應(yīng)用/數(shù)據(jù)安全防護(hù)　　現(xiàn)在世界各地的公司都開(kāi)始關(guān)注保護(hù)敏感數(shù)據(jù)抵御高級(jí)威脅，而其中一種威脅引起最高關(guān)注：內(nèi)部威脅--44.5%的攻擊來(lái)自惡意內(nèi)部人員。

　　解決內(nèi)部威脅的有效方法包括兩個(gè)方面：第一，企業(yè)需要通過(guò)保護(hù)關(guān)鍵數(shù)據(jù)以及管理身份來(lái)減少內(nèi)部威脅帶來(lái)的影響;其次，他們需要監(jiān)控其授權(quán)用戶的行動(dòng)以檢測(cè)任何異常行為。

在這篇文章中，我們將重點(diǎn)介紹第一個(gè)方面：保護(hù)敏感數(shù)據(jù)。

　　為了保護(hù)企業(yè)最敏感的數(shù)據(jù)，最重要的是部署成熟的數(shù)據(jù)安全策略。

這個(gè)策略將會(huì)幫助確定誰(shuí)擁有數(shù)據(jù)、來(lái)源地、敏感程度、誰(shuí)可以使用等。

　　企業(yè)可采用系統(tǒng)的五步驟方法來(lái)保護(hù)其敏感數(shù)據(jù)：　　1. 定義　　花時(shí)間了解企業(yè)的戰(zhàn)略目標(biāo)以及數(shù)據(jù)安全如何適應(yīng)這些目標(biāo)可對(duì)整體數(shù)據(jù)安全計(jì)劃提供指導(dǎo)。

五步法的第一階段應(yīng)該著重評(píng)估企業(yè)的目標(biāo)，并確保部署適當(dāng)?shù)恼吆蜆?biāo)準(zhǔn)。

在這個(gè)評(píng)估中應(yīng)該包括利益相關(guān)者訪談、審查數(shù)據(jù)管理政策和標(biāo)準(zhǔn)以及任何其他現(xiàn)有文件，以了解當(dāng)前的數(shù)據(jù)保護(hù)能力。

　　同時(shí)，還需要在各個(gè)IT和業(yè)務(wù)利益相關(guān)者之間達(dá)成協(xié)議--哪些是關(guān)鍵數(shù)據(jù)、如果數(shù)據(jù)丟失對(duì)企業(yè)的影響以及所需的安全控制基準(zhǔn)。

　　2. 發(fā)現(xiàn)　　了解敏感數(shù)據(jù)在企業(yè)的位置是確保數(shù)據(jù)受到充分保護(hù)的重要步驟。

如果不了解敏感數(shù)據(jù)的位置，則需要在所有系統(tǒng)部署安全控制，而無(wú)論系統(tǒng)是否包含關(guān)鍵數(shù)據(jù)，而這部符合成本效益。

　　在了解企業(yè)當(dāng)前數(shù)據(jù)環(huán)境后，還應(yīng)該跨企業(yè)結(jié)構(gòu)化和非結(jié)構(gòu)化存儲(chǔ)庫(kù)進(jìn)行數(shù)據(jù)發(fā)現(xiàn)，以識(shí)別和分類敏感數(shù)據(jù)。

隨著逐漸收集發(fā)現(xiàn)結(jié)果，還應(yīng)該創(chuàng)建數(shù)據(jù)目錄和分類來(lái)管理這些發(fā)現(xiàn)結(jié)果。

　　3. 設(shè)定基線　　設(shè)定基線是了解需要付出多少努力來(lái)保護(hù)數(shù)據(jù)環(huán)境的關(guān)鍵步驟。

如果沒(méi)有對(duì)安全控制的適當(dāng)評(píng)估，我們不可能知道安全漏洞在何處，以及需要部署哪些額外控制來(lái)更好地保護(hù)關(guān)鍵數(shù)據(jù)。

　　企業(yè)應(yīng)該根據(jù)第一階段設(shè)定的基準(zhǔn)評(píng)估當(dāng)前數(shù)據(jù)安全控制和流程的成熟度，這一評(píng)估的結(jié)果可用于確定如何改進(jìn)技術(shù)控制和流程，以加強(qiáng)敏感數(shù)據(jù)的安全。

　　4. 保護(hù)　　在此階段，企業(yè)需要設(shè)計(jì)和部署技術(shù)解決方案來(lái)保護(hù)數(shù)據(jù)。

基于在基準(zhǔn)評(píng)估期間發(fā)現(xiàn)的差距，應(yīng)該制定計(jì)劃來(lái)解決敏感數(shù)據(jù)風(fēng)險(xiǎn)，并部署更新的安全控制，以滿足企業(yè)整體數(shù)據(jù)保護(hù)目標(biāo)。

　　通常，企業(yè)應(yīng)創(chuàng)建路線圖來(lái)優(yōu)化項(xiàng)目和部署解決方案來(lái)保護(hù)數(shù)據(jù)環(huán)境。

這一階段的結(jié)果可確保敏感數(shù)據(jù)得到充分保護(hù)，并對(duì)安全風(fēng)險(xiǎn)進(jìn)行修復(fù)。

　　5. 監(jiān)控　　我們知道數(shù)據(jù)并非靜態(tài)，而且在整個(gè)企業(yè)移動(dòng)。

同時(shí)，每天都會(huì)創(chuàng)建新數(shù)據(jù)。

因此，企業(yè)應(yīng)該部署程序來(lái)檢測(cè)新數(shù)據(jù)以及基于數(shù)據(jù)敏感程度來(lái)分類。

　　企業(yè)還應(yīng)該建立管理程序，以確保所有上述活動(dòng)定期執(zhí)行，符合企業(yè)目標(biāo)--特別是第二階段的數(shù)據(jù)發(fā)現(xiàn)活動(dòng)。

企業(yè)還應(yīng)該考慮可視化數(shù)據(jù)風(fēng)險(xiǎn)以及數(shù)據(jù)風(fēng)險(xiǎn)儀表板功能，以向高層說(shuō)明。

　　其他活動(dòng)包括開(kāi)發(fā)監(jiān)控清單、培訓(xùn)團(tuán)隊(duì)來(lái)管理更新的安全流程以及建立溝通計(jì)劃來(lái)管理敏感數(shù)據(jù)的發(fā)現(xiàn)和保護(hù)。

同樣重要的是，隨著技術(shù)變革和新數(shù)據(jù)威脅出現(xiàn)，企業(yè)應(yīng)該定期重新審視其安全策略已驗(yàn)證控制的有效性。