在哪里，那一定是在说谎。”

重要的数据被存储在数据库、应用程序数据存储库、和目前的云、以及备份到设备和移动设备上。这些重要的数据还包括提供和获取实际数据支持的关键子系统，其中包括动态目录域控制器、证书数据库、DNS、DHCP、网络路由器、以及其他服务，都拥有自身安全防御能力。

所有数据应该按照商业价值和敏感度进行归纳。减少被存储的数据，因为没有绝对安全的数据。每个人都可以访问自身的数据，但对于丢弃的信息数据应及时处理。

清理凭证

保持良好的凭证处理习惯——清理会员特权账户，尽量减少特权使用，任何权限和特权应该只在必要时使用。

每个团队应该开始检查每个权限组中的任意访问人员且删除无须长时间访问数据人员的完全访问权限。进行适当的严密性分析，留下少量的机密数据访问人数。最好的情况下，留下一个或零个。

大多数的管理员应该在有限基础上被分配提升权限的能力。这样往往是“查看”凭证有效期。

凭证保护对于强大的数据库安全是至关重要的，因为黑客通常寻找易妥协特权账户来访问机密数据。减少永久特权账号降低被破坏和恶意使用的风险。

建立严格内部安全边界

网络防火墙被视为足够安全的日子一去不复返。大多数公司内部可能被划分孤立的安全边界，只有预定义的帐户可以访问。严格的内部安全边界可以被创建通过基于主机的防火墙、内部路由器、VPN/IPSec和无数的其他访问控制方法。

例如，尽管大多数用户可访问多层应用程序的Web前端，但很少有人能直接访问后端数据。也许只有指定的数据库管理员和少数支持服务器用户能访问数据库服务器、前端Web服务器和任何的中间层服务。这样如果黑客没有有效凭证试图直接访问数据库会被阻止，或只有一个审计预警可以启动。

确保数据加密措施

传统的安全防御有两种类型的加密：传输中加密数据和休眠时加密数据。但这仅限于黑客还未偷取合法凭证访问数据。

如果想要可靠的数据保护，无论在何处确保数据是加密的——特别是当数据处于不受保护的位置。有许多加密个人数据组件，对于应用程序服务，如微软动态目录权限管理服务；数据库加密数据权限，如微软SQL透明数据加密。

加密数据的智能方法是什么？如果有人窃取数据，数据仍然是加密且不可用的。

保护客户端

黑客很少直接攻击服务器，但仍然会发生SQL注入攻击和远程缓冲区溢出。客户端攻击往往更常见。

如果想要保护自身数据，确保访问用户的数据。这意味着需要在一两个星期内完成关键补丁，用户可以通过社会工程学习，工作站应该被安全的配置。

英文来源：5 steps to stronger data security
作者： Roger A. Grimes
译者：屠敏，欢迎技术投稿、约稿，给文章纠错，请发送邮件tumin@csdn.net